Cybersicherheit für medizinische Einrichtungen - Best-Practice-Prüfkriterien
von , veröffentlicht am 25.06.2020Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das Bayerisches Landesamt für Datenschutzaufsicht haben eine lesenswerte, leicht lesbare Handreichung zu dem Thema gepostet - einen Best-Practice-Ansatz nach Art. 32 DS-GVO, der einen effektiven Schutz gegen aktuelle Cybersicherheitsbedrohungen unterstützen kann.
In diesem Bereich gibt es besondere Regeln. Für Labore und andere medizinische Einrichtungen in bayerischen Krankenhäusern kann z-B. ein Cloud Hosting von medizinischen Daten aufgrund von Art. 27 Abs. 4 Bayerisches Krankenhausgesetz (BayKrG) unzulässig sein.
Hier einige Risikoquellen aus der Handreichung:
- Veraltete Softwarestände bergen ein erhöhtes Angriffsrisiko
- Mangelhafter Anti-Malware-Schutz
- Kein Schutz gegen Trojaner, die Daten gezielt verschlüsseln, um Lösegeld zu erpressen
- Mangelhafter Passwortschutz
- Keine Zwei-Faktor-Authentifizierung bei sensitiven Daten
- Gefahren bei verschlüsselten E-Mail-Anhängen
- Mangelhafte Backups
- Verwundbarkeit beim Online-Abruf von Laborergebnissen
- Sicherheitsrisiken beim Zugriff auf denen aus dem Home Office.
- Zusätzliche Angriffsflächen aufgrund von Fernwartung.
- Mangelhafte Notfallkonzepte
- Unzureichende virtuelle Netztrennung
Dies ist eine ziemlich lange Liste. Welcher Punkt ist nach Ihrer Meinung am dringendsten für medizinische Einrichtungen?
Verschiedene EU Datenschutzbehörden und der UK ICO haben bereits erhebliche Geldstrafen gegen Krankenhäuser verhängt, die einen Bruch der Datensicherheit melden mussten.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
