ÄrzteTag
Transkript
00:00:00: Music.
00:00:05: Herzlich willkommen zum ÄrzteTag dem Podcast der Ärztezeitung ich bin Hauke Gerlof stellvertretender Chefredakteur unser Thema heute.
00:00:14: Einmal mehr.
00:00:16: Cybersicherheit in Arztpraxen im Allgemeinen und die zweite Stufe der ID Sicherheitsrichtlinie die Anfang Januar für Praxen greift.
00:00:25: Und am Telefon begrüße ich dazu Michael Wiesner seines Zeichens ID Sicherheitsexperte und pentester und als solcher Unternehmer in eigener Sache Hallo Herr Wiesner Hallo.
00:00:40: Herr Wiesner gerüchteweise habe ich gehört dass es auch Ärzte gibt die krank geworden sind schon mal
00:00:46: daher an Sie als die Sicherheitsexperten als erstes die Frage sind sie schon mal gehackt worden
00:00:54: dann meine gute Frage ehrlich gesagt ich weiß es gar nicht aber ich gehe zwar sehr sicher davon aus dass es noch nicht passiert ist aber wenn
00:01:04: Angriff der professionelle ist dann hat man dich gar nichts zu sagen also ich vermute es dass es noch nichts passiert ist aber wissen tue ich es nicht.
00:01:15: Ja das ist eine gute ich die Relativität des Seins spiegelt sich auch in dieser Antwort ja wir haben dich ja als Lifehacker einen Namen gemacht auf der guten Seite der Macht sozusagen
00:01:28: aber wir machen das nicht Unglücken für sich auszunutzen sondern um sie aufzudecken und zu schließen bevor jemand anders reinkommt der ist nicht so gut meint.
00:01:37: Hat es denn schon Systeme gegeben die sie nicht knacken konnten
00:01:42: ja natürlich aber das ist schon klar bitte immer wieder Systeme die man nicht knacken kann weil sie entweder so einfach gestrickt sind oder so gute Sicherheitsmaßnahmen haben dass es ihm nicht funktioniert muss aber warten.
00:01:56: Ist ein Unternehmen oder eine Arztpraxis heutzutage recht gut abgesichert.
00:02:01: So mal so man geht das Angreifer aber nicht durch die Haustür sondern man versucht natürlich immer.
00:02:06: Unerkannt durch die Hintertür zu kommen und genauso geht man in dem Fall auch eben vor greift man versucht soweit bewernick Göttingen E-Mail Zugriff auf einen PC zu bekommen der
00:02:18: in der Praxis oder Unternehmen steht und von da aus sich dann intern Netzwerk quasi bei der fortzupflanzen und wenn man da einmal ist
00:02:25: Anrufe täglich in einfacher da reden wir dann wenn wir Penetrationstest machen von internen pentest und da bin ich eigentlich fast immer erfolgreich ich habe letztens irgendwann meinen 200. pentest
00:02:37: und wundert 50 davon waren interne und die waren tatsächlich alle erfolgreich also ist alles nichts Gutes sagen.
00:02:46: Kann ich fragen ob du doch wenn man wenn man bestimmte Dinge richtig macht dann dann kann man da schon sehr sehr viel Schutz auch dich schaffen es nur mal so es gibt immer die gleichen Probleme in einem Netzwerk
00:02:59: die dazu führen dass man bestimmte Systeme knacken kann und dann seine Berechtigungen im internen Netzwerk es passieren kann und solange ich diese Fehler mache auf diesem System kann ich das Angreifen auch relativ einfach
00:03:11: nun ist es ja so die Einschläge kommen näher im Gesundheitswesen wenigstens gefühlt in den vergangenen Wochen hat es die beiden größten Praxis-EDV.
00:03:21: Anbieter erwischt wobei zunächst noch nicht klar war wie heftig der Einschlag bei compuGroup Medical gewesen ist.
00:03:28: Die hatten ja gestern Abend noch so eine halbe Entwarnung gegeben aber auch Ärzte und Kliniken direkt hatten natürlich bereits mit diesem.
00:03:37: Ransomware Attacken vor allen Dingen das sind ja oft daneben mit Phishing Mails kommen die die rein wie sie es eben beschrieben haben er hat nie zu kämpfen die Praxen.
00:03:47: Wie schnell sind die niedergelassenen Ärztinnen und Ärzte auf diese Angriffe denn gut vorbereitet letztlich nee leider die wenigsten muss man sagen.
00:03:57: Es gibt ja bei der beim Schutz vor solchen Angriffen gibt es ja verschiedene Maßnahmen die man ergreifen sollte und man fängt immer mit dem training 7 sicherheitsarmband man das heißt man hat eine eine Firewall für Netzwerk die das Internet.
00:04:11: Ich habe gerade vor den Angriffen aus dem Internet sicher sondern Virenschutzprogramm und so weiter und schon bei diesem Grundlagen
00:04:19: gibt es da bei vielen Ärzten oder Katzen sehr der mau aus würde eben keine professionelle Firewall eingesetzt sondern am Ende des Tages einfacher DSL-Router.
00:04:29: Und das macht es mir natürlich relativ einfach.
00:04:32: Das größte Problem ist allerdings das wäre es tatsächlich mal jemand schafft in so ein Netzwerk einzudringen die wenigsten tatsächlich mitbekommen
00:04:40: dr.kai Förster Veitsbronn hat ein Anwalt oder manuell vorgeht oder eben als Wurm der dann quasi sich automatisiert durch das Netzwerk
00:04:48: arbeitet hat man nicht die Möglichkeit dass der kennenlernen wenn man wenn man das nicht erkennen
00:04:54: dann hat man das Problem die Zeit ja und die Zeit kann man daneben nutzen und mit aller Ruhe nach den Kronjuwelen zu suchen die Systeme nach nach einfach aufzumachen dann Daten abfließen zu lassen
00:05:06: am Ende des Tages dann die Erpressungen loszuwerden laufen ja heutzutage die Angriffe und versucht.
00:05:12: Die Opfer zerbrechen indem man erstmal die Daten abfließt und dann mit der veröffentlicht
00:05:17: Veröffentlichung dieser Daten groß oder man verschlüsselte mit diesem klassischen verschlüsselungstrojaner und erpresst an die Opfer Duffy Ihre Daten nur wieder bekommen wenn du daneben wohnst für Bitcoin zahlen und wenn man da beat.
00:05:31: Da du warst einfach nicht bemerkt wird bevor es zu spät ist.
00:05:36: Dann weiß man ganz genau da ist relativ wenig entgegenzusetzen ja bei medatixx weiß ja so gewesen dass die offensichtlich.
00:05:44: Irgendwelche Bewegungen bemerkt hatten die normalerweise nicht auftreten und.
00:05:49: Dann sofort versucht hatten auf Stop zu drücken das war dann aber wohl knapp zu spät wenn ich das richtig verstanden habe damals.
00:05:55: Ja genau richtig also das ist die Zeit ist wirklich der entscheidende Faktor dabei
00:06:00: man sich überlegt dass man 10 Minuten maximal Zeit hat sondern erst Erkennung bis zur Einleitung zum Gegenmaßnahmen
00:06:07: bevor es dann zu spät ist dann weiß man das wenn das meiste abends oder nachts passiert wenn ein Unternehmen laufen ja die die Server ihren 20 mal 7 durch.
00:06:16: Und morgen dann auf dem 78 dann heute oder erster Advent kommt.
00:06:20: Um zu reagieren dann weiß man dass insbesondere nachts natürlich gerne sowas gemacht wird oder eben und feier ist leider das Schreckensbild jetzt wieder.
00:06:29: Ja das Ende würde ich Feiertage über Silvester da werden die meisten Angriff bekommen weil eben nur sehr sehr eingeschränkte.
00:06:36: Personelle Kapazitäten fragt wenn die dann entsprechend unterstützen kann dieser wir sind ja nun für die Ärztezeitung keinen so ganz unbeschriebenes Blatt vor einigen Jahren
00:06:46: haben wir ja mal zusammen mit dem Gesamtverband der Versicherungswirtschaft Ärzten ich meinen 50 war anders einen Sicherheitscheck für die Praxis angeboten was waren denn damals typische Sicherheitslücken in den Systemen die Siri
00:07:00: aufgedeckt haben.
00:07:03: Ja aber etwas überrascht und dann als Meister täglich die Passwörter waren die das größte Problem haben wir hatten sehr oft in einer Kombination Benutzername Batam Praxis Passwort aufpasse oder das Passwort war irgendwie der Name das akzeptabel des Arztes
00:07:19: oder ich fahre in den LED die Praxisphase an also sehr einfache Passwörter
00:07:24: und damit verbunden waren eben die Berechtigung Strukturen so flach dass man wenn man einen dazn Passwort hatte
00:07:30: entsprechend schon auf die meisten da die ist nur noch einer durch Patienten Daten zugreifen konnte
00:07:35: das ist ein bisschen ungewöhnlich in den anderen Unternehmungen und nicht besondere in den Klöstern und gibt es.
00:07:40: Ganz klar passwortrichtlinien geben vorschreiben das Beispiel 9 oder 10 Zeichen lang sein müssen du bist bezeichnend halten wir die Sonderzeichen Ziffern und so weiter das hat man in den Praxen und in der Regel nicht.
00:07:52: Weil da natürlich um Geschwindigkeit geht dann möchte man den
00:07:55: Rede von den Mitarbeitern in der Praxis nicht zumuten jedes Mal beim Anmelden ein kryptisches Passwort einzugeben und deswegen war genau das tatsächlich das größte Problem wurde auch am meisten in die Praxen eigentlich
00:08:07: bahn.de Rom ähnlich wo war war die falsche Software das sehen wir auch in allen anderen draußen
00:08:14: entfaltete doch James Dean und das alte Betriebssystem eingesetzt werden also
00:08:18: Windows mit einfach ein eingespielten Sicherheitsupdate sie auch hier falls bei den halben Jahr nicht aktualisiert wurden und dann ergeben dadurch dass immer wieder Sicherheitslücken Bekanntwerden luckyfine Raketensystem wieder Zypern
00:08:33: ja die haben Sie noch ein.
00:08:36: Zahle eine Angriffsvektor ist das wirklich in der Regel bestätigen wir Ihnen noch mal das Thema da.
00:08:44: War die Sensibilisierung relativ
00:08:47: niedrig war noch ein bisschen gemein wir haben jetzt endlich eine E-Mail an den Arzt direkt geschrieben dass seine Praxis auf einer Bewertungsplattform sehr sehr schlecht abgeschnitten hat
00:08:57: hat dem Arzt dann gebeten quasi das Stellung zu nehmen das war natürlich
00:09:02: ja aber ein typisches Baustellen Menschen geringen Angriff man macht Angst macht den Empfängern Angst und dann haben wir es wirklich sehr löschen auf den Link geklickt.
00:09:11: Und haben eben auch knapp typencode ausgeführte und dann erlaubt hat auf dieses Thema zu kommen
00:09:16: wenn man da wirklich schaut das Geschenk ganz klar alles klar
00:09:21: ja das kann ich mir vorstellen hat sich denn seitdem was geändert in dem Sicherheitsbewusstsein was glauben sie.
00:09:28: Ja und dann sind wir dumme Frage ich sehe ja immer noch viele Praxen ich betreue bzw durch sicherheitstext mache und dann ganz klar das nächstes Bild man sieht natürlich die
00:09:41: ärzte oder die Praxisteams die so
00:09:45: Bewertungen beauftragen die haben eine zum Sensibilisierung führen dass gar niemanden externe Freunde liegt das ganze anschauen die meisten hat dauernd wird sächlich nur auf ihre Dienstleister und denken sie ja der wird schon alles machen.
00:09:58: Einer schwarzen aber nicht was das tatsächlich passiert du weißt also die Tendenz ist leicht erkennbar aber wirklich Probleme hat sich nichts geändert
00:10:06: nun muss ich ja im Moment oder jetzt durch die ID Sicherheitsrichtlinie muss sich ja was ändern dahinter steht ja das mit dem Anschluss an die Telematikinfrastruktur
00:10:16: inzwischen doch eh ID Sicherheit wir haben wichtiger geworden ist und sie wird
00:10:22: oder ist mit der ID Sicherheitsrichtlinie in Teilen auch verpflichtend geworden die Verantwortung ist einfach gewachsen wenn die Digitalisierung
00:10:31: ich beide macht oder immer weiter voran kommt ist ja langsam genug im Gesundheitswesen und vor allem um hier mehr Verbindlichkeit zu erreichen ist die ID Sicherheitsrichtlinie.
00:10:42: Den Vertrags Körperschaften also der KBV und der KZBV ins Stammbuch ja das werde ich geschrieben worden und
00:10:51: von dieser Richtlinie tritt jetzt Anfang Januar die zweite Stufe emkraft noch mal die Frage eben habe die allgemein gestellt sind die Ärzte
00:11:00: auf diese zweite Stufe der Sicherheitsrichtlinie gut vorbereitet und wo fehlt es aus ihrer Sicht da vor allem
00:11:08: nee glaube also das hatte ich sehe das gezeigt jetzt klar dass sie eher schlecht vorbereitet sind also viele viele Praxen haben tatsächlich noch nicht mal
00:11:16: Bier und liegenden antworteten umgesetzt die immer schon länger gelten und müssen jetzt zum ersten 122 daneben noch weitreichender Beantwortung umsetzen
00:11:27: insbesondere.
00:11:28: Sind eben kaum organisatorische Maßnahmen umgesetzt und versucht natürlich so einfach wie möglich die Anforderungen zu erfüllen und mach dann ansprechen das bei dass das man technisch lösen kann man Firewall.
00:11:41: Virenschutz macht regelmäßig Datensicherungen aber grundsätzlich nicht mal über die IP Organisation
00:11:50: Datenschutz Vereine in Werda Liste von allen Systemen zu haben ein Netzplan zu haben wie ist denn überhaupt mein Netzwerk aufgebaut oder eben die Themen nicht gesehen schon mal angesprochen hatte einfach mal Gedanken über das Berechtigungsmanagement zu machen wer braucht denn in der Praxis auf welche Systemen welchen Arzt welche Art von Zugriff
00:12:08: dann eben selber selten der Fall dass du dann dazu dass aus Bequemlichkeit meistens daneben auch bestimmte
00:12:16: normale Benutzer administrative Rechte auf Systemen haben und das ist ein gefundenes Fressen für ein Angreifer weil dann muss er dich gar nicht irgendwie das Netzwerk
00:12:24: Mühlen um Systeme zu finden wenn er eben schon auf dem lokalen PC man hat gerade übernommen hat das gratis bei der natürlich immer dann im Kontext des Benutzers agiert und wenn der Arten der Benutzer Administrator kann ich eben noch der Anfahrt also da hat der Penny Bremen
00:12:40: und man muss aber auch immer wieder sagen es werden ich habe eben schon mal angedeutet immer wieder DSL Router als freier verkauft immer noch hab gestern mal meine alte
00:12:50: RR meiner meine alte Abschlussarbeit von meinem Verstand alles muss Studium mal geschaut und der Titel das war 2019 oder 2009 der hieß warum dies ihre Mutter kann es fireballs.
00:13:02: Das hat eigentlich alle gut dahin weil natürlich bieten diese Route auch in gewissen Schutz draußen
00:13:08: aber eben keine erkennungsfunktion keine angriffserkennung das können die alle nicht und das ist eben heutzutage state-of-the-art und wenn ich sowas nicht Einsätze habe ich eben 1 angreifen nichts entgegenzusetzen also auch bei den technischen Maßnahmen Carport.
00:13:23: Da bin ich davon das natürlich auch viele noch so klassische Antivirus Lösungen eingesetzt
00:13:29: die pattern passiert von Marlies gibt mir bitte Suchbegriff und danach suchen die und wenn dann dieser Begriff in einer Datei gefunden wird dann sagt er ihren Schutz ja das ist ein Virus und importiere ich also gehen Angreifer heute ja nicht mehr vor Angreifer muss da noch paar Programme
00:13:43: aber wenn sie dann erstmal drin sind musst du die ganz normale USB auf jedem System installiert sind oder PowerShell bitte z.b.
00:13:51: Und wir kennen diese Systeme gar nicht mehr gefallen.
00:13:54: Man hat plötzlich maximal 50% Erkennungsrate und wenn man dann noch Pech hat dann nutze Angreifer gar keinen Schadcode und dann Handy gar nichts
00:14:04: Ja und auf dieser Kombination aus Mangel organisatorischen Maßnahmen und eben unzureichenden technischen das würde eben dazu dass ich tatsächlich sage
00:14:13: Doppel-T-Träger über Sachtext gibt ja auch keine richtigen Sanktionen aber es wäre das jetzt nicht sofort erfüllt der muss jetzt nicht befürchten dass er dass er Honorar einbüßt oder so.
00:14:25: Genau dabei aber der Telematikinfrastruktur ist bei der Einschulung war das natürlich ein wichtiger. Das da einfach was abgezogen wird wenn man es nicht erfüllt das haben wir hier nicht und ich bin.
00:14:36: Leider muss man sagen inzwischen ein großer Fan von Bußgeldern und sonst ion weil die Erfahrung zeigt ohne die tut sich nicht mehr.
00:14:44: Na denn was sind denn die nächsten Sachen die die Ärzte dann angehen müssen also gehen wir mal davon aus bis die bisherigen.
00:14:52: Anforderungen das haben wir eben schon gesagt die sind auch nicht überall erfüllt
00:14:56: aber jetzt komm mir jetzt neue dazu was sind da die wichtigsten Dinge die über die ID Sicherheitsrichtlinie auf die Ärzte zu kommen.
00:15:03: Denke mal das wichtigste ist dass ich wirklich auf die Ärzte mal mit den Anforderungen grundsätzlich erstmal
00:15:08: Beschäftigung wie ich eben schon sagte meistens würde eben Dienstleistern einfach blind vertraut unter die Knie machen und vorne und der Hauptstadt selbst noch nicht mal wieder reingeschaut in die Anforderungen definieren wirklich nicht doof die sind auch teilweise sehr.
00:15:23: Einfach verständliche definiert heißt man müsste erstmal die Verantwortlichen dazu bringen sich das Ganze anzuschauen um mal zu gucken was muss ich dann tatsächlich tun
00:15:31: mit den Erweiterung zum ersten ersten sind ja viele Punkte dazu gekommen wie insbesondere das Thema Smartphones und und Abnutzung und so weiter betreffen das wird ja z.b. am roten das App genutzt werden
00:15:45: die Dokumente unverschlüsselt
00:15:47: und in die Cloud übertragen also der komplette verbotene Seiten müssen Vokale jetzt Daten abspeichern also müssen sie verschlüsselt abspeichern gleichzeitig.
00:15:55: Wird gesagt wenn du einen Windows 7 oder Windows 10 oder was auch immer für ein System hat wo Microsoft onedrive drauf installiert dass du musst du das deaktivieren
00:16:04: oder geht man auch wieder sehr stark in die geklaute Thematik rein indem man einfach verhindern möchte dass Daten abschließen
00:16:12: Beispiel Impuls amerikanische Cloud modern gerade das Datenschutz Thema fordert mehr essen
00:16:18: ein paar Sachen werden konkretisiert die Datensicherung der Endgeräte die wird noch mal ein bisschen konkretisiert und dann gibt's wohl tatsächlich Ihnen diese organisatorischen Themen rein
00:16:28: dass man fordert ab
00:16:30: Datenzugriffe tatsächlich nach diesem need to know Prinzip erfahren dass andere sagt okay sie ihre Mitarbeiter du musst auf die in die Daten und du bekommst auch jetzt nur dafür deine zeige irgendwie habe ich eben schon sagte er
00:16:43: selten der Fall das wird gefordert sich auch sehr gut allerdings wird das in den Sicherheits in der durchheize richtigen geht ihr auf die Berechtigung für personenbezogene Daten eingesteckt hat da geht dann darum die Patientendaten
00:16:57: und wenn man sich das mal überlegt ist es nicht bei euch.
00:17:00: Haben wir schon in der datenschutz-grundverordnung stehen ja aber das müsste man eigentlich schon erfüllen wenn die dsgvo umgesetzt wird und von daher finde ich das.
00:17:09: Dein gehen zwar guten gefordert wird aber das hätte das eh schon im Vorfeld abgesetzten lassen.
00:17:14: Dann gibt's da noch plötzliche Anforderungen im mittleren und für die großen wachsen und da wird es dann spannend weil da werden dann teilweise Dinge gefordert.
00:17:24: Die.
00:17:25: Sage ich mal sehr sehr konkret in bestimmte Produkte und Lösungen für z.b. einen einen mobile-device-management Körpergröße packten gefordert
00:17:34: doch aber eine Praxis eine Software deine Lösung anschaffen muss um ihre Smartphones um ihre ihre Tablets zu verwalten.
00:17:43: Tumblr antonia hat mich sehr verwundert weil ich natürlich
00:17:47: erstmal eine sehr lösungsorientierter Ansatz ist und da wird auch glaube ich in drei oder vier einzelnen Punkten tatsächlich drauf eingegangen
00:17:55: das weite was da noch kommen wird was auch ich glaube am mittleren platzen schon verpflichtend ist es ein zentrales Log management auch das ist wieder ein
00:18:05: Datenschutz.
00:18:06: Thema das lösungsorientiert und wo wirklich ein Produkt gekauft werden muss und beide im MDM und auch im Log management wo also alle Protokolle zentral gesammelt werden das Leben insbesondere auch Produkte die nicht gerade günstigste
00:18:20: da kommen auch eben hohe Investitionen eventuell auf die Bastille
00:18:25: ja immer wieder hat ja die also die haben eben schon getaucht das ist keine Bußgelder nicht oder was heißt bedauert aber gemeint dass das ein wirkungsvolles Instrument sein könnte aber
00:18:35: im Gegenzug hat ja die KWV immer wieder gefordert dass die zusätzlichen Kosten die wir jetzt auch angesprochen haben für die Digitalisierung und auch speziell gerade für die alt die Sicherheitsrichtlinie in dem Punkt werden dann auch ihren Niederschlag finden müssten da so
00:18:50: die sind ja nicht ganz unabhängig von den Praxiskosten berechnet werden wie hoch schätzen Sie denn die Kosten ein eine Praxis-EDV professionell vor dem Zugriff von außen zu schützen sie haben jetzt eben zwei Dienste genannt die auch ein bisschen teurer sein könnten das mobile device management
00:19:08: Log management wie hoch sind denn da die Investition.
00:19:13: Wie kann man natürlich so pauschal gar nicht sagen auf jeden Fall glaube ich die sind höher als man bei der Entwicklung der Sicherheitsrichtlinien angenommen hat
00:19:21: ich glaube viele Dinge sind einfach lapidar angenommen worden dass es einfach umzusetzen ist aber geht ja bei solchen Lösungen nicht mehr um die Installation Mondin zusätzlich Lizenzkosten und Abwasserkosten sondern es geht eben auch in die regelmäßige Wartung dieser Systeme.
00:19:38: Müssen ja mal administriert werden dem Ding genauso wie alle anderen Systeme aktualisiert werden und dann immer ganz schnell mal bei Anschaffungskosten von 10 20000 € die zusätzlich.
00:19:49: Kommt bei Matze und einmal auch bei 245 100 € pro Monat um quasi diese Systeme
00:19:58: administrieren und zu warten weil das kann ja in der Regel die Praxis oder Mitarbeiter der Praxis selbst sondern da kommen ja Dienstleistern spielen die das ganze dann übernehmen und
00:20:08: kommt eben noch mal am Kopf oben drauf da so natürlich die Ziele oder die meisten Katzen haben Dienstleistung mit entsprechenden Verträgen alleine schon wegen der Arzt doch für die verwendet wird aber das wird meistens nicht abgedeckt
00:20:21: Zeitung kommt am Kopf und tatsächlich mittels langfristig sind ihr Wartungskosten glaube ich höher als die einmaligen Investitionskosten.
00:20:30: Also das kann durchaus auch relevant sein für.
00:20:33: Wenn man jetzt sagen wir mal in der Praxis von 1000 Fällen hat dann ist es jetzt nicht nix was da an Investitionskosten und Folgekosten auf die Ärzte zukommt.
00:20:43: Genau richtig und viele Größen Staffelung der hat der Praxen ist ja
00:20:49: letztendlich auch nur der Versuch um um Risiko bei dir dann das Thema dann zuckt oft als geben mehr also umso mehr Patienten ich habe umso mehr Daten habe ich überlegt und deswegen das jedenfalls meine Motor geht man eben davon aus bekommt durch übertakten.
00:21:04: Auch besser schützen aber
00:21:06: wenn ich hier Wittenberge datenschutzgrundverordnung mir einfach mal daran zu ihr und da gibt's nen Artikel 32 da steht ganz klar an ihr müsst dafür sorgen dass die personenbezogene Daten sicher sind das ganze muss angemessen risikobasiert und so weiter voll
00:21:21: du das eigentlich wenn ich das erzähle ich schon jetzt viel mehr tun muss mit den meisten Toren
00:21:26: das wird eben dann ganz gerne vergessen wenn man auch nicht die Anforderungen der Sicherheitsrichtlinie anschaut weil die guckt ihr die Viren das ja noch.
00:21:35: Ohne Geld nicht mal drin was man eigentlich nicht vorher.
00:21:39: Ja das ist manchmal ganz gut daran noch mal zu erinnern vielleicht auch noch mal erzählt dass für die Leser die kleinen Praxen die gelten bis zu wenn ich das richtig in Erinnerung habe bis zu fünf Mitarbeiter die
00:21:51: personenbezogene Daten Zugriff haben die mittleren Praxen bis 20 Uhr genau und die großen dann darüber und jogos Geräte Betreiber gibt's noch mal extra Anforderungen.
00:22:02: Dann traf ich dich ganz genau aber am Ende ist jedes Patienten Datum also jeder Patient dessen Daten irgendwo im Freien Internet landen.
00:22:12: Oder bei einem Erpresser eigentlich einer zuviel na das ist dann die andere Seite das ist hier riesen Verantwortung die bei den Ärzten da ist mit den Patientendaten.
00:22:20: Blutung am Tag Bali 1000 Patienten meine Daten abhanden gekommen sind im schlimmsten Fall im Internet veröffentlicht werden
00:22:28: oder von 10.000 das interessiert den anderen Patienten Lotti wen ich muss mal mein erstes lifehack gegen im abstreichen mich dran erinnern
00:22:37: da habe ich im Internet eine gynäkologische Gemeinschaftspraxis gefunden die komplett offen im Internet stand und ich habe tatsächlich Zugriff auf über 25000 Prozent da drin
00:22:47: und Anna man sich ja überlegen natürlich gibt es da viel Potential für Ableitungen einmal Erklärung für den Arzt oder die die Katze ist weil man eben saff.ba öffentliche dass du tust mir Deputation Bremen schade für dich aber auch für jeden einzelnen weil bei diesem Befund Fotos wieder dabei sind sind ja auch in der Regel im
00:23:04: Name Gott Datum mit abgedruckt und uns nicht so wahnsinnig schwierig.
00:23:08: Auf der Basis dann tatsächlich den Inhaber oder den die die Person auszumachen die Party dahintersteckt und deswegen bin ich ja auch mit diese Abstufung nicht ganz glücklich weil
00:23:20: jeder Patient auch einer kleinen Praxis hat meiner Meinung nach schon das Anrecht darauf dass die Daten richtig geschützt werden und nicht erst in der Praxis die irgendwie mehr als 20 Mitarbeiter
00:23:31: vielleicht noch ein kleiner Schlenker in Richtung IT Sicherheit in Kliniken wie stellt sich da die Lage da in die besser aufgestellt.
00:23:39: Ja auch da müssen wir unterbreiten wiederverwertet ja die sogenannten krebskliniken also die kritischen Infrastrukturen die nach.
00:23:48: Firma eigentlich als Gesetz dazu zählen das sind alles größere Kliniken mit mehr als 30.000 stationären Behandlung pro Jahr die müssen ja schon seit 2015 dann sprich anzusetzen Multivan.
00:24:02: Jedenfalls kommt Papier inzwischen ganz gut aufgestellt die werden regelmäßig geprüft
00:24:07: und aber dann würde ich mal genau hin geschaut ob die ihre Sicherheit richtig machen
00:24:12: das ist natürlich oder das stimmt auch wieder nicht zu 100% das erstmal eine Momentaufnahme und du hast im Rest des Jahres zwischen den Prüfungen Party passiert
00:24:21: kann man daneben auch nicht sagen bei dem weniger als 30.000 Belegung pro Jahr.
00:24:27: Da haben wir wieder ein sehr gemischtes Bild es gibt ja kleine Kliniken mit 100 Betten die quasi auch gar nicht das Budget haben da wahnsinnig in Informationssicherheit oder selber Sicherheit zu investieren und dementsprechend gibt es da
00:24:41: viel Schatten und wenig Licht jedenfalls dass ich in mein Auto zum mein Pampers Bär und da musste ich ehrlich jetzt auch noch einiges kommen.
00:24:50: Ihm auf den folgenden Anforderungen wir auch wieder ab nächsten Jahr kommen gerade jetzt.
00:24:57: Vielleicht noch zum Schluss ihre Einschätzung also das ist ja hat ja fast das Gefühl dass es wie so ein Hase und Igel Spiel wir rennen immer hinterher
00:25:06: die neue Trojaner neue via neue Angriffsmuster neue Erpressung Software kriegen wir das irgendwann mal ganz in den Griff oder sind dann irgendwann die Hacker die Hasen die hinterherrennen bei uns die Sicherheit so gut ist
00:25:22: über ihre Einschätzung
00:25:25: ja mein optimistisches Herz möchte sondern glauben das ist irgendwann so ist aber da bin ich tatsächlich er Realist und glaube für den einen Zukunft nicht so sein dass dass das gerade nicht umgekehrt oder dass man als Verteidiger.
00:25:40: Da die Oberhand gewinnen das gibt ein schönes Wochenende Base der der Angreifer muss noch einmal gewinnen der Verteidiger muss immer gewinnen und das zeigt schon sehr deutlich wo die guckst bei der ganzen Sache liegt und immer
00:25:52: stellen und Sicherheit geben ob das in Software ist sie verwendet wird ob das Unsicherheit.
00:25:58: Technologien dass die verwendet werden und wo es Schwachstellen gibt oder Zimmer Angreifer geben die diese Lücken finden und sie entsprechend auch auszunutzen
00:26:08: wir haben gerade noch einen schönen Internet Gau diesen jvck voba-si Detlef Schienensysteme angreifbar sind im Internet und in den Unternehmen in den Netzwerken und wenn man sich das anschaut
00:26:21: eine Komponente eine kleine Komponente die ganz viel in ganz verschiedenen Softwareprodukten eingesetzt wird
00:26:27: und Jens hatte Guido das wenn ich mir mal anschauen was da so für softe eingesetzt wird das da teilweise sehr sehr veraltete Bibliotheken
00:26:37: alte Komponenten eingesetzt werden die zweite schon 10 Jahre alt sind und auch noch die Sicherheitslücken von 14 Jahren haben die sind jetzt immer noch in Betrieb und die werden eben auch nur nach nach abgelöst.
00:26:49: Und dann weiß man auch dass wenn es schon vor zehn Jahren immer noch in den Quellcode in der Software drin ist dann wird es auch in den nächsten zehn Jahren kann ich noch drin sein das heißt also
00:26:58: ich würde mal so Gothika sagen meinen nächsten 10 bis 20 Jahren wenn ich mir keine Gedanken mein Job machen will.
00:27:04: Ja ich haben sich jeden Tag für dieses spannende Gespräch zu einem sensiblen Thema wirklich sensibel dass uns
00:27:12: ja wie sie sagen wohl leider auf Dauer verfolgen wird.
00:27:15: Vielleicht hören wir uns ja auch noch einmal wieder zu diesem Thema die Arbeit das haben wir jetzt gerade eben zuversichtlich oder auch ein wenig defätistisch.
00:27:24: Gesagt die Arbeit wird ihnen wohl nicht ausgehen alles Gute für Sie auch im nächsten Jahr vielen dank Ina.
00:27:31: Und auch vielen Dank fürs Zuhören und schalten wir uns im Internet gerne wieder ein wenn es wieder heißt herzlich willkommen zum ÄrzteTag tschüss.
00:27:39: Music.