24.09.2019

IT-Sicherheit bei synedra

Vor einiger Zeit ließ das in Österreich ansässige Medizin-IT-Unternehmen synedra erstmals zwei seiner Produkte mithilfe eines sogenannten Penetrationstests auf ihre IT-Sicherheit hin überprüfen. Stefan Andreatta, Chief Technology Officer bei synedra, über die Hintergründe und Ergebnisse des Pen-Tests sowie über das steigende IT-Sicherheitsbewusstsein im Medizinbereich.

synedra entwickelt seit beinahe 15 Jahren Softwarelösungen für Gesundheitseinrichtungen. Welche Gründe gab es für synedra, nun erstmals einen Penetrationstest zu beauftragen?

Für uns gab es zwei wesentliche Aspekte, die uns zur Beauftragung eines Penetrationstests bewogen haben: Erstens haben wir den Anspruch, unsere Produkte sicherheitsbewusst zu entwickeln. Zwar haben wir als ein auf Softwareentwicklung spezialisiertes Unternehmen durchaus die nötigen Kompetenzen, allerdings hat eine Firma, die sich ausschließlich mit Cyber-Security befasst, andere Werkzeuge und einen größeren Wissensschatz in diesem Bereich zur Verfügung. Zweitens ist es für den Angriff auf eine Software notwendig, eine andere Perspektive einzunehmen. Als Schöpfer der Software ist es einfach kaum möglich, an alle Angriffsszenarien zu denken. Die Software bewusst aus einer anderen Perspektive zu betrachten bzw. betrachten zu lassen, ist also sehr hilfreich. Da die beiden getesteten Webapplikationen synedra Web und synedra Web Patient auch von außerhalb des Krankenhauses erreichbar sind, müssen sie umso mehr vor Angriffen geschützt werden.

Welche Ergebnisse lieferte der Penetrationstest?

Beim Penetrationstest wurden großteils lediglich als „mittel“ bzw. „niedrig“ eingestufte Schwachstellen identifiziert. Diese wurden von synedra aber bereits adressiert beziehungsweise behoben. Alles in allem hat sich der Penetrationstest für synedra bezahlt gemacht: Wir konnten dadurch unsere Kompetenz verbessern, unseren Blick schärfen und konkrete Sicherheitsprobleme beheben, und somit generell die Sicherheit unserer Produkte erhöhen.

Welche Maßnahmen ergreift synedra über den Penetrationstest hinaus, um die IT-Sicherheit der eigenen Produkte zu gewährleisten?

Prinzipiell agiert synedra auf drei Sicherheitsebenen: Da wäre erstens die Verschlüsselung des Netzwerkverkehrs, die eine zentrale Rolle spielt. Der gesamte Verkehr zwischen unseren Klienten-Applikationen und unserem Backend ist verschlüsselt. Die zweite Ebene ist die Authentifizierung. Zugriffe auf das System finden prinzipiell in einem persönlich authentifizierten Kontext statt. Der dritte Aspekt ist das Auditing. Dabei geht es vor allem um die Nachvollziehbarkeit durchgeführter Aktionen. Datenzugriffe werden aufgezeichnet, wodurch ein zusätzlicher Sicherheitsgewinn erzielt wird.

Wie ist das Thema IT-Sicherheit im Medizinbereich generell zu beurteilen?

Das Sicherheitsbedürfnis in der Medizin-IT nimmt schon seit längerer Zeit extrem zu. Auch das Bewusstsein für das Thema Sicherheit im Gesundheitsbereich ist in den letzten Jahren stärker in den Fokus der Aufmerksamkeit gerückt – nicht zuletzt aufgrund diverser Vorfälle, wie etwa ganz aktuell das Datenleck, das dazu führte, dass weltweit Millionen von Patientendaten ungeschützt im Netz auffindbar waren. Immer mehr Krankenhäuser schreiben sich deshalb das Thema IT-Sicherheit auf die Fahnen, wodurch sich unsere Sicherheitsvorstellungen und unser Sicherheitsbedürfnis für unsere Produkte mit den Vorstellungen der Kunden erfreulicherweise mehr und mehr decken.

Diese Seite verwendet Cookies. Wenn Sie die Seite weiter nutzen, stimmen Sie der Cookie-Nutzung zu.