Tagesprogramm 2019

Programmänderungen sind möglich. Ausstehende Referatsinformationen werden laufend ergänzt.

Keynotes

Digitalisierung im Gesundheitswesen: Risiken und Chancen

Prof. Dr. Eric Dubuis, Berner Fachhochschule - Informatik

Die Digitalisierung durchdringt immer weitere Bereiche des Spital- und Gesundheitswesens. Prozesse werden digitalisiert mit dem Ziel, Kosten einzusparen, die Effizienz zu steigern und die Stakeholder aller Art optimal zu bedienen. Mit der zwangsläufigen Vernetzung der Systemlandschaften übers Internet geht eine immense Vergrösserung der Bedrohungslage einher. Mit Cyber-Angriffen von aussen wie von innen, mit Sabotage, Erpressung oder dem Diebstahl von Gesundheitsdaten muss gerechnet werden. Der Vortrag fasst die Bedrohungslage zusammen und deckt richtungsweisende Handlungsfelder auf.

Cyber Security: die «smarte» Herausforderung im Healthcare-Umfeld

Franco Cerminara, InfoGuard AG

C-Level Fraud, Ransomware, DDoS- und gezielte APT-Angriffe sind allgegenwärtig. Auch im Gesundheitsbereich muss man deshalb davon ausgehen, dass man bereits infiltriert wurde – oder nächstens Opfer eines gezielten Cyber-Angriffs wird. Die traditionelle Abwehr alleine hat ausgedient. Heutzutage ist es entscheidend, Infiltrationen zu erkennen, schnell darauf zu reagieren und das Sicherheitsdispositiv entsprechend zu optimieren und so seine Cyber Resilience zu stärken. Wir geben einen Einblick in die aktuelle Gefahrenlage, zeigen live, wie leicht ein Hacker an Informationen gelangt, und diskutieren aktuelle Fälle aus dem Healthcare-Umfeld.

Quo Vadis IT-Security? 
Sicherheit als System – EINE Antwort auf Ransomware und Hacker

Michael Veit, Sophos Technology GmbH

Welche Lehren lassen sich aus dem Angriff auf das Lukaskrankenhaus in Neuss ziehen? Ransomware und Hacker bedrohen heute Krankenhäuser und andere medizinische Einrichtungen – und gefährden damit Leben. Diese neuen Bedrohungen erfordern neue Sicherheitskonzepte und -technologien. In einem Sicherheitsökosystem agieren IT-Sicherheitslösungen am Endpoint, auf Servern, am Gateway und auf Mobilgeräten als System. Dadurch sind sie in der Lage, moderne Bedrohungen und Hackerangriffe nicht nur zu erkennen, sondern diese Bedrohungen auch ohne menschliche Interaktion automatisch einzudämmen. 

Der Feind in meinem (Spital-)Bett

Prof. Dr. Peter E. Fischer, Hochschule Luzern – Informatik

Die Bedrohungen nehmen massiv zu, so wie die Sicherheitslücken, die sie ausnützen. Medizintechnikgeräte verschiedener Art und private Smartphones, Tablets und Smartwatches müssen (?) in das Spitalnetz eingebunden werden. Diese sind aber häufig schlecht geschützt, leichte Opfer und werden für Angriffe auf die Spitalinfrastruktur missbraucht. Wir sprechen von IoT (Internet of Things), BYOD (Bring your own device) und sogenannten Botnetzen, die als Schwachstellen und Bedrohung jeden Sicherheitsverantwortlichen einer Einrichtung herausfordern. Welche Schwachstellen gibt es und worauf müssen wir achten?

Streams

Stellen Sie Ihr Tagesprogramm nach Ihren Wünschen zusammen.

Identity & Access

Im Gesundheitswesen steigen die Anforderungen an das Identity- und Access-Management laufend. Gründe sind in erster Linie die zunehmende Digitalisierung sowie neue und zusätzliche Medizintechnikgeräte, die verwaltet werden müssen. Mit der Einführung des EPD steigen zudem die gesetzlichen Anforderungen.  

Ordnung im BerechtigungsDschungel: Erfahrungsbericht 

Dr. Peter Katz, KPT

Dr. Peter Katz, Business Analyst beim Krankenversicherer KPT, erzählt, wie er die Fülle an unverständlich lautenden Berechtigungen in Geschäftsrollen verpackt hat. Heute werden Berechtigungen bei der KPT als Ganzes über Rollen zugewiesen. Die Rollen richtig auszubalancieren und mit den richtigen Berechtigungen zu hinterlegen, war eine Mammutaufgabe. Doch diese Mammutaufgabe konnte erfolgreich abgeschlossen werden. Heute verwaltet die KPT Berechtigungen als Bündel in Rollen und administriert sie so effizient wie nie zuvor. Beim Modellieren der Rollen hatte Dr. Peter Katz Unterstützung durch eine Software eines Spin-off der Universität Regensburg: Nexis Controle.

Einmal täglich Passwort das reicht dann aber auch

Cyril Gailer, IPG AG

In Spitälern hat in den letzten Jahren die Anzahl der Applikationen stark zugenommen. Viele Spitäler setzen dabei auf eine Kombination von Single Sign-on und Fast User Switching, mit oder ohne VDI. Hinzu kommt der Wunsch, die Anmeldung an den Client mittels Badge statt Benutzer/Passwort zu erledigen. Dieser Vortrag beleuchtet kritisch, aber pragmatisch die genauen Funktionalitäten der Lösung OneSign von Imprivata. Dabei wird sich zeigen, dass die Software alleine nicht heilsbringend ist. Ebenso wichtig ist ein sauberes Projekt und die für die Akzeptanz passende Konfiguration. Der Vortrag beleuchtet insbesondere den Start, zumeist mittels POC.

IAM im Betrieb eine Herausforderung
 

Tanya Ramstöck, Swica

Tanya Ramstöck ist Applikationsverantwortliche des IAM-Systems beim Krankenversicherer Swica. Sie berichtet in diesem Referat, wo die täglichen Herausforderungen liegen und was die Technik alleine nicht schafft. Mit dem IAM-System konnte Swica viele Abläufe beim Verwalten von Benutzern und Berechtigungen automatisieren und standardisieren. Tanya Ramstöck versucht stetig, die Qualität von Strukturdaten und Abläufen zu erhöhen. Dies ist die Basis, um die Funktionalität kontinuierlich auszuweiten und um die technischen Möglichkeiten des One-Identity-Managers möglichst auszureizen.

Digitalisierung als Vorteil im Wettbewerb um Fallpauschalen

Michael Doujak, Ergon Informatik AG

Im modernen Gesundheitswesen stehen Spitäler im Wettbewerb miteinander. Sie versuchen, Zuweiser und Belegärzte zu überzeugen, dass die Zusammenarbeit mit ihrem Haus für Behandelnde und Patienten bequem, einfach und erfolgreich sein wird. Mit der zunehmenden Digitalisierung des Gesundheitswesens verlagert sich dieser Wettbewerb immer mehr in den digitalen Raum. Das technologische Wettrüsten, das bereits vor Jahren mit verschiedenen Zuweiserportalen gestartet wurde, kommt mit der Einführung des EPD in eine heisse Phase. Im Referat wird diskutiert, wie der Umgang mit Ärzten und Patienten durch geeignetes B2B-Identity-Management optimiert werden kann. Fallpauschalen erhält in der heutigen Zeit nicht nur das Spital, das fachlich kompetent ist, es muss auch zugänglich, einfach und bequem sein.

Governance

Das EPD (Elektronisches Patientendossier) bringt neue Herausforderungen bezüglich Governance mit sich. Worauf ist ein besonderes Augenmerk zu richten?

Das Management im Spannungsfeld IT und DSDS

 

Jana Papritz & Marcel Schmid, APP Unternehmensberatung AG

Datenschutz und Datensicherheit liegen vielfach in der Verantwortung der IT-Abteilungen und haben technische Schwerpunkte. Es ist aber eminent wichtig, dass sich das Management mit dem Thema auseinandersetzt. Schliesslich trägt dieses die Verantwortung für die Umsetzung von gesetzlichen Vorgaben, für die Konsistenz von Geschäftsstrategie und Datensicherheitszielen sowie für die Integration von Datensicherheitsrisiken in das Risikomanagement der Gesundheitseinrichtung.
Das Referat zeigt, wie Sensibilisierungskampagnen für das Management und leitende Angestellte in einer Gesundheitseinrichtung ausgestaltet werden können, so dass die Faktoren DSDS, IT und Management optimal zusammenarbeiten, damit der Sicherheitsaspekt ganzheitlich berücksichtigt werden kann.

Business Continuity Management (BCM) zur Sicherung von radiologischen Befunden
 

Christoph Knöpfel & Thomas Manser, CSP AG

Die aktuelle Bedrohungslage in der Informationssicherheit nimmt laufend zu. Gerade im letzten Jahr hatte das häufig zur Folge, dass Gesundheitsinstitutionen massive Beeinträchtigungen im Netzwerk für mehrere Stunden hinnehmen mussten. Dies kann direkten Einfluss auf die Patientensicherheit haben, indem zum Beispiel plötzlich die radiologischen Befunde nicht mehr verfügbar sind. Dabei geht es nicht nur um die Verfügbarkeit innerhalb einer Institution. Gerade Radiologie-Institute sind stark mit externen Leistungserbringern vernetzt. In diesem Referat soll eine Checkliste als Arbeitsinstrument aufzeigen, wie BCM hilft, die Verfügbarkeit der radiologischen Befunde zu erhöhen. Dabei sollen Fragen bei der Beschaffung von radiologischen Informationssystemen oder Diagnostikgeräten gestellt werden. Was sind wichtige Konzepte zur Sicherung des Betriebs und wie stellt man sich den Herausforderungen zur Informationsverteilung?

Diagnose der Informationssicherheit in Ihrem Unternehmen

Hans-Joachim Blach, AdNovum Informatik AG

Unternehmen in der Gesundheitsbranche haben mit Risiken bezüglich des Datenschutzes und der Informationssicherheit zu kämpfen. Die immer stärkere Vernetzung von Systemen und Applikationen macht die Situation nicht einfacher, da vielen Unternehmen nicht klar ist, wie sich solche Veränderungen auf die Informationssicherheit und den Datenschutz auswirken. Im Referat gehen wir auf die strukturierte Vorgehensweise zur Implementierung eines Managementsystems für Informationssicherheit und dessen Vorteile für den Umgang mit Datenschutz- und Informationssicherheitsrisiken ein.

Informationsschutz im und durch das Arbeitsrecht

Christian Bernegger, HütteLAW AG

Das Unternehmen geht gegenüber Kunden, Lieferanten und anderen Vertragsparteien Verpflichtungen ein zum Schutz von Informationen und Daten. Jedoch ist das Unternehmen nur ein rechtliches Konstrukt, so dass es die Mitarbeiter sind, welche mit diesen Informationen und Daten arbeiten und einen entsprechenden Zugriff auf diese Daten benötigen.

Welche Massnahmen kann ein Unternehmen treffen, um die sichere Bearbeitung durch seine Arbeitnehmer zu gewährleisten? Welche Möglichkeiten bietet das Arbeitsrecht? Worauf ist zu achten?

Sichere Infrastruktur

Es gibt immer Geräte, die nicht auf dem neusten Stand der Sicherheitstechnik sind. Der Ersatz oder die Aufrüstung ist oft nicht sofort möglich. In einem Spital bewegen sich diverse Personengruppen wie Mitarbeitende mit unterschiedlichen Aufgabenbereichen: Servicetechniker zur Wartung von Geräten, Patienten, Besucher usw. Berechtigungen und Kontrollen stellen oft eine organisatorische Herausforderung dar. Nicht selten ergeben sich Sicherheitslücken.

Threat Detection & Response – Angriffe erkennen, bevor ein Schaden entsteht
 

Stefan Rothenbühler, InfoGuard AG

Der Alltag im Healthcare-Umfeld spielt sich mehr denn je digital ab und bietet dabei enorme Vorteile. Doch jede Medaille hat eine Kehrseite: Es entstehen neue Angriffsflächen und damit verbunden Risiken. Der Schwer­punkt von Cyber Security darf nicht nur auf der Abwehr von Cyberattacken liegen, sondern muss ebenso die Erkennung von Angriffen sowie die schnelle Reak­tion und Wiederherstellung des ordentlichen Betriebes abdecken. Wir zeigen Ihnen, weshalb die schnelle Erkennung und Reaktion auf einen Hackerangriff so entscheidend sind.

 

Ganzheitliche Ansätze zur Hebung der Sichtbarkeit von Mensch und Infrastruktur im Gesundheitswesen

Chis Berger, UMB AG

Die Digitalisierung ist im Gesundheitswesen kein neues Thema. Im Gegenteil, mit F&E, den modernsten Untersuchungsgeräten, State of the Art Infrastrukturen, etc. wird viel investiert.

Betrachtet man jedoch eine Patienten Journey, fallen diverse Bereiche auf, welche noch Potential zur Verbesserung haben. Durch eine durchgängige und transparente End-to-End Prozess Digitalisierung werden Abläufe nachvollziehbar, transparent und vereinfacht. Dies erhöht die Prozesssicherheit durch wegfallende Medienbrüche, digitale Schnittstellen und informelle Informationskanäle.

Diese gewonnene organisatorische Sicherheit bringt einige Gewinner mit sich… nicht zum Schluss auch dem Patienten mit einer verbesserten Sicherheit im Umgang mit der Krankheit, resp. dem Genesungsfortschritt.

OpenSource Solutions im Health-Care-Bereich – Ein Erfahrungsbericht

Chris Rüttimann, uniQconsulting AG  

Im Health Care Sektor ist eine lückenlose Virtualisierung mit hohem Vernetzungsgrad zum Standard einer jeden IT-Abteilung geworden. Um den Betrieb und den Support zu gewährleisten, werden Lösungen benötigt, welche System-, Service- und Herstellerunabhängig in die vorhandene IT-Infrastruktur greifen. Schnelles Auffinden und Beseitigen von Problemen sowie eine einheitliche Verwaltungsstrategie gewinnt täglich an Bedeutung.
Mit agilen Open Source Lösungen können Unternehmen Software oder auch Hardware den eigenen, speziellen Bedürfnissen anpassen, ohne alles von Grund auf neu entwickeln zu müssen.
Durch den Umstand, dass sich immer mehr Unternehmen – Anwender und Hersteller - an Open Source Projekten beteiligen, steigt der Innovationsgrad und die Investitionssicherheit dieser Lösungen. Wir erklären Ihnen worauf Sie bei einer Open Source Strategie achten sollten und zeigen an Hand von Praxisbeispielen wie Sie Supportkosten senken und ihre Investitionen schützen können.

Threat Hunting und Incident Response in grossen IT-Umgebungen

Stefan Berreth, Tanium

Jagen, erkennen, untersuchen, beheben und dämmen Sie Cyber-Bedrohungen und Schwachstellen mit beispielloser Geschwindigkeit und Skalierbarkeit ein.

Healthtech und IT

Früher hatten Medizintechnikgeräte und Informatik wenige Gemeinsamkeiten. Die Digitalisierung sorgt dafür, dass diese Bereiche zusammenwachsen. Dazu kommt der Bereich IOT (Internet of Things). Diese Entwicklung stellt neue Anforderungen an alle Beteiligten. Besonders herausfordernd ist die Datenintegration.

Cyber Security – Integrative Planung und Umsetzung für die regulierte Life-Science-Industrie 
 

Holger Mettler, Exyte Central Europe GmbH

Angriffe  auf computergestützte und automatisierte Systeme in der Analytik und Produktion werden zunehmend als globale Bedrohung in den Wertschöpfungsketten der Life-Science-Industrie gesehen. 
Es ist daher unumgänglich, z.B. Labor- und Produktionsbereiche und die zugehörigen Informations- und Automationstechnologien widerstandsfähiger gegen die Vielzahl von Cyber-Bedrohungen zu machen. Die Umsetzung der Cyber Security und vollständige Sicherstellung der Integrität der Datenverarbeitung sind auch Forderungen in einer Vielzahl von behördlichen Vorschriften und Richtlinien in der Life-Science-Industrie. Auch die
Bestrebungen der globalen IT-Cloud-Anbieter, Produktion- und Labordaten in ihre Systeme auszulagern, erweitert das Aktionsfeld der klassischen IT-Sicherheit auf den gesamten (globalisierten) Cyber-Raum. 
Hier spielen insbesondere die GxP-Anforderungen an IT Cloud Data Centers eine grosse Rolle.
Es gilt zu diskutieren, welche Möglichkeiten die Life-Science-Industrie hat, auf diese Entwicklung zu reagieren, und ob generell ausreichend analytische und organisatorische Fähigkeiten vorhanden sind, um auf diesen neuen Techniken und ggf. Bedrohungen zu reagieren. 
Hierzu werden integrative Sicherheitskonzepte und Methoden vorgestellt, die über die gewöhnlichen IT-Sicherheitsmassnahmen hinausgehen, da die besonderen GxP-Anforderungen der Liefe-Science-Industrie berücksichtigt werden müssen. 

Eine sichere Architektur für verteilte Systeme medizinischer Geräte in der Akutmedizin

 

Dr. Stefan Schlichting, Drägerwerk AG & Co

Der Vortrag stellt eine sichere Architektur für verteilte Systeme medizinischer Geräte in der Akutmedizin vor. Die Architektur basiert auf den Konzepten einer serviceorientierten Medizingerätearchitektur (SOMDA) klinischer Arbeitsplätze und ist ein zentrales Projekt der IEEE 11073 Arbeitsgruppe. Am Beispiel der Intensivstation werden die heutigen Herausforderungen der Interoperabilität beschrieben. Es wird dargestellt, wie die Prinzipien der neuen Standardserie IEEE 11073-SDC wirken und wie diese bei der Realisierung von sicheren verteilten Systemen medizinische Geräte in der Akutmedizin unterstützen werden, um Zielen wie der ‚silent ICU‘ einen grossen Schritt näherzukommen. 

Vom Design bis zum Betrieb – Integrierte Sicherheit in vernetzten medizintechnikgeräten

Esther Gelle & Adrian Helfenstein, CyOne Security AG

Während des ganzen Life Cycles sind vernetzte Medizintechnikgeräte mit verschiedenen Herausforderungen konfrontiert. In der Vergangenheit standen eher die Zuverlässigkeit des Gerätes sowie die lückenlose Nachvollziehbarkeit der Funktionalitäten und der Benutzerinteraktionen im Vordergrund. Heute sehen sich Hersteller und Betreiber im Rahmen der Digitalisierung mit zusätzlichen Herausforderungen konfrontiert.
Betreiber sehen sich heute mit der Integration der Geräte in ihre existierenden Unternehmensnetzwerke konfrontiert. So sollen die vernetzten Medizintechnikgeräte grössere Datenmengen über ihre Netzwerke transferieren und neu in einem Rechenzentrum verarbeiten können. Hersteller müssen diese zusätzlichen Anforderungen mit weiteren Funktionalitäten und höheren Datenverarbeitungskapazitäten kostengünstig und effizient lösen können. Hersteller und Betreiber werden in diesem Kontext mit neuartigen Sicherheitsanforderungen konfrontiert.
Im Referat erläutert die CyOne Security AG die notwendigen Schlüsselfaktoren für ein Sicherheitsdesign von Medizintechnikgeräten und die daraus resultierenden Vorteile und den Mehrwert für Hersteller und Betreiber.

Podiumsdiskussion
Collaboration for cyber-security along the health care value chain – Challenges and opportunities

Teilnehmer: 
Dr. Fred Mpala, Roche Diagnostics International AG
Michel Buri, Hôpital du Valais
Gianni Crameri, Deloitte AG

Marc Henauer, MELANI

Diskussionsleitung
Dr. Patrick Dümmler, Health Tech Cluster Switzerland

 

Cloud Computing

Cloud Computing erobert auch das Gesundheitswesen immer stärker. Dabei ergeben sich neue Chancen für effiziente Arbeitsabläufe. Das Zusammenarbeiten im Team wird einfacher. Cloud Computing stellt aber auch hohe Anforderungen an die Datensicherheit.

Cyber Security im Spital
 

Christoph Roesch, Detecon (Schweiz) AG 

Schweizer Spitäler sind in der Zwickmühle: Sie wollen digitaler und damit effizienter werden, aber die Investitionsmittel für eine moderne und sichere IT-Infrastruktur fehlen oft. Das WEF erwartet, dass in diesem Jahr waren 74% der Unternehmen weltweit Opfer von Cyber-Angriffen werden.
 
Beispielsweise wurden im Mai 2017 mit WannaCry viele Microsoft Windows basierte Systeme lahmgelegt unter anderem auch kritische Systeme wie IT-Systeme und Medizingeräte. Neben vielen anderen wurde vor allem der National Health Service (NHS) in England hart getroffen, wo Systeme in 80 Spitälern über einen längeren Zeitraum ausgefallen sind.
 
Die Detecon hat Anfang des Jahres eine Studie mit Schweizer Spitälern durchgeführt, um den aktuellen Status sowie Herausforderungen der Cyber Security im Schweizer Hospital 2019 zu erkennen, um Handlungsempfehlungen abzuleiten.
 
Referatsschwerpunkt: Das Referat ist eine Zusammenfassung der Erkenntnisse und Handlungsempfehlungen aus der Studie „Cyber Security im Spital“. Die Herausforderung besteht nun darin, die Cyber Security kostengünstig, ohne Einflüsse in zeitkritische medizinische Abläufe und im Gesamtbild des digitalen Wandels sicherzustellen. Wenn dies misslingt, können Menschenleben davon abhängen. 

DATENSICHERHEIT IM ZEITALTER VON CLOUD
 

Karl-Heinz Lutz, Juniper Networks

Was beschäftigt uns im Jahr 2019 im Bereich der Themen Multi Cloud, Hyperkonvergenz, Edge Computing? Viele Schlagwörter, aber was bedeuten sie für mein Geschäftsumfeld und welche  Auswirkungen haben sie auf den Security-Aspekt? Vieles wird scheinbar komplexer und das Wachstum ist rasant. 

IT / ICT Security in Health: Der "Menuplan"

 

Ronny Fischer, T-Systems Schweiz AG

Erfahren Sie in diesem Vortrag, wie Sie sich mit einer zukunftsorientierten IT-Strategie in Spitälern erfolgreich gegen aktuelle und zukünftige Cyber-Bedrohungen schützen können.

Referatsschwerpunkt: Die Cyber-Security-Herausforderung in Spitälern bedingt eine zukunftsorientierte IT-Strategie, die auf bestehenden Security Services aufbauen kann. Ein besonderer Schwerpunkt liegt hierbei, besser zu verstehen, woher die Bedrohungen kommen und wie sie effizient abgewehrt werden können. 

State of Security 2019: Trends aus der Industrie vs. Erfahrungen aus Pentests und Incident Response

Stefan Peter, retretix systems AG