Fachbeiträge & Kommentare zu Informationssicherheit

Ab dem 1.1.2021 müssen die gesetzlichen Krankenkassen ihren Patienten eine elektronische Patientenakte (ePA) zur Verfügung stellen. In der Akte können Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte, Impfungen und vieles mehr gespeichertwerden. Die Nutzung der ePA durch den Patienten ist allerdings freiwillig. Entscheidet sich der Patient für eine Nutzung, so kann ...mehr

Unfreiwillig und größtenteils unvorbereitet hat die COVID-19-Pandemie und die damit verbundenen Einschränkungen wie "Lockdown", "Social Distancing" und anderen Schutzmaßnahmen viele Unternehmen zu der Einführung von flexiblen, neuartigen Arbeitskonzepten geführt. Die Diskussion über New-Work-Konzepte ist dadurch präsenter denn je. Und viele Unternehmen postulieren, dass Sie ...mehr

Seit Oktober 2020 gibt es vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) offiziell als Digitale Gesundheitsanwendung (DiGA) zugelassene Lösungen. Diese sind browserbasiert oder als App erhältlich. Sie sind teilweise auch mit Zusatzgeräten zu nutzen und werden umgangssprachlich als "App auf Rezept" tituliert. Im Rahmen ihrer Zulassung müssen diese DiGA verschi...mehr

Rz. 4 Ergibt die Bewertung der in Abs. 1 genannten Informationen Sicherheitsmängel, kann das BSI der gematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Das BSI kann bei abweichenden Entscheidungen der gematik die Entscheidung prüfen und entsprechend der Vorgaben in Art. 15 Abs. 3 der NIS-Richtlinie (Gesetz zur Umsetzung der europä...mehr

Als letzter Schritt sind nun die KPIs festzulegen. Dabei ist zwischen steuerungsrelevanten und berichtspflichtigen KPIs zu unterscheiden. Nachhaltigkeits-KPIs machen das ökologische, soziale und Governance-Engagement von Unternehmen transparent und nachvollziehbar. Folgen sie einem Standard ist sogar der Vergleich zwischen den Unternehmen möglich, wie z. B. die Ermittlung des...mehr

Gutes Management zeichnet sich durch das effiziente Treffen guter Entscheidungen aus. Die hierzu unabdingbare Transparenz bezüglich der möglichen Entscheidungsalternativen können Großunternehmen aber auch KMU mit einem BI-gestützten Controllingsystem schnell und ressourcenschonend erhöhen. Indem sie Informationen in ihrem Data Warehouse an einem zentralen Ort zur Verfügung st...mehr

Vorbemerkung Nach dem Abschn. II Ziffer 2 sind Beschäftigte eingruppiert, die sich mit Systemen der Informations- und Kommunikationstechnik befassen ohne Rücksicht auf ihre organisatorische Eingliederung. Zu diesen Systemen zählen insbesondere informationstechnische Hard- und Softwaresysteme, Anwendungsprogramme, Datenbanken, Komponenten der Kommunikationstechnik in lokalen I...mehr

Gesetzestext (1) Die Kommission erlässt Durchführungsrechtsakte zur Einrichtung des dezentralen IT-Systems, durch die sie Folgendes festlegt:mehr

Gesetzestext (1) Die Kommission erlässt Durchführungsrechtsakte zur Einrichtung des dezentralen IT-Systems, durch die sie Folgendes festlegt:mehr

Hauptmerkmale dieses Servitization-Schrittes hin zum integrierten Lösungsanbieter sind, dass Nutzen und Mehrwert durch die Services entstehen. Verkauft werden Dienstleistungen. Dabei bleiben die Produkte im Eigentum des Herstellers. Wesentliche Teile der Wertschöpfungskette werden gemeinsam mit Partnern erbracht, die integraler Bestandteil des Kundenprozesses sind. Laptopher...mehr

Arbeiten mit einer offenen IT-Struktur, E-Mail-Verkehr, Online-Banking, Kundenportale, Internetrecherche etc. machen das Unternehmen angreifbar (Hacking und Virenbefall). Eine ausgefeilte IT-Sicherheit kostet viel Geld und ist personalintensiv, was sich kleine und mittlere Unternehmen gar nicht leisten können. Neben den Schäden, den Umständen und evtl. sogar einer Betriebsunt...mehr

Rz. 317 Es bleibt festzuhalten, dass nach wie vor bei vielen in Betrieb befindlichen Messgeräten der informationstechnische (und möglicherweise automatisierte) Nachweis, dass Messdaten unverändert sind, nicht zu erbringen ist. In einem unsicheren System ist es technisch nicht möglich, Authentizität und Integrität nachzuweisen. Viele Messgeräte erfüllen die aktuellen Anforder...mehr

Rz. 294 Bevor wir zu den tatsächlichen Anforderungen der PTB an die Sicherheit von Messdaten kommen, beschäftigen wir uns mit der Frage, welche Anforderungen überhaupt sinnvoll sind. Dabei geht es nicht darum, konkrete technische Vorgaben oder Vorschläge zu machen, sondern allgemeine Mindestanforderungen aufzustellen. Rz. 295 Zunächst sind hierzu zwei wichtige Aspekte des sta...mehr

Rz. 4 Die KBV und der GKV-Spitzenverband vereinbaren bis zum 31.3.2022 die Anforderungen an technische Verfahren zum datengestützten zeitnahen Management von Krankheiten über eine räumliche Distanz (telemedizinisches Monitoring; Satz 1). Die Vereinbarung wird im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesamt für die...mehr

Ein effizienter organisatorischer Rahmen ist die Basis für effektive Unfallverhütung bei Fremdfirmen im Betrieb. Ein entsprechendes Fremdfirmen-Management bildet dabei den wichtigsten Eckpfeiler. Die darin verankerte Betriebsverordnung sollte Folgendes regeln: Art und Umfang der Auftragnehmererklärung, Art und Umfang der betriebsspezifischen Gefährdungsbeurteilung, Art, Umfang ...mehr

Überblick Ein wesentlicher Grund dafür, dass neue digitale Technologien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden, sind für viele Betriebe die Risiken der Datensicherheit. Tatsächlich bringt die Nutzung digitaler Technologien für Unternehmen Gefahrenpotenzial mit sich – doch noch mehr Vorteile. Diese Vorteile zu nutzen und dabei die Risiken im Griff zu beh...mehr

Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken für die Informationssicherheit, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Security) sowie der funkt...mehr

In einem Dachdeckerbetrieb werden Smartphones und Tablets auch im Arbeitskontext eingesetzt, und zwar zur Baustellensteuerung sowie zur Zeiterfassung. Die mobil erfassten Daten, z. B. zu Projektfortschritt und verwendetem Material, landen in Echtzeit auf dem Server des Betriebs. Die Mitarbeiter können somit Informationen zum Auftrag, aktuelle Änderungen und sämtliche Dokumen...mehr

Im Bereich der IT-Sicherheit in Unternehmen haben sich in den letzten Jahren immer mehr sog. Awareness-Kampagnen durchgesetzt, um die Mitarbeiter für das Thema Informationssicherheit im Unternehmen zu sensibilisieren. Diese Kampagnen sollen eine nachhaltige Verhaltensänderung der Mitarbeiter erreichen und werden deshalb i. d. R. auf einen längeren Zeitraum bis hin zu mehrere...mehr

Nahezu alle Unternehmen setzen digitale Technologien ein: um Prozesse zu steuern, Lager zu verwalten, Informationen in Echtzeit zu teilen, Dokumente zu verwalten, Mitarbeitereinsatz zu planen oder Software-Anwendungen in der Cloud zu nutzen. Neben den vielen Möglichkeiten bieten die Technologien zugleich großes Gefahrenpotenzial – das Betriebe erkannt haben: Studien[1] zufol...mehr

Möglicherweise hat es sich bereits in den Schilderungen der 3 Szenarien erschlossen: Die Ursachen für Mängel der Datensicherheit entstehen immer auf dem Fundament einer Gemengelage aus technischen, organisatorischen und/oder personellen Gründen (Abb. 2). Abb. 2: Ursachen für Sicherheitspannen – Beispiele Abb. 2 zeigt, dass die Datensicherheit die technische Dimension übersteig...mehr

Zur Erfüllung öffentlicher Aufgaben müssen sich Staat und Verwaltung immer wieder veränderten gesellschaftlichen, wirtschaftlichen oder technischen Rahmenbedingungen stellen und bestehende Funktionen, Strukturen und Abläufe überdenken.[1] Insbesondere für die Städte und Landkreise, die die Basis des demokratischen Staatsaufbaus darstellen, zeichnet sich dadurch ein immenses S...mehr

Rz. 24 Die Bewertung der Zulässigkeit der Datenverarbeitung war bislang und ist seit 25.5.2018 auf Basis einer Interessenabwägung, die die Interessen von Arbeitgeber und Beschäftigten in Einklang bringen muss, zu treffen (§ 32 Abs. 1 BDSG a.F. und § 26 Abs. 1 BDSG). Die Bewertung ist daher oft vom jeweiligen Einzelfall abhängig. Rz. 25 Für die Verarbeitung der Beschäftigtenda...mehr

Rz. 8a Eine Videosprechstunde in der vertragsärztlichen Versorgung kann z. B. hilfreich sein bei langen Anfahrtwegen oder nach einer Operation des Patienten, wenn sie das Aufsuchen der Praxis unmöglich macht. Die organisatorischen Voraussetzungen der Videosprechstunde regelt die Anlage 31b zum BMV-Ä. Anlage 31b des BMV-Ä enthält mit Wirkung zum 1.10.2016 die "Vereinbarung übe...mehr

Rz. 5 Die mit Wirkung zum 20.10.2020 geltende Fassung des Abs. 2 stellt klar, dass die in der Richtlinie festzulegenden Anforderungen geeignet sein müssen, abgestuft im Verhältnis zum Gefährdungspotenzial und dem Schutzbedarf der verarbeiteten Informationen, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztliche Leistungserbringer in B...mehr

Rz. 2 Grundlage der elektronischen Vernetzung ist der Aufbau eines hochsicheren Netzwerks, an das alle Arzt-, Psychotherapeuten- und Zahnarztpraxen, Krankenhäuser und Apotheken sowie weitere Leistungserbringer angeschlossen sein sollen, die sog. Telematikinfrastruktur (TI). Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien in der medizinischen Versorg...mehr

Grundsätzlich kann man davon ausgehen, dass ein Mitarbeiter nicht mit dem Gedanken in den Betrieb fährt, am gleichen Tag vom Rettungswagen ins Krankenhaus gebracht zu werden. Ebenso hat der Betrieb kein Interesse daran, den Produktionsprozess durch einen Arbeitsunfall unterbrechen zu lassen. Die klassische Safety kümmert sich darum zu verhindern, dass doch etwas passiert. Da...mehr

Die nachfolgende, nicht abschließende Aufzählung orientiert sich an der Rechtsverbindlichkeit, nicht der wirtschaftliche Bedeutung der Anforderungen. Sorgfaltspflichten nach dem Geldwäschegesetz für gewerbliche Güterhändler Außenwirtschaftsverkehr (Außenwirtschaftsgesetz (AWG)) Exportkontrolle Sanktionen, Embargos und Terrorismusbekämpfung Zollverfahren (Zugelassener Wirtschaftsb...mehr

Eigenschaften von IT-Komponenten und medizintechnischem Gerät, die zur Umsetzung des B3S notwendig sind, müssen die Leistungserbringer bei IT- und Medizintechnik-Herstellern einfordern. Darum tun Hersteller gut daran, sich auch mit den Aspekten ihrer Produkte auseinander zu setzen, die bei ihren Anwendern einen Einfluss auf die IT-Sicherheit haben. Hinweise dazu finden sich ...mehr

Zunächst zu nennen ist der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Die Umsetzung dieses von der Deutschen Krankenhausgesellschaft herausgegebenen Standards kann für den Bereich "Medizinische Versorgung" zum Nachweis an das BSI verwendet werden, dass nach §8a BSIG die Einhaltung von IT-Sicherheit nach dem Stand der Technik s...mehr

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) publizierte 2016 den ersten C5-Anforderungskatalog. Das BSI beschränkte sich darauf, die Sicherheitsziele zu definieren. Die C5-Audits werden nicht vom BSI, sondern von Wirtschaftsprüfern durchgeführt, deren Prüfportfolio mit dem C5 um Cloud-Sicherheitsaspekte erweitert wird. Viele nationale und internationale, kl...mehr

Rz. 1 Stand: EL 119 – ET: 10/2019 Diese Agenturen sind EU-Einrichtungen, die spezifische fachliche, wissenschaftliche oder administrative Aufgaben wahrnehmen. Sie sind in den Verträgen nicht vorgesehen, sondern wurden durch besondere Rechtsakte geschaffen. Die EU unterscheidet dabei drei Arten: Exekutivagenturen, die gemäß VO (EG) Nr 58/2003 (ABl EU L 11 vom 16.01.2003) mit b...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: Faktoren wie Eintrittswahrscheinlichkeit und Schadenshöhe sind zu berücksichtigen, und zwar bei Art, Umfang, Umständen und Zweck der Verarbeitung. Wie in der Informationssicherheit ist das Risiko im Datenschutz nicht zu einseitig zu betrachten. So dürfte es im Datensch...mehr

Die digitale Transformation ermöglicht neue digitale Geschäftsmodelle, die das "Überleben" des Unternehmens sichern und gleichzeitig Mehrwert schaffen sollen. Allerdings bieten digitale Services und Produkte auch Angriffsflächen. Dies zeigte sich nicht zuletzt durch die besonders großflächigen Angriffe, die man in den letzten Monaten auch aus den Medien entnehmen konnte. Hie...mehr

Spätestens seit Einführung der Datenschutzgrundverordnung (DSGVO) zum 25.5.2018 kommt der Datensicherheit in der Steuerberatungskanzlei große Bedeutung zu. Einer KPMG-Studie zufolge war in den letzten 3 Jahren jedes dritte Unternehmen von digitaler Erpressung oder anderen Formen von Cyberkriminalität betroffen. In den USA haben Sicherheitsforscher der Universitäten Illinois u...mehr

Rz. 27 Zitat "Die Integrität ist neben Verfügbarkeit und Vertraulichkeit eines der drei klassischen Ziele der Informationssicherheit."“[38] Laut Glossar des Bundesamtes für Sicherheit in der Informationstechnik bezeichnet Integrität die Zitat "Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen".[39] Im Sinne der Verordnung erfordert die Sicherste...mehr

Experten des interdisziplinären "Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt" haben ein Konzept zur Umsetzung der DSFA vorgelegt, das in einem so genannten White Paper (Weißbuch) präsentiert wird. Daran haben sich auch Mitarbeitende des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landesz...mehr

Um ein effektives SCRM betreiben zu können, muss eine adäquate Infrastruktur aufgebaut werden. Diese umfasst u. a. folgende Eckpfeiler: Komplexitätsreduktion durch Konzentration auf die Produkte mit dem höchsten Gewinnbeitrag. Bestimmung und Dokumentation der "kritischen Pfade" in der Supply Chain. Erfassung und Bewertung möglichst aller denkbaren Risiken. Entwicklung einer Metr...mehr

Die Einführung des besonderen elektronischen Anwaltspostfachs (beA) hat nun auch die Bundesregierung beschäftigt. Einige Abgeordnete hatten die Anfrage an die Bundesregierung gerichtet, wie es u.a. mit der Sicherheit und der Nutzungspflicht der Postfächer stehe (vgl. BT-Drucks 18/9994). Die Bundesregierung sieht, wie aus ihrer Antwort hervorgeht, keine gravierenden Probleme i...mehr

Wenn es um Kriminalitätsbekämpfung geht, wird traditionell zwischen Kriminalität von außen und Kriminalität durch eigene Mitarbeiter unterschieden. Häufig hören wir dabei zur Erläuterung, dass man, ebenso wie sich Kriminalität in der Gesellschaft nicht ausschließen lässt, nicht verhindern könne, dass einzelne Mitarbeiter straffällig würden. Das ist richtig, hilft dem Complia...mehr

Die im Dezember 2014 veröffentlichte ISO 19600 empfiehlt Unternehmen, ein Compliance-Management-System einzurichten und legt hierfür international einheitliche Rahmenbedingungen fest. Dabei ist die ISO 19600 bewusst "nur" als Richtlinie und noch nicht als Norm mit verbindlichen, ISO-förmlich zertifizierungsfähigen Anforderungen ausgestaltet, wie das etwa für die ISO 9001 zum...mehr

Zusammenfassung Überblick Um die Informationssicherheit zu gewährleisten, sind Integrität, Verfügbarkeit und Vertraulichkeit zu gewährleisten. Gerade bei der Weitergabe von personenbezogenen Daten kann es passieren, dass Daten unbefugt gelesen, kopiert, verändert oder entfernt werden. Da die Daten immer öfter auf elektronischem Wege weitergegeben werden – meistens per Mail od...mehr

Überblick Um die Informationssicherheit zu gewährleisten, sind Integrität, Verfügbarkeit und Vertraulichkeit zu gewährleisten. Gerade bei der Weitergabe von personenbezogenen Daten kann es passieren, dass Daten unbefugt gelesen, kopiert, verändert oder entfernt werden. Da die Daten immer öfter auf elektronischem Wege weitergegeben werden – meistens per Mail oder als Anhang z...mehr

Bevor die geeigneten Maßnahmen für den jeweiligen Schutzbedarf ergriffen werden, sollte analysiert werden, wie groß dieser Schutzbedarf tatsächlich ist. Wenn die zu übermittelnden Daten keinen extrem hohen Schutzbedarf haben, reichen unter Umständen auch einfache Maßnahmen aus, um die Kompromittierung der Dateien zu verhindern. Ist es beispielsweise erforderlich, die Daten i...mehr

Am einfachsten vermeidet man diese unerwünschte Weitergabe, indem man die Datei in das PDF-Format umwandelt. Hierzu gibt es zahlreiche, auch kostenfreie, Programme. Ab Office 2007 ist die Möglichkeit der Umwandlung in das PDF-Format auch in Word und Excel enthalten. Da man eine PDF-Datei außerdem noch mit einem Passwort versehen kann, ist hier schon einiges für die Vertrauli...mehr

Wir können getrost unterstellen, dass 99 % der Menschheit weder über die erforderliche Technik verfügen, selbst komplexe Passwörter zu knacken noch dazu willens sind. Wenn es im Alltag darum geht, eine Datei, also z. B. einen Text mit einer Beurteilung eines Kollegen, vor neugierigen Blicken zu schützen, dann reichen einfacher gestrickte Passwörter im Alltag normalerweise au...mehr

Man kann auch einzelne Dokumente mit einem Passwort schützen. Mehr zur Qualität des Passwortes lesen Sie im nächsten Kapitel. Ob die Datei jedoch an sich entschlüsselt werden kann, hängt wiederum von der Komplexität des verwendeten Algorithmus ab. Unter Office 2003 wurden lediglich Algorithmen mit einer Tiefe von 40 Bit verwendet. Diese waren mit einfachen Rechnern grundsätz...mehr

Werden Dokumente im Originalformat versendet, werden außer dem sichtbaren Dokumenteninhalt stets auch noch andere personenbezogene Daten mitgeschickt. Diese Dateien enthalten versteckte Informationen, die eindeutigen Rückschluss auf die Autoren, den Bearbeitungsstand, die Bearbeitungszeit usw. zulassen. In den Dateieigenschaften der Dokumente sind zahlreiche persönliche Info...mehr

Möchte man bei der Weitergabe von Dateien und Dokumenten in elektronischer Form vermeiden, dass diese unbefugt gelesen, kopiert oder verändert werden können, kann man einen Ordner erzeugen, der mit einem möglichst komplexen Passwort geschützt wird und in den man die zu versendende Datei hineinstellt. Um diese Datei dann zu öffnen, benötigt man das Passwort, das bei der Erste...mehr

Passwörter sollten möglichst nicht aufgeschrieben werden. Zumindest nicht auf einen Zettel, der unter die Tastatur geklebt wird. Passwörter sollten überhaupt nicht in der Nähe des Computers aufbewahrt werden. Man sollte sie auch ohne jede Ausnahme nicht an andere weitersagen, auch nicht an Familienangehörige, gute Freunde oder liebe Kollegen. Passwörter, die andere kennen, s...mehr