Cyber-Risiken und Angriffsszenarien - Festvortrag 38. Internationale Urologische Woche Kitzbühel - TeleTrusT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
38. Internationale Urologische Woche Kitzbühel Festvortrag Cyber-Risiken und Angriffsszenarien Dr.med. Christoph F-J Goetz Arzt und Systemanalytiker 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 1
TeleTrusT - Bundesverband IT-Sicherheit e.V. Größter Kompetenzverbund für IT-Sicherheit in Europa TeleTrusT ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. TeleTrusT bietet Foren für Experten, organisiert Veranstaltungen bzw. Veran- staltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. Zurzeit sind dort über 300 Mitglieder aus allen Bereichen mit speziellen Arbeitsgruppen vertreten wie „Biometrie“, „Cloud Security“, „Gesundheits- telematik“ (Leitung Dr. Goetz), „Mobile Security“, „Politik“, „Recht“ oder „Smart Grids“. Aus der Gesundheitsversorgung sind z.B. bekannt: 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 2
O tempora, O mores Die Zeichen der Zeit: Der weltweite telematische Aufbruch erfasst auch die Gesundheitsbranche. Dabei wird die Gesundheitsversorgung nur als ein Geschäftsfeld unter vielen gesehen. Die Vorstellungen der profes- sionellen Heilberufe werden entweder nicht wahrgenommen oder einfach ignoriert. Neue Produkte werden folglich oft nicht mehr richtig geplant und umfassend abgestimmt, sondern einfach nur „in den Markt gedrückt“. Konsequenz: „Es ist besser, selbst zu wissen.“ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 3
Herausforderungen heutiger Entwicklung Drei Hauptfaktoren: Geschwindigkeit des Inhaltswandels Technologische Grundkonzepte (wie Zahlensysteme, Netzwerke oder Krypto- graphie) bilden zwar vielfach eine stabile Ausgangsbasis, aber die Taktrate der Technologien und Innovationen sowie die rasende Veränderung der Projektlandschaft (z.B. durch mobile Computing, Big Data oder Cloud-Konzepte) erzwingen hingegen eine ständige Anpassung und Aktualisierung der Lehrunterlagen. Heterogenität der Zielgruppen Annahmen zu Vorinformation oder Hintergrundwissen können nur selten generalisiert werden (Angehörige von Lehrberufen oder Akademiker). Interessen und Fragestellungen sind grundsätzlich von dem beruflichen Umfeld der Studierenden geprägt (stationäre vs. ambulante Einrichtungen). Dynamik des Zeitgeists Aktuelle Themen, Diskussionen und „Aufreger“ (wie z.B. Hackerangriffe) prägen die Wahrnehmung und Aufmerksamkeit für bestimmte Inhalte. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 4
Erkennbare Strömungen werden Realität Quelle: Digitalisierung wirkt unausweichlich verändernd Industrieanalytiker erwarten eine Vielzahl neuer Impulse auf das etablierte Gesundheitssystem. Als Treiber werden vor allem die Bürger gesehen, die „mit den Füßen abstimmen“. 2016: Predictions in Digital Health 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 5
Eine „moderne“ Entscheidung? „Ich habe freiwillig meine Privatsphäre aufgegeben.“ John D. Halamka M.D. Notfallarzt, Professor der Harvard Medical School hat seine kompletten Gesundheitsdaten (Patientenakte und Genom) im Internet veröffentlicht. Na und . . . Das Personal Gesundheitsdaten - auch von Smartphones, Wear- Genome Project ables und Apps - haben für Forschung und Wirtschaft hohen Wert. Dr. Halamka hat seine Gesundheitsdaten veröffentlicht, weil das nach seiner Meinung der Forschung zugutekommt. Die Generali-Versicherung will ein “verhaltensbasiertes Ver- sicherungsmodell” auf den Markt bringen, das Gesundheits- daten via App erhebt und auswertet. Apple und Google erlauben die Weitergabe von Gesundheits- daten ihrer Nutzern an Dritte. http://www.personalgenomes.org/ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 6
Digitalisierung erzwingt Strukturwandel Stimmen der Moderne zeigen wohin die Reise gehen kann Therapie, Kommunikation und Abschottungen werden sich deutlich verändern Thomas Ballast, TK, Hamburg Das digitale Zeitalter ist längst Gegenwart Frank Michalak, AOK Nordost, Potsdam Erhöhter Nachholbedarf im Gesundheitswesen Peter Kaetsch, BIG direkt, Dortmund Weniger Bürokratie und mehr Transparenz durch Digitalisierung Dr. Hans Unterhuber, SBK, München Alle werden sich mit informierten Patienten und Versicherten auseinandersetzen müssen Dr. Balazs Szathmary, EMEA Healthcare, Oracle Geforscht und getestet wurde in Deutschland lange genug Prof. Dr. Arno Elmer, FOM Hochschule für Ökonomie und Management 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 7
Herausforderungen der Moderne Quelle: Datensammeln wird zur Normalität Bedenken der American Civil Liberties Union (ACLU) Nach dem ersten Weltkrieg mit Spendenmittel gegründet, arbeitet diese Organisation in den USA daran, Freiheit, Gleichbehandlung und Transparenz gegen staatliche Übergriffe zu verteidigen und hat inzwischen mehr als 500.000 Mitglieder. Die zunehmend ungebremste Datensammlung staatlicher Stellen in Amerika wird von der ACLU als Bedrohung individueller Selbstbestimmung bekämpft. Einstiegsdroge? 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 8
Herausforderungen der Moderne Nachrichten und „Fakten“ werden zunehmend maßgeschneidert Unterschiedliche Nutzer erhalten unterschiedliche Inhalte. Tracker „kennen“ uns – sogar „ad personam“, wenn wir zusätzlich soziale Medien verwenden. Auch Nachrichtendienste nutzen dies. Das hat Konsequenzen: Es wird schwer, Informationen zu finden, die nicht auf den Leser zugeschnitten wurden. Das Internet zeigt dem Nutzer was es glaubt, dass er sehen will. Die eigene Beurteilung von „Relevanz“ wird massiv beeinflusst. Dies gilt auch für den Gesundheitsmarkt! 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 9
Schutz- und Persönlichkeitsverlangen Gesundheitsdaten besetzen eine Sonderstellung Bewertungen und Einschätzungen von Gesundheitsdaten und alle Entschei- dungen zu deren Nutzung sind niemals statisch. Zeitliche Kontexte verändern die perspektivische Wahrnehmung. Gesunde Bürger setzen ganz andere Schwerpunkte, als wenn sie durch eine unerwartete Krankheit zu Patienten werden. Aus der Geheimhaltung persönlicher Informationen wird schnell freizügige Weitergabe, wenn die eigene Gesundheit davon abhängt. Das gilt ebenso für die Bewertung informationstechnischer Datenkonstrukte. Arztakten, Patientenakten, Fallakten oder lebenslange Gesundheitsakten besitzen neben den unterschiedlichen Strukturansätzen auch ganz andersartige Beurtei- lungen – je nachdem, aus welcher persönlichen Perspektive sie der Betroffene betrachtet. Aus „Teufelszeug“ wird schnell ein „Segen“ und umgekehrt. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 10
Schutz- und Persönlichkeitsverlangen Suche nach Lösungsansätzen für die Moderne läuft Bei der Abwägung von Personenschutz und weiterer Nutzung kommt es nicht auf die Absicht oder Intention der Datenverarbeitung an. Relevant sind nur die objektiven Bedingungen. Eine vollständige De-Identifizierung ist nicht immer wirksam und im wechselnden Kontext nicht möglich. Der Einsatz von „Trustcentern“ könnte (aber auch nicht immer) zur Wahrung der Betroffenen- interessen eingesetzt werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder arbeitet an Kriterien für Bild: landesblog.de eine gesetzeskonforme, hinreichende Anonymi- sierung. Thilo Weichert ehem. Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 11
Überwachung wird ubiquitär Jährliche Aufwendungen der USA (bekannte Budgets) Intelligence Community Compre- hensive National Cybersecurity Initiative Data Center Camp Williams, Bluffdale, Utah Geschätzte Speicherkapazität zwischen 3 und 12 Trillionen Byte Bild: AP/Rick Bowmer Bild: Bob Sacha/Corbis 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 12
Vernetzungsanalytik ist Fakt Link-Map aus dem IP-Traffic des Internets Fakt ist: Preisfrage: Wie viele „Hops“ liegen Datenverbindungen „normalen“ durchschnittlich zwischen einem spiegeln Bürger und "echte" Beziehungen dereinem realennachweislichen Welt. Terroristen? 5 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 13
„Reaktion“ eines deutschen Anbieters Quelle: Telekom denkt über ein „Deutschland-Net“ nach Ein „De-Net“ und „De-Mail“ - lösen keine Probleme, sondern zentralisieren sie, - widerspriehen den physikalischen Gegebenheiten der kommerziellen "Leitungswege", - erhöhen nur die Überwachungsmöglichkeiten für Nachrichtendienste und - erhöhen die Marktmacht und den Umsatz des Providers. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 14
Handy-Ortung wie im Krimi Was geht denn wirklich im „richtigen“ Leben? Ortung von Mobilgeräten über Funkmasten (GSM) beruht auf „Triangulation“ deren Genauigkeit immer von Zellengröße und Buchungszahl abhängt. „Dirtboxes“ können mit großem Aufwand anlassbezogen 3m erreichen. (Stadt: ~ 50m) (Land: ~ 3 km) „aktiv“ „passiv“ Fazit: Abwägung von Aufwand vs. Bedrohung ist immer wichtig Bild: Brian McGill / The Wall Street Journal 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 15
Kleine Arabeske am Rande Für Gauner sind Farbkopierer nicht (mehr) die erste Wahl Sicherheit ist die Königsdiszi- plin bei Banknoten. Menschen müssen Merkmale schnell erkennen und unkompli- ziert prüfen können Maschinen müssen verlässlich die für sie bestimmten Merkmale erfassen können. Wasserzeichen Sicherheitsfäden Sicherheitsfolien Sicherheitsfenster Ein gutes Beispiel für Maßnahmen in Sache „Schwachstelle Mensch“ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 16
Kleine Arabeske am Rande Erpresserbriefe vom Farbkopierer sind keine gute Idee weil . . . Die Machine Identification Code (MIC) ist eine Farbdruckermarkierung die eine Identifikation des Geräts ermöglicht, mit dem ein bestimmtes Schriftstück erzeugt wurde. Obwohl seit 2004 bekannt, finden sich bei den meisten Druckern in den Begleit- materialien keine Hinweise auf diese Funktion. https://w2.eff.org/Privacy/printers/docucolor/ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 17
Maßnahmenansatz für Cybersecurity Quelle: Betroffen ist grundsätzlich jeder, aber … In der Gesundheitsversorgung stehen die sonst üblichen Angriffsziele wie Betriebsgeheimnisse oder Geschäftsbeziehungen nicht im Vordergrund. In ihrem Bericht „Security and Resilience in eHealth - Security Challenges and Risks” von 2015 zählt die enisa die Haupt- ursachen für Sicherheitsvorfälle im eHealth-Kontext auf. Wesentliches Element der „Malicious Actions“ ist noch nicht die Erlangung von Gesundheitsdaten (weder i.S. von „Big Data“ noch wegen einer Zielperson). Das ist aber nur noch eine Frage der Zeit. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 18
Heutige Realität Cyberangriffe treffen jetzt auch medizinische Versorger Datennetze und IT-Strukturen von Krankenhäusern und Gesundheitseinrichtungen gelten als sogenannte „kritische Infrastrukturen“ (KRITIS). „WannaCry“ Krypto-Wurm stürzte am 12 Mai 2017 viele britische Klini- ken ins Chaos BSI Lagebericht 2017 Insider konstatieren: „Die größte IT-Schwachstelle sitzt meist vor dem Bildschirm“ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 19
Taxomomie der Malware „Spyware“ ist ein unspezifischer Überbegriff Spyware ist eine Software, die darauf angelegt ist, Informationen über Personen oder Organisationen ohne deren Zustimmung zu sammeln . Zuweilen wird Spyware auch als seriöse Anwendung getarnt, die vorgibt, dem Benutzer auf irgendeine Art Vorteile oder Funktionen zu bieten. Tatsächlich werden aber heimlich Verhaltens- und Nutzungsmuster erfasst. Der Übergang von „einfacher“ Überwachung hin zu aktiven, schädlichen Funktionen ist oft fließend. Eine Abgrenzung kann schwierig sein. Es werden in der Regel vier Gruppen unterschieden: Adware, die versucht, Mehrwert durch automatische Werbung zu generieren. Keylogger, die Tastatureingaben unbemerkt mitschneiden und weitergeben. Rootkits, die einen vollständigen Zugriff auf infizierte Computer ermöglichen. Web Beacons, die Benutzerverhalten im Web im Sinne von „Klick Trails“ nachverfolgen. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 20
Taxomomie der Malware Trojaner Diese eigenständigen Programme sind speziell dafür 2015: 51% konzipiert, sensible Daten in Netzwerken zu finden und abzugreifen. Sie geben vor, einen bestimmten Zwecke zu erfüllen (und tun dies auch meist in begrenztem Umfang), verfolgen aber ganz eigene Schadzwecke (Ausspähen, Kontrollieren, etc.). Vielen Typen von Trojanern übernehmen möglichst die Kontrolle über das infizierte System und öffnen dem Angreifer eine Hintertür, damit dieser später darauf zugreifen kann. Trojaner werden auch oft zur Errichtung von sog. „Botnets“ verwendet. Beispiele: Angry Birds Space, Device-Activation-Loop 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 21
Taxomomie der Malware Viren Zu dieser bekanntesten Schadwaregruppe gehören 2015: 23% Programme, die sich von Computer zu Computer aus- breiten , indem sie Dateien oder Datenträger mit ihrem ausführbaren Programmcode befallen. Sie werden heute meist über Dateifreigaben, Web-Downloads und E-Mail- Anhänge in Umlauf gebracht. Unterschieden werden: Dateiviren befallen ausführbare Programme, indem sie ihren Code in die jeweilige Datei hineinschreiben. Sobald der Anwender die Datei startet, wird der Virus automatisch mitausgeführt . Bootviren nisten sich im Bootsektor von Festplatten oder bootfähigen Sticks ein. Bei jedem Systemstart werden sie aktiv und infizieren angeschlossene Speichermedien. Makroviren verstecken sich in Office-Dokumenten. Beim Laden des verseuchten Dokuments beginnt der Virus automatisch mit seiner Schadensroutine. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 22
Taxomomie der Malware Würmer Sie existieren bereits seit den 1980er-Jahren. Sie ver- 2015: 13% breiteten sich aber erst seitdem Netzwerkinfrastrukturen in und zwischen Organisationen gebräuchlich wurden. Anders als Computerviren können Würmer ohne jegliche menschliche Interaktion innerhalb abgeschlossener Netzwerke „schleichen“ und sich von System zu System ausbreiten. Sie reisen bevorzugt als E-Mail-Anhang kreuz und quer durch das Internet, wo sie optimale Bedingungen vorfinden. Im günstigsten Fall besteht ihr Ziel in der endlosen Vermehrung und der Belegung von Speicherressourcen. Dadurch sinkt die verbleibende Rechenleistung eines infizierten Computers. So haben sie in der Vergangenheit bereits ganze Netzwerke lahmgelegt. Beispiele: Stuxnet, Wiper 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 23
Taxomomie der Malware Potentially Unwanted Programs (PUP‘s) Wie es der Name vermuten lässt, werden diese Pro- 2015: 11% gramme zur Verbreitung von Werbung verwendet, die für den Angreifer mit (finanziellen) Vorteilen verbunden ist oder einen falschen Anschein erweckt. Bei einem solchen System wird der Betroffene mit Pop-ups, Toolbars und anderen Arten von Werbung bombardiert. Eine weitere Variante ist die sog. „Bloatware“. Das sind Programme mit zweifelhaftem Nutzen auf den (meist neuen) Rechnern. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 24
Taxomomie der Malware Adware Adware ist normalerweise im Kern kein bösartiger Code, 2015: 2% aber dennoch sehr lästig, da Webbrowser damit infiziert werden und danach praktisch nicht mehr funktionsfähig sind. Adware wird, wie es der Name vermuten lässt, zur Verbreitung von Werbung verwendet, die für den Angreifer mit finanziellen Vorteilen verbunden ist. Wenn ein System erst mit Adware infiziert wurde, wird der Betroffene beim Versuch, auf das Internet zuzugreifen, mit Pop-ups, Toolbars und anderen Arten von Werbung bombardiert. Beispiele: Ask-Toolbar, 24x7 Help 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 25
Crypto-Ransomware Nach: Datenverschlüsselung als Angriffswaffe Ooops, your files have been encrypted! Wenn Sie diese Nachricht auf ihrem Bildschirm lesen, ist es schon zu spät. Ansteckend ist meistens eine „wichtige“ oder „interessante“ eMail. Die Gestaltungsintelligenz ist inzwischen sehr hoch! Durch Anklicken löst der Anwender einen Download aus, der sich daraufhin im Computer „selbstständig“ macht. NB: Inzwischen gibt es auch „drive by attacks“ aus vervirten oder infizierten Internetseiten. „Angebot“ „Nachfrage“ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 26
Crypto-Ransomware Nach: Datenverschlüsselung als Angriffswaffe Experten raten immer von einer Zahlung ab, denn: es gibt keine Garantie, dass der Unlock-Key kommt oder funktioniert, der Angreifer weiß jetzt, dass er einen „zahlenden Kunden“ hat und empfehlen kann, selbst nach Wiederherstellung; Was verbleibt als Rest im System?? Wie in der Natur sind Viren (und Trojaner) infektiös und greifen innerhalb eines Netzwerks nach Möglichkeit um sich. „Ransom“ „Infektion“ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 27
Cyberangriffe auf Krankenhäuser Maßnahmen für eine effektive Gegenwehr 100% gibt es nicht!! Daher: sichern, sichern, sichern … Zusätzlich: Technische Maßnahmen Arbeitsmaßnahmen Geräteverwaltung Rechteverwaltung Firewalls / Virenscanner Zoneneinteilung vs. Segmentierung Mehr Sicherheit durch Firewalls, VLANs, segmentierte Subnetze Penetrations-Tests und verschlüsselte Kommunikation (besonders im WLAN!) Gilt in Analogie Nach: Darms (2016) Gefährdung Schweizer für alle Heilberufe Spitäler gegenüber Cyberangriffen 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 28
Bedrohungen und Maßnahmenansätze Bei Sicherheit gibt es keine unbedeutenden Hilfsjobs Fremdfirmen haben vielfach unkontrollierten Zugang zu Räumlichkeiten, in denen sensible Patientendaten liegen. Die „Masse“ an Akten schützt nicht vor gezielter Suche oder Kenntnisnahme. „Promi-Schutz“ allein verkennt die Perspektiven der Sucher. Auch Müll kann Bild: verywell UK sensible Infor- mationen ent- halten ! Bild: merkur.de Bild: Achleitner Gebäudereinigung 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 29
Bedrohungen und Maßnahmenansätze Elektronische Bauteile können ein Eigenleben besitzen Komplexe, vernetzte Informationstechnik bietet viele Angriffspunkte die nicht alle dauerhaft und wirksam „gehärtet“ werden können. Regelmäßige externe! Audits sind daher Pflicht, genauso wie „Pen-Tests“ nach größeren Verände- rungen. Bild: Fink Security Consulting 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 30
Bedrohungen und Maßnahmenansätze Nach: Arbeitsmaßnahmen, Stellenbesetzungen Mitarbeiter müssen zu einer Sicherheitskultur herangezogen werden. Als besondere Gefahrenquelle können Perspektivbewerber, Praktikanten, Diplomanden, Doktoranden oder Dolmetscher gelten. Beispiel aus der Praxis des LfV: Eine Mitarbeiterin schickte über Jahre hinweg immer wieder viele Gigabyte Urlaubsbilder in ihr Heimatland. Auffällig war, dass sie häufiger Bilder verschickte als sie Urlaub hatte. Die Analyse ergab Spuren einer „Steganos-Verschlüsselung“ der Bildpixel, die aber nicht aufgelöst werden konnte. Bild: sueddeutsche.de 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 31
Bedrohungen und Maßnahmenansätze Mobile Mitarbeiter Gegenüber IT-Produkten als Geschenk oder „Fundsachen“ (wie der berühmte USB-Stick im Wartesessel) gilt es, ganz besondere Vorsicht walten zu lassen. Eine Prüfung durch fachliche Experten in sicherer Umgebung ist die Mindestforderung. Entsorgen ist die beste Lösung. „Ausprobieren“ ist eine Todsünde. Von der Nutzung „externer“ Computer sollte grundsätzlich abgesehen werden. Das Arbeiten in öffentlicher Umgebung, Einloggen in fremde WLANs oder Nutzung externer Kommunikationsmittel bedingt immer eine wirksame Ende-zu- Ende-Verschlüsselung im Sinne eines „virtuellen privaten Netz- werks“ (VPN-Tunnels). 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 32
Schutzkonzepte Nach: Perimeter-Denken ist robust, aber kein Allheilmittel Funktionen und Zuordnung Liefer- sind dynamisch und anten multivalent. Radiologie Barrieren werden Kranken- kassen oft als hinderlich Labor Verwal- tung wahrgenommen und umgangen. Ärzte IT IT-Topographie Zuweiser und Werkzeuge unterliegen einem Stationen Personal ständigen Wandel. Techniker Pflege Fazit: Alleingenommen Personal keine gute Strategie! (privat) 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 33
Schutzkonzepte Nach: Zugriffsorganisation optimiert die Wirksamkeit Für Mitarbeiter mit Zugriff auf schützenswerte Informationen oder gar Kern- informationen wie Patientendaten liefern auditierte Sicherheits- Offene Information policies wer darf was), zu- sammen mit regelmäßiger Schulung, den wirksam- sten Schutz. 80% 15% 5% Schützenswerte Information Kerninformation 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 34
Macht der Mobiltelefonie Quelle: Eine Technologie verändert die Welt 1991 2020 1991 2001 2010 Die Entwicklung geht langfristig in Richtung „IoT“ = Internet of Things 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 35
Herausforderung: Mobile Health Quelle: Massentrend, Projekte mit Transparenzproblem mHealth-Apps unterscheiden sich von medizinischen Apps dadurch, dass sie kein Medizinprodukt sind. Trotzdem: Internationale Prognosen Markterwartung von über 17,6 Mrd. € in 2017 Weltweit gibt es über 6 Mrd. Telefonverträge 3,4 Mrd. Menschen weltweit werden bis 2017 über ein Smartphone verfügen Vielfalt Anbieter & Heterogenität von Apps kommerzielle Motivation medizinische Relevanz der Daten!!! Qualität & Nutzen?! Zugangsproblematik häufig wenig Informationen vor Installation erhältlich Nutzerfeedback → Wer, sagt was, warum? zentral über App-Stores → Vor-Selektion! 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 36
Herausforderung: Mobile Health Anwendungen beeinflussen das Patientenverhalten C. Peter Waegemann (Boston ): „Es gehe dabei nicht nur um die Ein- führung neuer Technologien, sondern es geht um ein ganz neues Verhalten von Patienten und Versorgern.“ TicketToPrevent PASS Consulting Uni-Klinik Essen KBV Onmeda / SDK Asklepios „Giftratgeber“ „Notfallhilfe HD“ „iNephro „Bundes- „Gesund & Fit“ „Meine Klinik“ Medikamentenplan“ Arztsuche“ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 37
Herausforderung: Smart Analytics Quelle: Exemplarischer Ablauf aus der Klinik 2012 difficulty swallowing fever dry mouth Diagnosis Models Confidence Symptoms thirst Patient Symptoms Family Medications Findings anorexia frequent urination dizziness Renal Failure History History no abdominal pain no back pain no cough UTI no diarrhea Diabetes Oral cancer History Family Bladder cancer Hemochromatosis Influenza Purpura Graves’ Disease (Thyroid Autoimmune) Hypokalemia cutaneous lupus Findings Medications History Patient osteoporosis hyperlipidemia Esophagitis frequent UTI hypothyroidism Alendronate pravastatin levothyroxine hydroxychloroquine urine dipstick: leukocyte esterase supine 120/80 mm HG heart rate: 88 bpm urine culture: E. Coli 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 38
Herausforderung: Datensammler Quelle: Nutzung von Gesundheitsdaten Secondary EHR data could provide new insights into patient health and transform the value chain Imagine if you could query a large patient database about PCR-results for a variety of treatments. Your scientists would be able to draw correlations between gene expression, disease progression, and treatment efficacy for similar classes of drugs within minutes. Imagine being directly plugged in to any disease demographic, being able to find locations with the largest target patient populations, and recruiting those patients during routine clinic visits. You could know every patient in your trial before the investigator does, dramatically reducing the cycletime for 2011 clinical trials. EHR = Elektronische PCR = Polymerase Gesundheitsakte Kettenreaktion 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 39
Herausforderung: Smart Analytics Quelle: Klinische Suchlösungen à la Dr. Watson Die Firma „Mindbreeze“ aus Linz bietet jetzt schon „automatische" Klassifika- tion typischer Muster aus vorhandenen Datenbe- ständen als Rack an. Gefundene Informationen werden semantisch ver- Offene Fragen: knüpft, nach Relevanz - Ärztliche Expertise? sortiert und in einer Über- - Informierte Willensbekundung der Betroffenen? - Gesundheitsdatenzentren? sicht zur Verfügung gestellt. - Wettbewerbermarkt oder Monopole? - Transparenz der Verfahren? - Angriffspotenziale gewinnen Zugriffsvektor 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 40
Herausforderung: Personalisierte Medizin Systemverändernder Ansatz Heute Zukunft „Ein Medikament für alle“ „Personalisierte Therapie“ „Erfahrungstherapie“ „Richtige Intervention / Therapie, in der richtigen Dosierung, für Individualisierung beruhend auf ärztlicher die richtige Person, zur richtigen Zeit“ Erfahrung und allgemeinen Faktoren. Nur bedingt diagnostisch gestützte Therapieleitlinien. Unterstützt durch spezielle „Begleitdiagnostica“ Ansprechrate von Medikation Krebs 25% Alzheimer 30% Rheumatische Arthritis 50% Diabetes 57% Depression 30-60% Nebenwirkungen Beispiel USA (2004): > 2 Mio Patienten eingewiesen wegen medikamentösen Nebenwirkungen (> $ 4 Milliarden / Jahr) > 100,000 Tote (5. Todesursache in den USA) $177 Milliarden Zusatzkosten in der Gesundheitsversorgung pro Jahr HMO‘s geben mehr Geld aus für die Therapie von medizinischen Nebenwirkungen als die kurative Medikation Quelle: Brian B. Spear et al. , „Clinical Application of Pharmacogenetics” Trends in Molecular Medicine (May 2001) 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 41
Herausforderung: Genomik Quelle: Praktischer Einsatz personalisierter Methoden Beispiel: Personalisierte Gesundheitsversorgung für gezielte Therapie von V600E-positiven Tumoren 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 42
Herausforderung: Genomik Quelle: Besonderer Schutz für personalisierte Medizin nötig? In wenigen Jahren wird es möglich sein, ein komplettes menschliches Genom für nur rund 1.000 US-Dollar in unter zwei Stunden zu entziffern. Das Genom wird Basis für eine personalisierte Medizin, wie sie heute bereits in Anfängen existiert. Abgestimmt auf Erbinformationen können dann Medikamente aus verschiedenen Substanzen optimiert zusammengesetzt werden. Diskussionen haben inzwischen begonnen. Löschung nach 10 Jahren mit Erlaubnisvorbehalt ist jetzt gesetzlich verankert. Aber: Heute ist nicht bekannt, welche Informationen das menschliche Genom enthält. In vielleicht 30 Jahren werden ganz andere Dinge herausgelesen werden können, als heute vermutet. - Welcher Schutz ist nötig? - Wie werden dem Betroffenen Fakten mitgeteilt? - Besteht ein Recht auf Nichtwissen? 11,1 Mio. Wells: 1 Giga-Basen / 2 Stunden 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 43
Herausforderung: Datensammler Quelle: Global Player investieren in Health-Technologie Apple HealthKit richtet eine Programmierschnittstelle im IOS ein, die Apps den Austausch von Gesundheitsdaten “unterhalb” des Betriebssystems (also, außerhalb dessen Kontrolle) ermöglicht. Die Daten werden zentral in „sicherer“ Um- gebung gespeichert. Der Nutzer entscheidet welche Apps, welche Daten miteinander austauschen dürfen. Warum wohl?? (Honi soit qui mal y pense) 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 44
Herausforderung: Assistenzsysteme Datenschutz und moderner Lebensanspruch Amazon‘s „Echo“ leitet alle gesprochene Befehle in die Amazon-Cloud weiter, „um die Spracherkennung zu verbessern“. Er benötigt zur Erfüllung der Auf- gaben Zugriff auf alle Systeme des Nutzers. Echo ist permanent aktiv und über- wacht die gesamte Kommunikation innerhalb eines Raumes. Amerikanische Sicherheitsbehörden sind ermächtigt, auf alle Aufzeich- nungen der Systeme zuzugreifen. Die Amazon API‘s ist offen verfügbar für „weitere Entwicklungen“. Benutzer hebeln damit „freiwillig“ den grundgesetzlichen Schutz ihrer eigenen Wohnung selbst aus. Bild: Amazon 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 45
Herausforderung: Lifestyle Social Media werden zum Kulturbestandteil Aktuelle Nutzerzahlen: 50 % aller Deutschen 98% der unter 30-jährigen Daraus ergeben sich - neben allen Risikodiskussionen - ganz neue Chancen für Leistungserbringer, Versorgungseinrichtungen und Unternehmen im Gesundheits- markt. Hier ist jetzt innovatives Engagement und neues Denken der Heilberufsangehörigen gefragt! Bild: adamcikova1.webnode.sk/fotogaleria 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 46
Herausforderung: Lifestyle Herausforderung: Lifestyle David Rowan, Britischer Editor des Magazins „Wired“, Sept. 2010 zeigte sich zunehmend besorgt über die hohen sozialen und politischen Kosten der immer größeren Vernetzung proprietärer Netzwerke. 1) Private Wirtschaftsunternehmen handeln selten in Ihrem!! Interesse. 2) Menschen geben unwissentlich wesentlich mehr preis als sie sich bewusst sind. 3) Es wird damit immer schwerer, sich selbst neu zu erfinden. 4) Aus einem bestimmten Grund eingestellte Informationen werden unweigerlich auch für andere Zwecke genutzt – mit der hohen Wahrscheinlichkeit, dass sich diese gegen Sie wenden. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 47
Herausforderung: Consumer Devices Beispiel: Telekom bring Telemedizin unter die Leute Neue iPhone-Anwendungen für den Gesundheitsmarkt werden seit 2011 in 350 Läden deutschlandweit verkauft. Medisana-AG aus Neuss und Telekom bieten 4 Geräte an. „GlucoDock“ misst und speichert den Blutzuckerwert , Tagebuch-funktion mit Kommentaren und Grenzwerten zur Beurteilung der Messungen. Bild: Deutsches Ärzteblatt „ThermoDoc“ ist ein Infrarot- Thermometer, für Personen oder auch für Speisen. „CardioDock“ misst Blutdruck und Puls und ermittelt den gewichteten Mittelwert aus drei Messungen. „TargetScale“ ist eine Waage, die unter anderem auch Körperfett und Knochenmasse ermittelt. Die Werte gehen per Bluetooth ans iPhone und können dort auch grafisch dargestellt werden. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 48
Eine (nahezu) unbemerkte Herausforderung Umstellung des Internet-Protokolls Mit IPv4 erhielt jeder Anschluss alle 24 Std. eine jeweils neue IP-Adresse, die erst vom „Router“ über sogenannte „Ports“ in das interne Benutzernetz eingeleitet wurde. Mit IPv6 erhält jetzt jeder Anschluss dauerhaft 64 Millionen Adressen, sodass effektiv jedes 192.1.178.255dez db8::85a3:8d3::8a2e:370:7344hex Element des Heimat- netzes theoretisch von außen direkt erreicht/angegriffen werden kann. Cave: Wegen IPv6-Aktivie- rung jeden neuen Router immer kritisch prüfen und abnehmen lassen!! 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 49
Herausforderung: RFID Tags Abwägung von Anwendungs- gegen Missbrauchspotenzial Großes Anwendungspotenzial für Wirtschaft und Verbraucher Effizienzsteigerung bei Logistik und Vertrieb Vereinfachte Zahlungsvorgänge und bessere Produkterkennung Erhöhtes Risiko von unbemerkter (missbräuchlicher) Erhebung und/oder personenbezogener Profilbildung Grundsätzliche Anwendbarkeit aller Datenschutzrechte Transparenz/Verständlichkeit der Prozesse wird bestimmend Bild: universalrfid.com Die Politik steht gegenwärtig abwartend vor Opt-In-Modellen und Regelungen zur Deaktivierung auf der Basis von Selbstverpflichtungen der Industrie. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 50
Summary: Arten von Cyberangriffen … … und wie man sie abwehren kann Angriffsstrategie: Gegenmaßnahme: 1. Netzwerke rund um die Uhr mit 1. Netzwerke effektiv schützen – Malware bombardieren jede Minute, an jedem Tag Cyberkriminelle arbeiten rund um Setzen Sie auf eine Firewall, die die Uhr daran, Möglichkeiten zu dank optimaler Nutzung der Cloud finden, um Ihre Sicherheitslücken Abwehrmechanismen zum Schutz ausnutzen zu können. vor Malware in Echtzeit bereit- stellen kann. 2. Netzwerke mit verschiedenen 2. Netzwerke vor jeglicher Art von Arten von Malware infizieren Malware schützen Cyberkriminelle nutzen für ihre Setzen Sie auf einen mehrschich- Angriffe möglichst viele verschie- tigen Malwareschutz, um Bedroh- dene Malwaretypen, um Sie un- ungen effektiv zu begegnen. vorbereitet zu treffen Quelle: Dell 2015 Die verschiedenen Arten von Cyberangriffen 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 51
Summary: Arten von Cyberangriffen … … und wie man sie abwehren kann Angriffsstrategie: Gegenmaßnahme: 3. Die am wenigsten geschützten 3. Eine Firewall einsetzen, die Netzwerke finden und kompro- optimalen Schutz vor Bedroh- mittieren ungen und hohe Leistung bietet Cyberkriminelle greifen oft die Netz- Entscheiden Sie sich für eine unab- werke an, bei denen sie die meisten hängig getestete Firewall. Schwachstellen ausfindig machen. 4. Eigene Malware oft ändern und 4. Eine Firewall einsetzen, die global angreifen effektiven Schutz vor globalen Es tauchen stündlich neue Bedroh- Bedrohungen gewährleistet ungen auf allen Kontinenten auf. Investieren Sie in eine Sicherheits- lösung, die auf globale Daten zurück- greift, um auch solche Bedrohungen effektiv blockieren zu können. Quelle: Dell 2015 Die verschiedenen Arten von Cyberangriffen 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 52
Cybersicherheit Quelle: Nicht Luxus, sondern zwingende Notwendigkeit Im Zentrum der Cyber-Sicherheit steht grundsätzlich der Schutz kritischer Informationsinfrastrukturen. „Kritische Infrastrukturen“ sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungs- engpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Auf Bundesebene gehören dazu u.a. folgende Sektoren: • ... • Gesundheit • ... www.kritis.bund.de 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 53
Cyberattacken werden als Markt verstanden Versicherungen für Datendiebstähle Immer mehr Versicherer bringen private Cyber- und Internetpolicen auf den Markt. Im Schadenfall decken sie z.B. Verluste durch Online-Shopping und Identitätsmissbrauch ab. Außerdem sind meistens auch die Datenherstellung und psychologische Beratung nach Cyber- mobbing mitversichert. Die Policen bieten oft Zusatzleistungen, die nicht direkt mit einem Schaden zusammenhängen. Sie bieten ihren Kunden z.B. Programme an, die das Internet inklusive des Darknets nach Informationen des Kunden wie Kreditkartennummern, Name und Geburtsdatum durchsuchen, und die auch bei der Löschung der Daten helfen. Die Vertragsbedingungen in dem jungen Markt sind noch sehr unterschiedlich. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 54
Sicherheit beginnt im Kopf Quelle: Neue kritische Funktionalität erzwingt ein Umdenken Classical safety and security thinking has been based on the presumption that we are safe and we are able to prevent “bad touch”. The focus of actions has traditionally been: the control of own systems, the improvement of the protection and staying inside the protection. However, nobody is able to control complex, large integrated cyber- physical systems. Nevertheless, coordination and cooperation are needed. FinJeHeW - Finnish Journal of eHealth and eWelfare 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 55
IT-Sicherheit - eine andauernde Herausforderung Eine psychologische Hintergrundbetrachtung Die Wahrnehmung von Sicherheit beruht nicht auf Wahrscheinlich- keiten und nicht auf mathematischen Berechnungen, TeleTrusT Infobroschüre sondern auf der psychologischen Reaktion von Menschen zu Risiken und deren Gegenmaßnahmen. Man kann sicher sein, ohne sich sicher zu fühlen. Man kann sich sicher fühlen, ohne wirklich sicher zu sein. Sicherheit ist wie eine Waagschale. Es gibt keine absolute Sicherheit. Jede Verbesserung von Sicherheit kostet ihrerseits wieder Aufwände. Es gibt also keine absolute Sicherheit und nur Quelle: selten unerschütterliches Vertrauen. Bruce Schneier, 2008 The Psychology of Security 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 56
Herausforderungen der Gegenwart Viele Dynamiken nehmen Einfluss auf die ärztliche Praxis Das Datensammeln wird zur Normalität. Social Media wird Kulturbestandteil. Die Transparenz der Vernetzungen sinkt. Mobile Computing verändert das Patientenverhalten. Gesundheitsantworten kommen nicht mehr (nur) von Experten. Die Globalisierung verwischt die Grenzen der Justiziabilität. Personalisierte Medizin verspricht neuartige Heilungen. Genomik erzwingt Fragen zur Abgrenzung und Persistenz persönlicher Information. und das ist nur der Anfang … 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 57
Zur Diskussion Ärzte als aktive Akteure der Zukunftsentwicklung Wie positionieren sich die offiziellen Verbände der Heilberufe langfristig in Fragen zu Telemedizin und digitaler Vernetzung? Welchen Spielraum und welche Bedeutung haben landesweite Aktivitäten? Welche Aufteilungen und Rollen wären bei der Erprobung und/oder Implementierung telemedizinischer Anwendungen nützlich? Wie können die Aktualität gegenseitiger Information und eine langfristige Nachhaltigkeit gesichert werden? Welche Möglichkeiten bestehen für „kurze Wege“? Warum nicht eine konzertierte Aktion „Telemedizin in Ihrem Einflussbereich“? 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 58
Meine Take-Home-Message Die Sicherung von Betriebs- und Geschäfts- geheimnissen ist in der Regel lebenswichtig für jedes Unternehmen und daher Chefsache! Zum Schutz der anvertrauten Patientendaten gilt dies in verschärftem Maße für alle Einrichtungen der Heilberufe! 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 59
Bereit für Fragen! Artikelserie mit über 30 Beiträgen zu Bild: Prof. Schlüchtermann „Herausforderungen der Gesund- heitstelematik“, Nachdrucke aus dem KVB-Forum (bitte Visitenkarte) Dr.med. Christoph F-J Goetz Mail: christoph.goetz@teletrust.de 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 60
Sie können auch lesen