Cyber-Risiken und Angriffsszenarien - Festvortrag 38. Internationale Urologische Woche Kitzbühel - TeleTrusT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
38. Internationale Urologische Woche Kitzbühel Festvortrag Cyber-Risiken und Angriffsszenarien Dr.med. Christoph F-J Goetz Arzt und Systemanalytiker 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 1
TeleTrusT - Bundesverband IT-Sicherheit e.V. Größter Kompetenzverbund für IT-Sicherheit in Europa TeleTrusT ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. TeleTrusT bietet Foren für Experten, organisiert Veranstaltungen bzw. Veran- staltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. Zurzeit sind dort über 300 Mitglieder aus allen Bereichen mit speziellen Arbeitsgruppen vertreten wie „Biometrie“, „Cloud Security“, „Gesundheits- telematik“ (Leitung Dr. Goetz), „Mobile Security“, „Politik“, „Recht“ oder „Smart Grids“. Aus der Gesundheitsversorgung sind z.B. bekannt: 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 2
O tempora, O mores Die Zeichen der Zeit: Der weltweite telematische Aufbruch erfasst auch die Gesundheitsbranche. Dabei wird die Gesundheitsversorgung nur als ein Geschäftsfeld unter vielen gesehen. Die Vorstellungen der profes- sionellen Heilberufe werden entweder nicht wahrgenommen oder einfach ignoriert. Neue Produkte werden folglich oft nicht mehr richtig geplant und umfassend abgestimmt, sondern einfach nur „in den Markt gedrückt“. Konsequenz: „Es ist besser, selbst zu wissen.“ 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 3
Herausforderungen heutiger Entwicklung
Drei Hauptfaktoren:
Geschwindigkeit des Inhaltswandels
Technologische Grundkonzepte (wie Zahlensysteme, Netzwerke oder Krypto-
graphie) bilden zwar vielfach eine stabile Ausgangsbasis, aber
die Taktrate der Technologien und Innovationen sowie die rasende Veränderung
der Projektlandschaft (z.B. durch mobile Computing, Big Data oder Cloud-Konzepte)
erzwingen hingegen eine ständige Anpassung und Aktualisierung der Lehrunterlagen.
Heterogenität der Zielgruppen
Annahmen zu Vorinformation oder Hintergrundwissen können nur selten generalisiert
werden (Angehörige von Lehrberufen oder Akademiker).
Interessen und Fragestellungen sind grundsätzlich von dem beruflichen Umfeld der
Studierenden geprägt (stationäre vs. ambulante Einrichtungen).
Dynamik des Zeitgeists
Aktuelle Themen, Diskussionen und „Aufreger“ (wie z.B. Hackerangriffe) prägen die
Wahrnehmung und Aufmerksamkeit für bestimmte Inhalte.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 4
Erkennbare Strömungen werden Realität
Quelle:
Digitalisierung wirkt unausweichlich verändernd
Industrieanalytiker erwarten eine Vielzahl neuer Impulse auf das etablierte
Gesundheitssystem.
Als Treiber werden vor allem die Bürger gesehen, die
„mit den Füßen abstimmen“.
2016: Predictions in Digital Health
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 5
Eine „moderne“ Entscheidung?
„Ich habe freiwillig meine Privatsphäre aufgegeben.“
John D. Halamka M.D.
Notfallarzt, Professor der Harvard Medical School
hat seine kompletten Gesundheitsdaten (Patientenakte und
Genom) im Internet veröffentlicht.
Na und . . .
Das Personal
Gesundheitsdaten - auch von Smartphones, Wear- Genome Project
ables und Apps - haben für Forschung und Wirtschaft
hohen Wert.
Dr. Halamka hat seine Gesundheitsdaten veröffentlicht, weil das
nach seiner Meinung der Forschung zugutekommt.
Die Generali-Versicherung will ein “verhaltensbasiertes Ver-
sicherungsmodell” auf den Markt bringen, das Gesundheits-
daten via App erhebt und auswertet.
Apple und Google erlauben die Weitergabe von Gesundheits-
daten ihrer Nutzern an Dritte. http://www.personalgenomes.org/
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 6
Digitalisierung erzwingt Strukturwandel
Stimmen der Moderne zeigen wohin die Reise gehen kann
Therapie, Kommunikation und Abschottungen
werden sich deutlich verändern
Thomas Ballast, TK, Hamburg
Das digitale Zeitalter ist längst Gegenwart
Frank Michalak, AOK Nordost, Potsdam
Erhöhter Nachholbedarf im Gesundheitswesen
Peter Kaetsch, BIG direkt, Dortmund
Weniger Bürokratie und mehr Transparenz
durch Digitalisierung
Dr. Hans Unterhuber, SBK, München
Alle werden sich mit informierten Patienten
und Versicherten auseinandersetzen müssen
Dr. Balazs Szathmary, EMEA Healthcare, Oracle
Geforscht und getestet wurde in Deutschland
lange genug
Prof. Dr. Arno Elmer, FOM Hochschule für Ökonomie
und Management
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 7
Herausforderungen der Moderne
Quelle:
Datensammeln wird zur Normalität
Bedenken der American Civil Liberties Union (ACLU)
Nach dem ersten Weltkrieg mit Spendenmittel gegründet, arbeitet diese Organisation
in den USA daran, Freiheit, Gleichbehandlung und Transparenz gegen staatliche
Übergriffe zu verteidigen und hat inzwischen mehr als 500.000 Mitglieder.
Die zunehmend ungebremste
Datensammlung staatlicher
Stellen in Amerika wird von der
ACLU als Bedrohung individueller
Selbstbestimmung bekämpft.
Einstiegsdroge?
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 8
Herausforderungen der Moderne
Nachrichten und „Fakten“ werden zunehmend maßgeschneidert
Unterschiedliche Nutzer erhalten
unterschiedliche Inhalte.
Tracker „kennen“ uns – sogar „ad
personam“, wenn wir zusätzlich
soziale Medien verwenden.
Auch Nachrichtendienste nutzen dies.
Das hat Konsequenzen:
Es wird schwer, Informationen zu
finden, die nicht auf den Leser
zugeschnitten wurden.
Das Internet zeigt dem Nutzer was es
glaubt, dass er sehen will.
Die eigene Beurteilung von „Relevanz“
wird massiv beeinflusst.
Dies gilt auch für den Gesundheitsmarkt!
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 9
Schutz- und Persönlichkeitsverlangen
Gesundheitsdaten besetzen eine Sonderstellung
Bewertungen und Einschätzungen von Gesundheitsdaten und alle Entschei-
dungen zu deren Nutzung sind niemals statisch. Zeitliche Kontexte verändern
die perspektivische Wahrnehmung.
Gesunde Bürger setzen ganz andere Schwerpunkte, als wenn sie durch eine
unerwartete Krankheit zu Patienten werden.
Aus der Geheimhaltung persönlicher Informationen wird schnell freizügige
Weitergabe, wenn die eigene Gesundheit davon abhängt.
Das gilt ebenso für die Bewertung informationstechnischer Datenkonstrukte.
Arztakten, Patientenakten, Fallakten oder lebenslange Gesundheitsakten besitzen
neben den unterschiedlichen Strukturansätzen auch ganz andersartige Beurtei-
lungen – je nachdem, aus welcher persönlichen Perspektive sie der Betroffene
betrachtet.
Aus „Teufelszeug“ wird schnell ein „Segen“ und umgekehrt.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 10Schutz- und Persönlichkeitsverlangen
Suche nach Lösungsansätzen für die Moderne läuft
Bei der Abwägung von Personenschutz und weiterer Nutzung kommt es nicht
auf die Absicht oder Intention der Datenverarbeitung an. Relevant sind nur die
objektiven Bedingungen.
Eine vollständige De-Identifizierung ist nicht immer wirksam und im wechselnden
Kontext nicht möglich.
Der Einsatz von „Trustcentern“ könnte (aber
auch nicht immer) zur Wahrung der Betroffenen-
interessen eingesetzt werden.
Die Konferenz der Datenschutzbeauftragten des
Bundes und der Länder arbeitet an Kriterien für
Bild: landesblog.de
eine gesetzeskonforme, hinreichende Anonymi-
sierung. Thilo Weichert
ehem. Leiter des Unabhängigen
Landeszentrums für Datenschutz
Schleswig-Holstein (ULD)
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 11Überwachung wird ubiquitär Jährliche Aufwendungen der USA (bekannte Budgets) Intelligence Community Compre- hensive National Cybersecurity Initiative Data Center Camp Williams, Bluffdale, Utah Geschätzte Speicherkapazität zwischen 3 und 12 Trillionen Byte Bild: AP/Rick Bowmer Bild: Bob Sacha/Corbis 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 12
Vernetzungsanalytik ist Fakt
Link-Map aus dem IP-Traffic des Internets
Fakt ist:
Preisfrage:
Wie viele „Hops“ liegen
Datenverbindungen
„normalen“
durchschnittlich zwischen einem
spiegeln
Bürger und
"echte" Beziehungen dereinem
realennachweislichen
Welt. Terroristen?
5
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 13„Reaktion“ eines deutschen Anbieters
Quelle:
Telekom denkt über ein „Deutschland-Net“ nach
Ein „De-Net“ und „De-Mail“
- lösen keine Probleme, sondern zentralisieren sie,
- widerspriehen den physikalischen Gegebenheiten der kommerziellen
"Leitungswege",
- erhöhen nur die Überwachungsmöglichkeiten für Nachrichtendienste und
- erhöhen die Marktmacht und den Umsatz des Providers.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 14Handy-Ortung wie im Krimi
Was geht denn wirklich im „richtigen“ Leben?
Ortung von Mobilgeräten über Funkmasten (GSM) beruht auf „Triangulation“
deren Genauigkeit immer von Zellengröße und Buchungszahl abhängt.
„Dirtboxes“ können mit großem Aufwand anlassbezogen 3m erreichen.
(Stadt: ~ 50m) (Land: ~ 3 km) „aktiv“
„passiv“
Fazit: Abwägung von Aufwand
vs. Bedrohung ist immer wichtig
Bild: Brian McGill / The Wall Street Journal
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 15Kleine Arabeske am Rande
Für Gauner sind Farbkopierer nicht (mehr) die erste Wahl
Sicherheit ist die Königsdiszi-
plin bei Banknoten.
Menschen müssen Merkmale
schnell erkennen und unkompli-
ziert prüfen können
Maschinen müssen verlässlich
die für sie bestimmten Merkmale
erfassen können.
Wasserzeichen Sicherheitsfäden Sicherheitsfolien Sicherheitsfenster
Ein gutes Beispiel für Maßnahmen in Sache „Schwachstelle Mensch“
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 16Kleine Arabeske am Rande
Erpresserbriefe vom Farbkopierer sind keine gute Idee weil . . .
Die Machine Identification Code (MIC) ist eine Farbdruckermarkierung die
eine Identifikation des Geräts ermöglicht, mit dem ein bestimmtes Schriftstück
erzeugt wurde.
Obwohl seit 2004 bekannt, finden sich bei den meisten Druckern in den Begleit-
materialien keine Hinweise
auf diese Funktion.
https://w2.eff.org/Privacy/printers/docucolor/
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 17Maßnahmenansatz für Cybersecurity
Quelle:
Betroffen ist grundsätzlich jeder, aber …
In der Gesundheitsversorgung stehen die sonst üblichen Angriffsziele wie
Betriebsgeheimnisse oder Geschäftsbeziehungen nicht im Vordergrund.
In ihrem Bericht „Security and Resilience in eHealth - Security Challenges and
Risks” von 2015 zählt die enisa die Haupt-
ursachen für Sicherheitsvorfälle im
eHealth-Kontext auf.
Wesentliches Element der „Malicious
Actions“ ist noch nicht die Erlangung
von Gesundheitsdaten (weder i.S. von
„Big Data“ noch wegen einer Zielperson).
Das ist aber nur noch eine Frage der
Zeit.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 18Heutige Realität
Cyberangriffe treffen jetzt auch medizinische Versorger
Datennetze und IT-Strukturen von Krankenhäusern
und Gesundheitseinrichtungen gelten als sogenannte
„kritische Infrastrukturen“ (KRITIS).
„WannaCry“
Krypto-Wurm
stürzte am 12
Mai 2017 viele
britische Klini-
ken ins Chaos
BSI Lagebericht 2017
Insider konstatieren:
„Die größte IT-Schwachstelle
sitzt meist vor dem Bildschirm“
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 19Taxomomie der Malware
„Spyware“ ist ein unspezifischer Überbegriff
Spyware ist eine Software, die darauf angelegt ist, Informationen über
Personen oder Organisationen ohne deren Zustimmung zu sammeln .
Zuweilen wird Spyware auch als seriöse Anwendung getarnt, die vorgibt, dem
Benutzer auf irgendeine Art Vorteile oder Funktionen zu bieten. Tatsächlich
werden aber heimlich Verhaltens- und Nutzungsmuster erfasst.
Der Übergang von „einfacher“ Überwachung hin zu aktiven, schädlichen
Funktionen ist oft fließend. Eine Abgrenzung kann schwierig sein.
Es werden in der Regel vier Gruppen unterschieden:
Adware, die versucht, Mehrwert durch automatische Werbung zu generieren.
Keylogger, die Tastatureingaben unbemerkt mitschneiden und weitergeben.
Rootkits, die einen vollständigen Zugriff auf infizierte Computer ermöglichen.
Web Beacons, die Benutzerverhalten im Web im Sinne von „Klick Trails“
nachverfolgen.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 20Taxomomie der Malware Trojaner Diese eigenständigen Programme sind speziell dafür 2015: 51% konzipiert, sensible Daten in Netzwerken zu finden und abzugreifen. Sie geben vor, einen bestimmten Zwecke zu erfüllen (und tun dies auch meist in begrenztem Umfang), verfolgen aber ganz eigene Schadzwecke (Ausspähen, Kontrollieren, etc.). Vielen Typen von Trojanern übernehmen möglichst die Kontrolle über das infizierte System und öffnen dem Angreifer eine Hintertür, damit dieser später darauf zugreifen kann. Trojaner werden auch oft zur Errichtung von sog. „Botnets“ verwendet. Beispiele: Angry Birds Space, Device-Activation-Loop 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 21
Taxomomie der Malware
Viren
Zu dieser bekanntesten Schadwaregruppe gehören 2015: 23%
Programme, die sich von Computer zu Computer aus-
breiten , indem sie Dateien oder Datenträger mit ihrem
ausführbaren Programmcode befallen.
Sie werden heute meist über Dateifreigaben, Web-Downloads und E-Mail-
Anhänge in Umlauf gebracht.
Unterschieden werden:
Dateiviren befallen ausführbare Programme, indem sie ihren Code in die jeweilige
Datei hineinschreiben. Sobald der Anwender die Datei startet, wird der Virus
automatisch mitausgeführt .
Bootviren nisten sich im Bootsektor von Festplatten oder bootfähigen Sticks ein. Bei
jedem Systemstart werden sie aktiv und infizieren angeschlossene Speichermedien.
Makroviren verstecken sich in Office-Dokumenten. Beim Laden des verseuchten
Dokuments beginnt der Virus automatisch mit seiner Schadensroutine.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 22Taxomomie der Malware
Würmer
Sie existieren bereits seit den 1980er-Jahren. Sie ver- 2015: 13%
breiteten sich aber erst seitdem Netzwerkinfrastrukturen
in und zwischen Organisationen gebräuchlich wurden.
Anders als Computerviren können Würmer ohne jegliche menschliche
Interaktion innerhalb abgeschlossener Netzwerke „schleichen“ und sich
von System zu System ausbreiten.
Sie reisen bevorzugt als E-Mail-Anhang kreuz und quer durch das Internet, wo
sie optimale Bedingungen vorfinden.
Im günstigsten Fall besteht ihr Ziel in der endlosen Vermehrung und der
Belegung von Speicherressourcen.
Dadurch sinkt die verbleibende Rechenleistung eines infizierten Computers.
So haben sie in der Vergangenheit bereits ganze Netzwerke lahmgelegt.
Beispiele: Stuxnet, Wiper
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 23Taxomomie der Malware Potentially Unwanted Programs (PUP‘s) Wie es der Name vermuten lässt, werden diese Pro- 2015: 11% gramme zur Verbreitung von Werbung verwendet, die für den Angreifer mit (finanziellen) Vorteilen verbunden ist oder einen falschen Anschein erweckt. Bei einem solchen System wird der Betroffene mit Pop-ups, Toolbars und anderen Arten von Werbung bombardiert. Eine weitere Variante ist die sog. „Bloatware“. Das sind Programme mit zweifelhaftem Nutzen auf den (meist neuen) Rechnern. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 24
Taxomomie der Malware Adware Adware ist normalerweise im Kern kein bösartiger Code, 2015: 2% aber dennoch sehr lästig, da Webbrowser damit infiziert werden und danach praktisch nicht mehr funktionsfähig sind. Adware wird, wie es der Name vermuten lässt, zur Verbreitung von Werbung verwendet, die für den Angreifer mit finanziellen Vorteilen verbunden ist. Wenn ein System erst mit Adware infiziert wurde, wird der Betroffene beim Versuch, auf das Internet zuzugreifen, mit Pop-ups, Toolbars und anderen Arten von Werbung bombardiert. Beispiele: Ask-Toolbar, 24x7 Help 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 25
Crypto-Ransomware
Nach:
Datenverschlüsselung als Angriffswaffe
Ooops, your files have been encrypted!
Wenn Sie diese Nachricht auf ihrem Bildschirm lesen, ist es schon zu spät.
Ansteckend ist meistens eine „wichtige“ oder „interessante“ eMail.
Die Gestaltungsintelligenz ist inzwischen sehr hoch!
Durch Anklicken löst der Anwender einen Download aus, der
sich daraufhin im Computer „selbstständig“ macht.
NB: Inzwischen gibt es auch „drive by attacks“ aus
vervirten oder infizierten Internetseiten.
„Angebot“ „Nachfrage“
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 26Crypto-Ransomware
Nach:
Datenverschlüsselung als Angriffswaffe
Experten raten immer von einer Zahlung ab, denn:
es gibt keine Garantie, dass der Unlock-Key kommt oder funktioniert,
der Angreifer weiß jetzt, dass er einen „zahlenden Kunden“ hat und empfehlen kann,
selbst nach Wiederherstellung; Was verbleibt als Rest im System??
Wie in der Natur sind Viren (und Trojaner) infektiös und greifen innerhalb eines
Netzwerks nach Möglichkeit um sich.
„Ransom“ „Infektion“
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 27Cyberangriffe auf Krankenhäuser
Maßnahmen für eine effektive Gegenwehr
100% gibt es nicht!!
Daher: sichern, sichern,
sichern …
Zusätzlich:
Technische Maßnahmen
Arbeitsmaßnahmen
Geräteverwaltung
Rechteverwaltung
Firewalls / Virenscanner
Zoneneinteilung vs.
Segmentierung Mehr Sicherheit durch Firewalls,
VLANs, segmentierte Subnetze
Penetrations-Tests und verschlüsselte Kommunikation
(besonders im WLAN!)
Gilt in Analogie Nach: Darms (2016) Gefährdung Schweizer
für alle Heilberufe Spitäler gegenüber Cyberangriffen
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 28Bedrohungen und Maßnahmenansätze
Bei Sicherheit gibt es keine unbedeutenden Hilfsjobs
Fremdfirmen haben vielfach unkontrollierten
Zugang zu Räumlichkeiten, in denen sensible
Patientendaten liegen.
Die „Masse“ an Akten schützt nicht vor gezielter
Suche oder Kenntnisnahme. „Promi-Schutz“
allein verkennt die Perspektiven der Sucher.
Auch Müll kann Bild: verywell UK
sensible Infor-
mationen ent-
halten !
Bild: merkur.de Bild: Achleitner Gebäudereinigung
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 29Bedrohungen und Maßnahmenansätze
Elektronische Bauteile können ein Eigenleben besitzen
Komplexe, vernetzte Informationstechnik bietet viele Angriffspunkte die nicht
alle dauerhaft und wirksam „gehärtet“ werden können.
Regelmäßige externe! Audits sind daher Pflicht,
genauso wie „Pen-Tests“ nach größeren Verände-
rungen.
Bild: Fink Security Consulting
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 30Bedrohungen und Maßnahmenansätze
Nach:
Arbeitsmaßnahmen, Stellenbesetzungen
Mitarbeiter müssen zu einer Sicherheitskultur herangezogen werden.
Als besondere Gefahrenquelle können Perspektivbewerber, Praktikanten,
Diplomanden, Doktoranden oder Dolmetscher gelten.
Beispiel aus der Praxis des LfV:
Eine Mitarbeiterin schickte über
Jahre hinweg immer wieder
viele Gigabyte Urlaubsbilder in
ihr Heimatland.
Auffällig war, dass sie häufiger
Bilder verschickte als sie Urlaub
hatte.
Die Analyse ergab Spuren einer
„Steganos-Verschlüsselung“ der
Bildpixel, die aber nicht aufgelöst
werden konnte. Bild: sueddeutsche.de
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 31Bedrohungen und Maßnahmenansätze
Mobile Mitarbeiter
Gegenüber IT-Produkten als Geschenk oder „Fundsachen“ (wie der berühmte
USB-Stick im Wartesessel) gilt es, ganz besondere Vorsicht walten zu lassen.
Eine Prüfung durch fachliche Experten in sicherer Umgebung
ist die Mindestforderung.
Entsorgen ist die beste Lösung.
„Ausprobieren“ ist eine Todsünde.
Von der Nutzung „externer“ Computer sollte grundsätzlich abgesehen werden.
Das Arbeiten in öffentlicher Umgebung, Einloggen in fremde WLANs oder
Nutzung externer Kommunikationsmittel bedingt immer eine wirksame Ende-zu-
Ende-Verschlüsselung im Sinne
eines „virtuellen privaten Netz-
werks“ (VPN-Tunnels).
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 32Schutzkonzepte
Nach:
Perimeter-Denken ist robust, aber kein Allheilmittel
Funktionen und Zuordnung
Liefer-
sind dynamisch und anten
multivalent. Radiologie
Barrieren werden Kranken-
kassen
oft als hinderlich Labor
Verwal-
tung
wahrgenommen
und umgangen.
Ärzte
IT
IT-Topographie Zuweiser
und Werkzeuge
unterliegen einem Stationen Personal
ständigen Wandel. Techniker
Pflege
Fazit: Alleingenommen Personal
keine gute Strategie! (privat)
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 33Schutzkonzepte
Nach:
Zugriffsorganisation optimiert die Wirksamkeit
Für Mitarbeiter mit Zugriff auf schützenswerte Informationen oder gar Kern-
informationen wie Patientendaten
liefern auditierte Sicherheits- Offene Information
policies wer darf was), zu-
sammen mit regelmäßiger
Schulung, den wirksam-
sten Schutz. 80%
15%
5%
Schützenswerte
Information
Kerninformation
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 34Macht der Mobiltelefonie
Quelle:
Eine Technologie verändert die Welt
1991 2020
1991
2001
2010
Die Entwicklung geht langfristig in Richtung „IoT“ = Internet of Things
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 35Herausforderung: Mobile Health
Quelle:
Massentrend, Projekte mit Transparenzproblem
mHealth-Apps unterscheiden sich von medizinischen Apps dadurch,
dass sie kein Medizinprodukt sind. Trotzdem:
Internationale Prognosen
Markterwartung von über 17,6 Mrd. € in 2017
Weltweit gibt es über 6 Mrd. Telefonverträge
3,4 Mrd. Menschen weltweit werden bis 2017 über
ein Smartphone verfügen
Vielfalt Anbieter & Heterogenität von Apps
kommerzielle Motivation
medizinische Relevanz der Daten!!!
Qualität & Nutzen?!
Zugangsproblematik
häufig wenig Informationen vor Installation
erhältlich
Nutzerfeedback → Wer, sagt was, warum?
zentral über App-Stores → Vor-Selektion!
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 36Herausforderung: Mobile Health
Anwendungen beeinflussen das Patientenverhalten
C. Peter Waegemann (Boston ):
„Es gehe dabei nicht nur um die Ein-
führung neuer Technologien, sondern
es geht um ein ganz neues Verhalten
von Patienten und Versorgern.“
TicketToPrevent PASS Consulting Uni-Klinik Essen KBV Onmeda / SDK Asklepios
„Giftratgeber“ „Notfallhilfe HD“ „iNephro „Bundes- „Gesund & Fit“ „Meine Klinik“
Medikamentenplan“ Arztsuche“
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 37Herausforderung: Smart Analytics
Quelle:
Exemplarischer Ablauf aus der Klinik 2012
difficulty swallowing
fever
dry mouth Diagnosis Models Confidence
Symptoms
thirst
Patient
Symptoms
Family
Medications
Findings anorexia
frequent urination
dizziness
Renal Failure
History
History no abdominal pain
no back pain
no cough
UTI
no diarrhea
Diabetes
Oral cancer
History
Family
Bladder cancer
Hemochromatosis Influenza
Purpura
Graves’ Disease
(Thyroid Autoimmune) Hypokalemia
cutaneous lupus
Findings Medications History
Patient
osteoporosis
hyperlipidemia
Esophagitis
frequent UTI
hypothyroidism
Alendronate
pravastatin
levothyroxine
hydroxychloroquine
urine dipstick:
leukocyte esterase
supine 120/80 mm HG
heart rate: 88 bpm
urine culture: E. Coli
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 38Herausforderung: Datensammler
Quelle:
Nutzung von Gesundheitsdaten
Secondary EHR data could provide new insights into patient health and
transform the value chain
Imagine if you could query a large patient database about
PCR-results for a variety of treatments.
Your scientists would be able to draw correlations
between gene expression, disease progression, and
treatment efficacy for similar classes of drugs within
minutes.
Imagine being directly plugged in to any disease
demographic, being able to find locations with the largest
target patient populations, and recruiting those patients
during routine clinic visits.
You could know every patient in your trial before the
investigator does, dramatically reducing the cycletime for 2011
clinical trials.
EHR = Elektronische PCR = Polymerase
Gesundheitsakte Kettenreaktion
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 39Herausforderung: Smart Analytics
Quelle:
Klinische Suchlösungen à la Dr. Watson
Die Firma „Mindbreeze“
aus Linz bietet jetzt schon
„automatische" Klassifika-
tion typischer Muster aus
vorhandenen Datenbe-
ständen als Rack an.
Gefundene Informationen
werden semantisch ver- Offene Fragen:
knüpft, nach Relevanz - Ärztliche Expertise?
sortiert und in einer Über- - Informierte Willensbekundung der Betroffenen?
- Gesundheitsdatenzentren?
sicht zur Verfügung gestellt. - Wettbewerbermarkt oder Monopole?
- Transparenz der Verfahren?
- Angriffspotenziale gewinnen Zugriffsvektor
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 40Herausforderung: Personalisierte Medizin
Systemverändernder Ansatz
Heute Zukunft
„Ein Medikament für alle“
„Personalisierte Therapie“
„Erfahrungstherapie“ „Richtige Intervention / Therapie, in der richtigen Dosierung, für
Individualisierung beruhend auf ärztlicher die richtige Person, zur richtigen Zeit“
Erfahrung und allgemeinen Faktoren.
Nur bedingt diagnostisch gestützte Therapieleitlinien. Unterstützt durch spezielle „Begleitdiagnostica“
Ansprechrate von Medikation
Krebs 25%
Alzheimer 30%
Rheumatische Arthritis 50%
Diabetes 57%
Depression 30-60%
Nebenwirkungen
Beispiel USA (2004):
> 2 Mio Patienten eingewiesen wegen medikamentösen
Nebenwirkungen (> $ 4 Milliarden / Jahr)
> 100,000 Tote (5. Todesursache in den USA)
$177 Milliarden Zusatzkosten in der Gesundheitsversorgung pro
Jahr
HMO‘s geben mehr Geld aus für die Therapie von medizinischen
Nebenwirkungen als die kurative Medikation
Quelle: Brian B. Spear et al. , „Clinical Application of Pharmacogenetics” Trends in Molecular Medicine (May 2001)
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 41Herausforderung: Genomik
Quelle:
Praktischer Einsatz personalisierter Methoden
Beispiel: Personalisierte Gesundheitsversorgung für gezielte Therapie von
V600E-positiven Tumoren
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 42Herausforderung: Genomik
Quelle:
Besonderer Schutz für personalisierte Medizin nötig?
In wenigen Jahren wird es möglich sein, ein komplettes menschliches Genom
für nur rund 1.000 US-Dollar in unter zwei Stunden zu entziffern.
Das Genom wird Basis für eine personalisierte Medizin, wie sie heute bereits in
Anfängen existiert. Abgestimmt auf Erbinformationen können dann Medikamente
aus verschiedenen Substanzen optimiert zusammengesetzt werden.
Diskussionen haben inzwischen begonnen. Löschung nach 10 Jahren mit
Erlaubnisvorbehalt ist jetzt gesetzlich verankert.
Aber: Heute ist nicht bekannt, welche Informationen das
menschliche Genom enthält. In vielleicht 30 Jahren
werden ganz andere Dinge herausgelesen werden können,
als heute vermutet.
- Welcher Schutz ist nötig?
- Wie werden dem Betroffenen Fakten mitgeteilt?
- Besteht ein Recht auf Nichtwissen? 11,1 Mio. Wells: 1 Giga-Basen / 2 Stunden
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 43Herausforderung: Datensammler
Quelle:
Global Player investieren in Health-Technologie
Apple HealthKit richtet eine Programmierschnittstelle im IOS ein, die Apps den
Austausch von Gesundheitsdaten “unterhalb” des Betriebssystems (also,
außerhalb dessen Kontrolle) ermöglicht.
Die Daten werden zentral in „sicherer“ Um-
gebung gespeichert. Der Nutzer entscheidet
welche Apps, welche Daten miteinander
austauschen dürfen.
Warum wohl??
(Honi soit qui mal y pense)
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 44Herausforderung: Assistenzsysteme
Datenschutz und moderner Lebensanspruch
Amazon‘s „Echo“ leitet alle gesprochene Befehle in die Amazon-Cloud weiter,
„um die Spracherkennung zu verbessern“. Er benötigt zur Erfüllung der Auf-
gaben Zugriff auf alle Systeme des Nutzers.
Echo ist permanent aktiv und über-
wacht die gesamte Kommunikation
innerhalb eines Raumes.
Amerikanische Sicherheitsbehörden
sind ermächtigt, auf alle Aufzeich-
nungen der Systeme zuzugreifen.
Die Amazon API‘s ist offen verfügbar
für „weitere Entwicklungen“.
Benutzer hebeln damit „freiwillig“ den
grundgesetzlichen Schutz ihrer eigenen
Wohnung selbst aus. Bild: Amazon
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 45Herausforderung: Lifestyle
Social Media werden zum Kulturbestandteil
Aktuelle Nutzerzahlen:
50 % aller Deutschen
98% der unter 30-jährigen
Daraus ergeben sich - neben allen
Risikodiskussionen - ganz neue
Chancen für Leistungserbringer,
Versorgungseinrichtungen und
Unternehmen im Gesundheits-
markt.
Hier ist jetzt innovatives
Engagement und neues Denken
der Heilberufsangehörigen gefragt!
Bild: adamcikova1.webnode.sk/fotogaleria
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 46Herausforderung: Lifestyle
Herausforderung: Lifestyle
David Rowan, Britischer Editor des Magazins „Wired“, Sept. 2010
zeigte sich zunehmend besorgt über die
hohen sozialen und politischen Kosten
der immer größeren Vernetzung
proprietärer Netzwerke.
1) Private Wirtschaftsunternehmen handeln selten in Ihrem!!
Interesse.
2) Menschen geben unwissentlich wesentlich mehr preis als
sie sich bewusst sind.
3) Es wird damit immer schwerer, sich selbst neu zu erfinden.
4) Aus einem bestimmten Grund eingestellte Informationen
werden unweigerlich auch für andere Zwecke genutzt –
mit der hohen Wahrscheinlichkeit, dass sich diese
gegen Sie wenden.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 47Herausforderung: Consumer Devices
Beispiel: Telekom bring Telemedizin unter die Leute
Neue iPhone-Anwendungen für den Gesundheitsmarkt werden seit 2011 in 350
Läden deutschlandweit verkauft.
Medisana-AG aus Neuss und
Telekom bieten 4 Geräte an.
„GlucoDock“ misst und
speichert den Blutzuckerwert ,
Tagebuch-funktion mit
Kommentaren und Grenzwerten
zur Beurteilung der Messungen.
Bild: Deutsches Ärzteblatt
„ThermoDoc“ ist ein Infrarot-
Thermometer, für Personen oder auch für Speisen.
„CardioDock“ misst Blutdruck und Puls und ermittelt den gewichteten Mittelwert aus
drei Messungen.
„TargetScale“ ist eine Waage, die unter anderem auch Körperfett und Knochenmasse
ermittelt. Die Werte gehen per Bluetooth ans iPhone und können dort auch grafisch
dargestellt werden.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 48Eine (nahezu) unbemerkte Herausforderung
Umstellung des Internet-Protokolls
Mit IPv4 erhielt jeder Anschluss alle 24 Std. eine jeweils neue IP-Adresse,
die erst vom „Router“ über sogenannte „Ports“ in das interne Benutzernetz
eingeleitet wurde.
Mit IPv6 erhält jetzt jeder Anschluss dauerhaft 64 Millionen Adressen, sodass
effektiv jedes 192.1.178.255dez db8::85a3:8d3::8a2e:370:7344hex
Element des Heimat-
netzes theoretisch
von außen direkt
erreicht/angegriffen
werden kann.
Cave: Wegen IPv6-Aktivie-
rung jeden neuen Router
immer kritisch prüfen und
abnehmen lassen!!
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 49Herausforderung: RFID Tags
Abwägung von Anwendungs- gegen Missbrauchspotenzial
Großes Anwendungspotenzial für Wirtschaft und Verbraucher
Effizienzsteigerung bei Logistik und
Vertrieb
Vereinfachte Zahlungsvorgänge und
bessere Produkterkennung
Erhöhtes Risiko von unbemerkter
(missbräuchlicher) Erhebung und/oder
personenbezogener Profilbildung
Grundsätzliche Anwendbarkeit aller
Datenschutzrechte
Transparenz/Verständlichkeit der
Prozesse wird bestimmend Bild: universalrfid.com
Die Politik steht gegenwärtig abwartend vor Opt-In-Modellen und Regelungen zur
Deaktivierung auf der Basis von Selbstverpflichtungen der Industrie.
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 50Summary: Arten von Cyberangriffen …
… und wie man sie abwehren kann
Angriffsstrategie: Gegenmaßnahme:
1. Netzwerke rund um die Uhr mit 1. Netzwerke effektiv schützen –
Malware bombardieren jede Minute, an jedem Tag
Cyberkriminelle arbeiten rund um Setzen Sie auf eine Firewall, die
die Uhr daran, Möglichkeiten zu dank optimaler Nutzung der Cloud
finden, um Ihre Sicherheitslücken Abwehrmechanismen zum Schutz
ausnutzen zu können. vor Malware in Echtzeit bereit-
stellen kann.
2. Netzwerke mit verschiedenen 2. Netzwerke vor jeglicher Art von
Arten von Malware infizieren Malware schützen
Cyberkriminelle nutzen für ihre Setzen Sie auf einen mehrschich-
Angriffe möglichst viele verschie- tigen Malwareschutz, um Bedroh-
dene Malwaretypen, um Sie un- ungen effektiv zu begegnen.
vorbereitet zu treffen
Quelle: Dell 2015 Die verschiedenen Arten von Cyberangriffen
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 51Summary: Arten von Cyberangriffen …
… und wie man sie abwehren kann
Angriffsstrategie: Gegenmaßnahme:
3. Die am wenigsten geschützten 3. Eine Firewall einsetzen, die
Netzwerke finden und kompro- optimalen Schutz vor Bedroh-
mittieren ungen und hohe Leistung bietet
Cyberkriminelle greifen oft die Netz- Entscheiden Sie sich für eine unab-
werke an, bei denen sie die meisten hängig getestete Firewall.
Schwachstellen ausfindig machen.
4. Eigene Malware oft ändern und 4. Eine Firewall einsetzen, die
global angreifen effektiven Schutz vor globalen
Es tauchen stündlich neue Bedroh- Bedrohungen gewährleistet
ungen auf allen Kontinenten auf. Investieren Sie in eine Sicherheits-
lösung, die auf globale Daten zurück-
greift, um auch solche Bedrohungen
effektiv blockieren zu können.
Quelle: Dell 2015 Die verschiedenen Arten von Cyberangriffen
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 52Cybersicherheit
Quelle:
Nicht Luxus, sondern zwingende Notwendigkeit
Im Zentrum der Cyber-Sicherheit steht grundsätzlich
der Schutz kritischer Informationsinfrastrukturen.
„Kritische Infrastrukturen“ sind
Organisationen und Einrichtungen mit wichtiger
Bedeutung für das Gemeinwesen, bei deren Ausfall
oder Beeinträchtigung nachhaltig wirkende Versorgungs-
engpässe, erhebliche Störungen der öffentlichen
Sicherheit oder andere dramatische Folgen eintreten
würden.
Auf Bundesebene gehören
dazu u.a. folgende Sektoren:
• ...
• Gesundheit
• ...
www.kritis.bund.de
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 53Cyberattacken werden als Markt verstanden Versicherungen für Datendiebstähle Immer mehr Versicherer bringen private Cyber- und Internetpolicen auf den Markt. Im Schadenfall decken sie z.B. Verluste durch Online-Shopping und Identitätsmissbrauch ab. Außerdem sind meistens auch die Datenherstellung und psychologische Beratung nach Cyber- mobbing mitversichert. Die Policen bieten oft Zusatzleistungen, die nicht direkt mit einem Schaden zusammenhängen. Sie bieten ihren Kunden z.B. Programme an, die das Internet inklusive des Darknets nach Informationen des Kunden wie Kreditkartennummern, Name und Geburtsdatum durchsuchen, und die auch bei der Löschung der Daten helfen. Die Vertragsbedingungen in dem jungen Markt sind noch sehr unterschiedlich. 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 54
Sicherheit beginnt im Kopf
Quelle:
Neue kritische Funktionalität erzwingt ein Umdenken
Classical safety and security
thinking has been based on the
presumption that we are safe and
we are able to prevent “bad touch”.
The focus of actions has
traditionally been:
the control of own systems,
the improvement of the protection
and staying inside the protection.
However, nobody is able to control
complex, large integrated cyber-
physical systems. Nevertheless,
coordination and cooperation are
needed.
FinJeHeW - Finnish Journal of eHealth and eWelfare
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 55IT-Sicherheit - eine andauernde Herausforderung
Eine psychologische Hintergrundbetrachtung
Die Wahrnehmung von Sicherheit beruht nicht auf Wahrscheinlich-
keiten und nicht auf mathematischen Berechnungen,
TeleTrusT Infobroschüre
sondern auf der psychologischen Reaktion von Menschen
zu Risiken und deren Gegenmaßnahmen.
Man kann sicher sein, ohne sich sicher zu fühlen.
Man kann sich sicher fühlen, ohne wirklich sicher
zu sein.
Sicherheit ist wie eine Waagschale. Es gibt keine
absolute Sicherheit.
Jede Verbesserung von Sicherheit kostet ihrerseits
wieder Aufwände.
Es gibt also keine absolute Sicherheit und nur Quelle:
selten unerschütterliches Vertrauen. Bruce Schneier, 2008
The Psychology of Security
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 56Herausforderungen der Gegenwart
Viele Dynamiken nehmen Einfluss auf die ärztliche Praxis
Das Datensammeln wird zur Normalität.
Social Media wird Kulturbestandteil.
Die Transparenz der Vernetzungen sinkt.
Mobile Computing verändert das
Patientenverhalten.
Gesundheitsantworten kommen nicht
mehr (nur) von Experten.
Die Globalisierung verwischt die Grenzen
der Justiziabilität.
Personalisierte Medizin verspricht neuartige
Heilungen.
Genomik erzwingt Fragen zur Abgrenzung und Persistenz
persönlicher Information.
und das ist nur der Anfang …
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 57Zur Diskussion Ärzte als aktive Akteure der Zukunftsentwicklung Wie positionieren sich die offiziellen Verbände der Heilberufe langfristig in Fragen zu Telemedizin und digitaler Vernetzung? Welchen Spielraum und welche Bedeutung haben landesweite Aktivitäten? Welche Aufteilungen und Rollen wären bei der Erprobung und/oder Implementierung telemedizinischer Anwendungen nützlich? Wie können die Aktualität gegenseitiger Information und eine langfristige Nachhaltigkeit gesichert werden? Welche Möglichkeiten bestehen für „kurze Wege“? Warum nicht eine konzertierte Aktion „Telemedizin in Ihrem Einflussbereich“? 24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 58
Meine Take-Home-Message
Die Sicherung von Betriebs- und Geschäfts-
geheimnissen ist in der Regel lebenswichtig
für jedes Unternehmen und daher
Chefsache!
Zum Schutz der anvertrauten
Patientendaten gilt dies in verschärftem
Maße für alle Einrichtungen der
Heilberufe!
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 59Bereit für Fragen!
Artikelserie mit über 30 Beiträgen zu
Bild: Prof. Schlüchtermann „Herausforderungen der Gesund-
heitstelematik“, Nachdrucke aus dem
KVB-Forum (bitte Visitenkarte)
Dr.med. Christoph F-J Goetz
Mail: christoph.goetz@teletrust.de
24.01.2018 © Dr.med. Christoph F-J Goetz, Kassenärztliche Vereinigung Bayerns 60Sie können auch lesen
