Information Security in Healthcare – Conference 2020

Die Patientensicherheit wird zum ERFOLGSfaktor

Adrian Schmid, eHealth Suisse

Ob elektronisches Patientendossier, Gesundheits-Apps, Medizinprodukt oder Datenschutzgesetz – in allen Bereichen steht die Sicherheit der Patientinnen und Patienten im Vordergrund. Und weil die Bevölkerung mehr Transparenz will, werden im Gesundheitsmarkt der Zukunft vor allem jene Anbieter Erfolg haben, welche die Interessen der Patientinnen und Patienten in den Vordergrund stellen.

Cyberangriff auf einen Dienstleister der Gesundheitsbranche

Martin Schäppi, Meier Tobler AG

Aus der direkten und ungeschönten Sicht des betroffenen Unternehmens schildert Martin Schäppi den Ablauf des Cyberangriffs auf die Server der Meier Tobler AG im Juli 2019. Während vier Tagen war das ganze Unternehmen lahmgelegt. Wie wurde der Betrieb wieder hochgefahren? Wie hat der Krisenstab funktioniert und den Wiederaufbau vorangetrieben? Was sind die Konsequenzen und Lehren daraus? Welche Gefahr stellen die Mitarbeitenden dar? Lassen Sie sich die packende Story mit kriminellem Hintergrund nicht entgehen.

Eine zuverlässige und vertrauenswürdige Umgebung für Patientendaten bildet die Basis für Forschung und Entwicklung in der Medizin

Prof. Dr. Kurt Zatloukal, Medizinische Universität Graz

Die Gesundheitsversorgung setzt zunehmend auf die Nutzung eines breiten Spektrums von klinischen und molekularen Daten, wobei insbesondere Bilddaten innovative Lösungen für eine effiziente und sichere Datenverwaltung und -analyse erfordern. Der Zugang zu Gesundheitsdaten ist heute eine wichtige Säule der Autonomie von Patientinnen und Patienten und für den grenzüberschreitenden Zugang zur Gesundheitsversorgung von entscheidender Bedeutung. Weiter adressiert die Forschung die Herausforderungen, welche sich aus der zunehmend alternden Bevölkerung ergeben. Hierzu werden Daten zu Lebensstil und Langzeiterkrankungen und der sich daraus ergebenden Lebensqualität benötigt. Diese Daten können nur dann gewonnen werden, wenn eine vertrauenswürdige Umgebung vorhanden ist, so dass Patientinnen und Patienten ihre Daten zur Verfügung stellen. Die europäische allgemeine Datenschutzverordnung (DSGVO) bietet den rechtlichen Rahmen für ein solches vertrauenswürdiges Umfeld, erfordert jedoch auch neue technische Lösungen. Wir schlagen vor, gemeinsam mit mehreren Interessengruppen eine neue Art von vertrauenswürdiger und sicherer Umgebung für sensible Gesundheitsdaten der europäischen Bevölkerung zu schaffen. Dieses vertrauenswürdige Umfeld sollte auch internationale Verbundforschung ermöglichen, um Innovationen und Verbesserungen im Gesundheitswesen anzuregen. Dieser Ansatz bringt allerdings gewisse Herausforderungen mit sich, deren Lösungen im Rahmen der Keynote präsentiert werden. 

Informationssicherheit im Spital – von der Strategie zur wirkungsvollen Umsetzung

Martin Matter, Kantonsspital Aarau AG
Prof. Dr. Peter E. Fischer, Hochschule Luzern – Informatik

Spitäler sind einerseits mit zunehmenden Cyberattacken, andererseits mit dem Schutz besonders schützenswerter Patientendaten konfrontiert. Durch die Hektik im Spitalalltag ist die Einhaltung der Prozesse, vor allem bezüglich Informationssicherheit gefährdet. Wie kommen wir von der Unternehmens-Strategie zu einer effektiven, nachhaltigen Umsetzung in den Bereichen Technik, Organisation und dem Faktor Mensch? Es wird gezeigt, wie ein grosses Kantonsspital die Informationssicherheit effizient anpackt – unter Zuhilfenahme externer Partner. Welchen Beitrag kann eine Hochschule dazu leisten?

Mit der Vernetzung steigt die Verletzlichkeit

Lukas Christen, CyOne Security AG

Wie andere vernetzte Systeme macht sich auch das «Spital der Zukunft» zur Zielscheibe von Cyberangriffen. Lukas Christen wird in seinem Referat die Sicherheitsaspekte in der Zusammenarbeit von Herstellern und Betreibern beleuchten. Zudem wird er die Herausforderungen und Gefahren von Digitalisierung und Cyberraum auf die Sicherheit des Spitals aufzeigen.

Vernetzung von Medizinalgeräten und Datenschutz - ein Zielkonflikt?

Sandro Cilurzo, Sedimentum AG
Roman Böhni, Böhni Rechtsanwälte

Vernetzte Medizinalgeräte datenschutzkonform zu betreiben ist aus technischer und (datenschutz-)rechtlicher Sicht äusserst herausfordernd. Manch einer würde behaupten, dies werde immer unmöglicher. Wirken rechtliche Vorgaben also als Hemmer in der Innovation? Das E-Health Startup Sedimentum zeigt auf, dass gerade das Umgekehrte der Fall ist: Rechtliche Anforderungen als Treiber der Innovation!

Die besten Security-Konzepte aus der Betriebstechnik für das medizinische Umfeld - damit sich alle auf das Wesentliche konzentrieren können

Stefan Schachinger, Barracuda Networks AG
Johannes Raff, Clue Security Services AG

Wenn Hacker online ankündigen, medizinische Einrichtungen während der Krise zu verschonen, ist das viel mehr bedenklich als beruhigend. Auf das Wohlwollen von Kriminellen angewiesen zu sein, um ein System an der Kippe nicht vollständig zum Erliegen zu bringen, sollte uns allen zu denken geben. Dabei können in Krankenhäusern und Laboren durchaus ähnliche Konzepte wie in anderen Branchen erfolgreich umgesetzt werden. Wie auch in Industriebetrieben und Produktionsanlagen muss der reguläre Bürobetrieb strikt von den medizinischen Apparaten getrennt sein. Unter Letzteren werden immer einzelne Geräte oder Anlagen sein, die sich nicht mit vertretbarem Aufwand auf den neuesten Stand bringen lassen oder dies eine komplette Neuanschaffung bedeuten würde. Damit sind sowohl im medizinischen Umfeld als auch bei der Betriebstechnik (auf neudeutsch auch gerne Operational Technology genannt) durchaus ähnliche Regeln erkenn- und anwendbar.

Herstellerübergreifende Vernetzung – Wie ist das sicher möglich?

Detlef Köble, Drägerwerk AG & Co. KGaA

Heute übliche Insellösungen werden auch aus der Sicht der Netzwerksicherheit als solche betrachtet: so weit abgeschottet wie möglich. Eventuell eine Brücke zum Patientendatenmanagement, meist als Einbahnstrasse. Doch die Zukunft liegt ganz klar in der herstellerübergreifenden Vernetzung. Erst so können wir dafür sorgen, dass die richtige Information zur richtigen Zeit die richtigen Personen erreicht. Doch wie ist das sicher möglich? Gegen welche Bedrohungen müssen solche Netzwerke überhaupt geschützt werden? Erhalten Sie Einblick in die Sicherheitsarchitektur einer Implementierung des ISO/IEEE 11073 Standards.

E-Health – Herausforderungen mit Sicherheit meistern
 

Michel Kühne, InfoGuard AG

Medtech, Business-Infrastruktur und Customer-IT waren bisher immer relativ unabhängige Bereiche, verschmelzen aber mehr und mehr zu einem umfassenden System. Daneben warten weitere grosse (Sicherheits-)Herausforderung aus dem Healthcare-Umfeld. COVID-19, zunehmende Cyberbedrohungen, die Integration des elektronischen Patientendossiers (EPD) sowie die steigende Anzahl von Cloud Services sind nur einige davon. In dieser Session werden technische Herausforderungen aus verschiedenen Perspektiven beleuchtet und konkrete Beispiele sowie «Best Practice»-Lösungsansätze vorgestellt.

Warum wir hier und heute die Karrieren unserer Ururenkel schützen müssen – und wie uns 40 Jahre alte Mathematik dabei hilft

Werner Strasser, fragmentiX Storage Solutions GmbH

Warum? Was macht Daten wichtig, wertvoll oder gefährlich? Wodurch unterscheiden sich Staatsgeheimnisse von Gensequenzen, und warum glauben immer noch sehr viele Menschen daran, dass sie „ja nichts zu verbergen haben“? Werner Strasser wird eine nicht-optimistische und sehr subjektive Bestandsaufnahme zum Stand unserer digitalen Souveränität liefern. Sich „digital vernünftig“ zu verhalten wird immer wichtiger, ist aber für sich alleine gesehen dennoch zu wenig Schutz vor aktuellen und zukünftigen Bedrohungen. Egal, ob als Privatperson, Patientin resp. Patient oder als Mitglied einer gesellschaftlichen Gruppe: Niemand kann sich dauerhaft vor den Auswirkungen der Digitalisierungen verstecken. Auswege? Digitale Selbstverteidigung kann nur mit dem richtigen Bewusstsein, Training und der erforderlichen Konsequenz funktionieren, und manchmal geht es nur mit den richtigen Werkzeugen resp. Waffen! Wie? Algorithmen, die bereits 1979 publiziert wurden, können uns in einem wichtigen Teilbereich der digitalen Welt – dem Speichern von Daten – konsequent schützen, auch im Zeitalter der Quantencomputer.

Eine integrierte Netzwerklösung für das Gesundheitswesen

Alexander Seiffert, Aruba Networks / HP Enterprise

Krankenhäuser und Kliniken bemühen sich darum, eine personalisierte medizinische Versorgung anzubieten. Dabei werden mobile Unternehmensnetzwerke zur Grundlage für eine nachhaltige und positive Erfahrung für Ärztinnen und Ärzte, Pflegepersonal, Spitaladministration, Patientinnen und Patienten, deren Familien sowie weitere Besuchende.
Das Referat zeigt auf, wie umfangreiche, integrierten Lösungen von Aruba dafür sorgen, dass wichtige medizinische Geräte und Anwendungen eine entsprechende Priorität geniessen und Ärztinnen und Ärzte sowie weitere Mitarbeitende mit ihren bevorzugten mobilen Geräten mit dem WLAN verbunden bleiben können. Darüber hinaus haben Patientinnen und Patienten die Möglichkeit, mit ihrer Familie und ihren Freunden in Kontakt zu bleiben, ohne dadurch die Leistung oder Sicherheit von Notfallanwendungen innerhalb desselben Netzwerks zu beeinträchtigen.

Künstliche Intelligenz für das Netzwerk der nächsten Dekade

David Simon, Juniper Networks Switzerland GmbH

Die Netzwerke im Gesundheitswesen werden immer grösser und komplexer, die Sicherheitsanforderungen steigen stetig. Wie kann nun auf dieser Grundlage der effiziente, performante und sichere Betrieb noch gewährleistet werden? Künstliche Intelligenz (KI) ist die logische Antwort auf diese Frage. Erfahren Sie, wie die KI den Netzwerkbetrieb revolutioniert, die Effizienz und Performance steigert und dies bei deutlicher Senkung der der Betriebskosten.

Der Anwender im Fokus oder Ist «Snoopy19» ein sicheres Passwort?

Daniel Fischer, ITRIS One AG

Einrichtungen des Gesundheitswesens waren in den letzten Jahren häufig Ziel von Hackerangriffen. Es wurde investiert, um die technische Sicherheit dieser kritischen Infrastruktur zu verbessern. Ein oft übersehener Faktor ist aber der Benutzer. Sein Verhalten trägt massgeblich zur Informationssicherheit bei. Benutzerinnen und Benutzer können ausgebildet und getestet werden. Erfahren Sie, wie Sie solche Kampagnen gestalten und ausführen, um die Datensicherheit in Ihrer Organisation zu optimieren.

Netzwerkinfrastrukturen für die Spitäler von Morgen, heute schon kennenlernen

Andreas Schmidt, ITRIS One AG

Sehen Sie Ihre IoT Geräte im Netzwerk? Nein? Ihre sensiblen Endgeräte wahrscheinlich schon. Zukünftige Netzwerke zeichnen sich dadurch aus, dass immer öfter dedizierte Infrastrukturen durch eine geteilte Infrastruktur ersetzt werden. Hieraus resultieren eine Vielzahl von neuen Endgeräten, allesamt sollen stabil und sicher betrieben werden. Und last but not least, wehe wenn der CISO kommt und Anforderungen, die gestern noch galten, heute nicht mehr akzeptabel sind. Der Vortrag beschäftigt sich mit Techniken um Netzwerke fit für diese Aufgaben zu machen und gibt eine Guideline wie Verbesserungen hierzu Schritt für Schritt implementiert werden können.

Mit umfassender Cyber Security die Geschäftsverfügbarkeit sicherstellen – Kundencase

Chris Berger, UMB AG
Gion-Clau Camenisch, UMB AG

Patientendaten gehören zu den absolut sensibelsten Daten überhaupt. Security-Software alleine schützt diese Daten aber nur ungenügend. Erst mit konsequentem Schwachstellenmanagement und einem schlagkräftigen Response-Team können Sie auf Bedrohungen rasch reagieren.

SECURITY IN DER CLOUD – WAS HABEN RITTERRÜSTUNG UND BURGGRABEN DAMIT ZU TUN?
 

Fermin Sanchez, Econis AG
Markus Rieder, Econis AG

Der Schutz von Patientendaten steht im Fokus, aber auch interne Dokumente, Firmeninformationen, E-Mails oder Zugangsdaten müssen wirkungsvoll geschützt werden. Mit der zunehmenden Mobilität stehen wir vor einer grossen Herausforderung, um die geforderte Sicherheit zu gewährleisten.
Mit den Microsoft 365 Services aus der Schweiz schützen wir Identitäten und Daten – egal von wo aus der Zugriff erfolgt. Diese Services erlauben, branchenspezifische Vorschriften und Compliance-Richtlinien umzusetzen. Dazu gehören unter anderem Technologien zur Verhinderung von Datenverlust (Data Loss Prevention) und Datenklassifzierung. Das Office 365 Security & Compliance Center fasst all diese Technologien an einem Ort übersichtlich zusammen.
Wir zeigen Ihnen live, wie einfach Sie mit Microsoft Azure Information Protection Ihren Daten eine passende Ritterrüstung aufsetzen, damit diese die Reise über den Burggraben unversehrt überstehen.

Praxistipps im Umgang mit Zugriffsinfor-mationen im EPD und bei verteilten Systemen

Christoph Knöpfel, CSP AG
Thomas Akermann, CSP AG

Im Zusammenhang mit der Einführung des EPD wurden wichtige Konzepte erarbeitet, um den Zugriffsschutz auf Behandlungsinformationen von Patienten organisatorisch und technisch zu gewährleisten. Im Referat werden diese Konzepte kurz vorgestellt und es wird aufgezeigt, welche Auswirkungen sie auf die an EPD-Stammgemeinschaften angeschlossenen Gesundheitseinrichtungen haben. Wie diese Auswirkungen einen Nutzen innerhalb der Gesundheitseinrichtungen erzeugen können, erfahren Sie am Beispiel der Optimierung der eigenen Informationssicherheitskonzepte und -massnahmen (Berechtigungskonzepte, Awarenesskampagnen etc.).

Erster Arbeitstag und nichts geht …
 

Markus Steiner, ITConcepts Professional GmbH
Markus Kirchhofer, ITConcepts Professional GmbH

Die neue Mitarbeiterin ist hoch motiviert an ihrem neuen Arbeitsplatz eingetroffen und wird von den Kolleginnen und Kollegen in das Arbeitsgebiet eingeführt. Natürlich möchte sie nun auch IT-technisch so schnell als möglich mit dem eigenen Log-in die ersten Schritte in der neuen Umgebung machen. Nur: Das System kennt die Mitarbeiterin nicht, die Berechtigungen sind nicht vorhanden, wertvolle Zeit und Motivation gehen verloren. 

Dass am ersten Arbeitstag technisch alles reibungslos klappt, könnte als Selbstverständlichkeit angesehen werden. Aber in der Praxis sind die Prozesse, die mit der Anstellung einer neuen Mitarbeiterin bzw. eines neuen Mitarbeiters angestossen werden, hoch komplex. Das Referat befasst sich mit den praktischen Fragen, wie bestehende Prozesse harmonisiert, Durchlaufzeiten optimiert, Medienbrüche vermieden, die allgemeine Datenqualität verbessert und die Verantwortlichkeit klar geregelt werden können. Unter anderem muss auch jederzeit ein sicherer und nachvollziehbarer Zugriff auf die benötigten Daten gewährleistet sein. Die Referenten zeigen anhand von praktischen Beispielen auf, wie mit Hilfe eines Identity- und Access-Managementsystems die Basis für einen gesicherten Betrieb und eine kontinuierliche Verbesserung gelegt werden kann.

Wie ein modernes Netzwerk die Informationssicherheit erhöht – Das sichere, moderne und automatisierte Netzwerk der Zukunft

Pascal Hüsser, HINT AG

Moderne Applikations- und Gerätetechnologien unterstützen im digitalen Spital die Bedürfnisse der Organisation. Eine sichere und zukunftsgerichtete Netzwerkinfrastruktur ist die Voraussetzung für die erfolgreiche Bewältigung der digitalen Transformation. Ein flexibles, automatisiertes Netzwerk hilft bei der Integration von neuen digitalen Diensten und beschleunigt vorhandene Arbeitsprozesse. Legacy-Netzwerkinfrastrukturen können die Komplexität der digitalen Transformation nicht effizient bewältigen und stellen ein nicht unerhebliches Sicherheitsrisiko dar. Dieses Referat wird aufzeigen, welche aktuellen sicherheitsrelevanten ICT-Herausforderungen im Healthcare-Bereich vorhanden sind und wie diese durch ein sicheres, modernes und automatisiertes Netzwerk gemeistert werden können.

«Bei uns ist alles sicher» – und warum es doch nicht so ist 

Andreas von Grebmer, CISS GmbH

Informationssicherheit gibt es seit Jahrzehnten. Wo stehen wir bei den «weichen», nicht technischen Aspekten? Informationssicherheit wird oft als technische Herausforderung wahrgenommen. Dies wird schon durch den schleichenden Namenswechsel zu «Cybersecurity» klar.
Im digitalen Zeitalter sind Informationen «das Öl» welches die Wirtschaft, lokal oder global am Laufen hält.
Wer sind die Schlüsselfiguren in Organisationen für Informationssicherheit und was bewegt sie? Ein Marktteilnehmer, der hierbei gerne vergessen wird, ist die Sicherheitsindustrie selbst. Was ist in den letzten Jahren gleichgeblieben, was hat sich verändert und warum ist das so? Es werden langjährige Beobachtungen/Thesen vorgestellt, die es jedem Einzelnen erlauben, eigene Schlüsse und die entsprechenden Massnahmen zu ziehen. Wer immer alles gleich macht, erhält auch immer das gleiche Resultat. Es wird Zeit für neue Ansätze, mögen die Beobachtungen und die Schlussfolgerungen schmerzhaft sein. Nachhaltige Verbesserungen können Sie nur erzielen, wenn Sie Ursachen behandeln, nicht Symptome. Übrigens eine Gemeinsamkeit mit der Medizin selber.

Der grösste Schwachpunkt im Cyberspace liegt beim Menschen

Steven Rodenburg, uniQconsulting ag
 

Leben ist kostbar. Und Gesundheitsdaten sind es auch. Doch wie können Sie als IT-verantwortliche Person Ihre Benutzerinnen und Benutzer vor einem erfolgreichen Angriff bewahren? Wie können Sie die Klinik schützen, ohne Arbeitsprozesse zu bremsen oder einen benutzerfreundlichen und vor allem schnellen Autorisierungsprozess zu gefährden? Was können Sie tun, um eingedrungene Malware dennoch rasch zu erkennen? Wie schnell ist es Ihnen heute möglich, infizierte Geräte zu erkennen und in Quarantäne zu stellen? Im Referat zeigen wir auf, wie eine modern konzipierte «Digital Workspace»-Architektur Ihnen dabei hilft, Ihr Unternehmen zu schützen. 

Praxisbericht – Phishing und Security Awareness im Kantonsspital Aarau

Alexander Lotov, terreActive AG
Martin Matter, Kantonsspital Aarau AG

Die meisten Cyberattacken greifen Mitarbeitende an. Sind diese gut geschult, können Angriffe verhindert und Gegenmassnahmen schnell eingeleitet werden. Doch wie testet und schult man seine Mitarbeitenden? Wie misst man den Erfolg? Wie oft müssen Schulungen wiederholt werden? Und kann dies automatisiert werden? Diese Herausforderungen können mit Phishing-Simulation und Awareness-Trainings gemeistert werden. Wir erläutern Ausführungsvarianten eines Awareness-Programms, stellen Security-Hilfsmittel vor und zeigen, wie all dies in der Praxis umgesetzt wird. Unser Kunde, der CTO vom Kantonsspital Aarau, wird von seinen Erfahrungen mit dem Programm berichten und dabei besonders auf Herausforderungen und Lessons Learned eingehen.

Das Cyber-Security-Rennen – oder wie man einen Angriff übersteht

Monika Josi, Avectris AG
Javier de Virgala, Logicare AG

Mangelnde IT-Sicherheit in den Spitälern ist lebensgefährlich. Die IT-Verantwortlichen stehen vor der Herausforderung einer umfassenden Security-Strategie. Dabei stellt sich die Frage: Was ist ein adäquater Schutz? Was ist zu viel, was ist zu wenig? Den richtigen Ansatz zu wählen in diesem Spannungsfeld zwischen einer maximal möglichen Security und einer finanzierbaren und anwendbaren Lösung, ist nicht einfach. Neben praxisorientierten Lösungsansätzen wird im Referat auch aufgezeigt, was zu tun ist, wenn ein Hacker doch zuschlägt, und wie ein solcher Cyberangriff erfolgreich detektiert, eingegrenzt und abgewehrt werden kann.

Wollen wir die Sicherheit eines Spitals wirklich dem Zufall überlassen?

Urs Achermann, Kudelski Security
 

Ende Januar 2020 berichtete SRF in der «Rundschau» über Hackerangriffe auf Spitäler, die Ende Oktober 2019 stattgefunden hatten. Dabei wurden u. a. die Spitäler Limmattal und Wetzikon Opfer einer bekannten Erpresser-Malware. Erschreckend dabei: Der Angriff wurde nur zufällig durch einen Mitarbeiter festgestellt. Die Sicherheit der Schweizer Spitäler darf nicht dem Zufall überlassen werden. Das Referat zeigt auf, was für Möglichkeiten es gibt, solche Angriffe professionell und systematisch zu entdecken, damit der Schaden auf ein Minimum reduziert werden kann.