Schlagwort-Archive: IT Sicherheit

Sodom lässt grüßen…

Veröffentlicht am von
2

Seit einigen Wochen werden wir täglich mehrmals durch unsere Praxissoftware darauf hingewiesen, daß WINDOWS 11 ab 04/2026 vorausgesetzt wird.
Bisher haben uns derartige Updates des Betriebssystems keinen Vorteil gebracht. Das System muss von allen Nutzern mehr oder weniger gut erlernt und halbwegs verstanden werden. Die gefühlte Geschwindigkeit der Programme wird geringer. Die ungewünschten Bilder auf den Desktops werden bunter. Kurz, es wird nichts wirklich besser…

Für Windows11 benötigen wir folgende Voraussetzungen laut Google:

Die Windows 11 Systemanforderungen auf einen Blick:
64-Bit-CPO oder SoC von AMD, Intel oder Qualcomm.
64 Gigabyte Festplattenspeicher.
4 Gigabyte Arbeitsspeicher.
TPM 2.0-Chip.
UEFI Secure Boot.
DirectX 12 kompatible Grafikkarte.
9-Zoll-Display mit 720p.

Das heißt ein Teil der funktionierenden Hardware muss weg.
Der sicherheitsrelevante TPM 2.0-Chiop muss aktiviert werden, oder Rechner ohne diesen ersetzt werden. Das ist zu unserer Sicherheit.

Bei Heise heißt es dazu:

Microsoft baut immer mehr Schutzfunktionen ins System ein, um Malware-Angriffe zu erschweren. Für Virtualisierungsbasierte Sicherheit (VBS, Virtualization-Based Security) und Kernel Data Protection (KDP) ist eine vertrauenswürdige Firmware-Basis wichtig.

Ein TPM lässt sich aber auch als Sicherheitsfaktor für die biometrische Identifikation mit Windows Hello for Business nutzen sowie zur Bereitstellung virtueller SmartCards. Die Windows-Defender-Funktionen Device Guard und Credential Guard können ebenfalls TPMs verwenden. Naheliegend ist es auch, ein TPM für Zwei-Faktor-Authentisierung (2FA) zu nutzen, was unter Windows für bestimmte VPN-Funktionen möglich ist (Always On VPN).

Ich weiß nicht ob mich das sicherer und besserer arbeiten lässt. Was ich weis, ist das wir wieder funktionierender Hardware entsorgen, natürlich fachgerecht, datenschutzgerecht, nachhaltig und danach teuer erneuern.

Ist das nicht Augenwischerei, endet es nicht oft so?
https://www.camino-film.com/filme/welcometosodom/

Das lernen Schüler in der 9. und 10. Klasse. Das Geschäft mit dem Müll.

Letztendlich geht es um viel Geld. Nur nicht für die, die es wirklich brauchen.

IT-Sicherheit

Veröffentlicht am von
1

Quelle: https://www.aend.de/article/232389

Das sollten Praxen künftig unbedingt beachten

Die KBV überarbeitet gerade ihre Richtlinie zur IT-Sicherheit für die Praxen. Der neue Entwurf enthält strenge Vorgaben für Datenschutz und Cyberabwehr. Der änd verrät, was auf Praxen zukommt und warum der Entwurf umstritten ist.

Der neue Entwurf zur IT-Sicherheitsrichtlinie enthält Dutzende Vorgaben, die die Praxen beachten müssen.

Die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) formulieren in ihrem Entwurf zur IT-Sicherheitsrichtlinie nach § 390 SGB V umfassende Anforderungen an Praxen, um den Datenschutz und die IT-Sicherheit zu gewährleisten. So müssen alle Komponenten der Telematikinfrastruktur (TI), wie der Konnektor und das Kartenlesegerät, den vorgegebenen Sicherheitsstandards entsprechen und sicher betrieben werden, heißt es in dem Papier, das dem änd vorliegt.

Ebenso sind regelmäßige Updates und Patches für Betriebssysteme und Softwareanwendungen verpflichtend, um Sicherheitslücken zu schließen. Der Einsatz veralteter Systeme, wie etwa Windows 7, ist strikt untersagt. Diese müssen „ausgemustert oder separiert in einem eigenen Netzwerksegment betrieben werden“, heißt es wörtlich.

Zusätzlich gibt es spezifische Anforderungen, die im Anhang der Richtlinie beschrieben werden. So dürfen Patientendaten nur verschlüsselt per E-Mail verschickt werden. „Benutzer sollten darauf achten, dass zur Verschlüsselung von Kommunikationsverbindungen kryptografische Algorithmen nach dem Stand der Technik wie z.B. TLS verwendet werden“, heißt es.

Für die physische Sicherheit müssen zentrale IT-Komponenten, etwa Server, in abschließbaren Räumen aufbewahrt werden, die nur autorisiertem Personal zugänglich sind. Auch bei der Installation von Software gilt Vorsicht: Es dürfen ausschließlich geprüfte und freigegebene Programme verwendet werden, private Softwareinstallationen auf Praxisrechnern sind nicht erlaubt.

Darüber hinaus enthält der Richtlinien-Entwurf differenzierte Vorgaben, die je nach Praxisgröße und IT-Komplexität variieren.

Drei Kategorien für Praxen

Die Anforderungen sind nach Praxisgrößen gestaffelt. Der Entwurf unterscheidet dabei zwischen drei Praxisgrößen:

– kleine Praxen (bis zu fünf Personen in der Datenverarbeitung),

– mittlere Praxen (6–20 Personen in der Datenverarbeitung) und

– Großpraxen (über 20 Personen oder erheblicher Umfang an Datenverarbeitung).

Anforderungen für kleine Praxen

Kleine Praxen müssen knapp 50 Maßnahmen wie geregelte Mitarbeiterschulungen und Einarbeitung umsetzen, schreibt die Richtlinie vor. So müssen Updates für Betriebssysteme und Software zeitnah installiert werden, um Sicherheitslücken zu schließen.

Weitere Anforderungen sind unter anderen:

Zugangskontrolle: Jede Person, die Zugang zu IT-Systemen hat, benötigt individuelle Benutzerkonten mit strengen Passwortvorgaben.

Antivirenschutz: Alle Systeme, die mit Patientendaten arbeiten, müssen über eine aktuelle Antivirensoftware verfügen, die regelmäßig Updates erhält.

Back-up-Strategie: Die Daten müssen mindestens einmal täglich gesichert werden, und die Back-ups müssen an einem physisch getrennten Ort aufbewahrt werden.

Zusätzliche Auflagen für mittlere Praxen

Für mittlere Praxen kommen erweiterte Anforderungen hinzu, dazu zählen:

Alarmierung und Logging: Netzwerke müssen Ereignisse protokollieren, um Sicherheitsvorfälle zu überwachen.

Richtlinien für mobile Geräte: Verbindliche Regeln für den Umgang mit Smartphones und Tablets sind zu erstellen.

Wechseldatenträger: Gefordert werden klare schriftliche Regeln, ob und wie und zu welchen Anlässen Wechseldatenträger mitgenommen werden dürfen.

Vorgaben für Großpraxen

Großpraxen müssen sich intensiver mit IT-Sicherheit auseinandersetzen. Beispiele sind:

Netzwerksegmentierung: Trennung sensibler Gesundheitsdaten von weniger kritischen Informationen.

Mobile Device Management (MDM): Zentralisierte Verwaltung mobiler Endgeräte mit der Möglichkeit zur Fernlöschung bei Verlust.

Segmentierung des Netzwerks: Es müssen separate Netzwerke für administrative Systeme, Patientendaten und die Internetnutzung eingerichtet werden. Dadurch wird die Gefahr von Datenlecks minimiert.

Aktuell befindet sich der Entwurf in der Phase der sogenannten Benehmensherstellung. KBV und KZBV warten also auf Stellungnahmen von Verbänden zu ihrem Entwurf. Der Bundesverband Gesundheits-IT (bvitg) weist in seiner Stellungnahme bereits auf erhebliche Schwächen des Entwurfs hin und fordert Nachbesserungen, um die Praxen bei der Umsetzung der Richtlinie besser zu unterstützen und die Sicherheit sensibler Gesundheitsdaten zu gewährleisten.

Kritik vom IT-Verband

So bemängelt der bvitg unter anderem, dass der Entwurf der Richtlinie nicht auf etablierte Sicherheitsstandards wie den BSI-Grundschutz zurückgreift. Dies führe zu uneinheitlichen Anforderungen und stelle insbesondere kleinere Praxen vor große Herausforderungen. Der Verband fordert, den BSI-Grundschutz verbindlich in die Richtlinie aufzunehmen und dessen Bausteine für ein marktübliches Information Security Management System (ISMS) bereitzustellen.

Dass die IT-Sicherheitsanforderungen je nach Praxisgröße variieren, hält der Verband für nicht akzeptabel. Der Schutz sensibler Gesundheitsdaten dürfe nicht von der Praxisgröße abhängen. Einheitliche Sicherheitsanforderungen für alle Praxen seien unerlässlich, um ein gleichbleibend hohes Schutzniveau zu gewährleisten, fordert der IT-Verband.

Für größere Praxen mit mehr als fünf Mitarbeitenden fordert der bvitg die verpflichtende Einführung eines ISMS und die Benennung eines Informationssicherheitsbeauftragten. Dies sei notwendig, um die steigenden Bedrohungsrisiken effektiv zu bewältigen.

Der Verband schlägt vor, den Praxen niedrigschwellige Arbeitshilfen und Informationsmaterialien zur Verfügung zu stellen, um die Umsetzung der IT-Sicherheitsmaßnahmen zu erleichtern.

Die Richtlinie, die erstmals auch explizit die vertragspsychotherapeutische Versorgung umfasst, dürfte nach Eingang aller Stellungnahmen also noch an der einen oder anderen Stelle überarbeitet werden und muss am Ende von den Vertreterversammlungen der KBV und KZBV beschlossen werden. Erst dann tritt sie in Kraft und würde dann die derzeit gültige Richtlinie ersetzen.