SlideShare une entreprise Scribd logo

IKT-Trends und deren Bedeutung für eHealth

Fraunhofer AISEC
Fraunhofer AISEC

Präsentation zum Thema „IKT-Trends und deren Bedeutung für eHealth“, gehalten von Prof. Claudia Eckert im September 2012

1  sur  25
Télécharger pour lire hors ligne
IT-Sicherheit IKT-Trends und deren Bedeutung für eHealth Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik 1
Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
1. IKT Trends Cy ber Phy s ical S y s tem s (CPS )  Offene, vernetzte, Internet-basierte Systeme  Vernetzung von Menschen, Geräten physischen Objekten, Diensten Beis piele für CPS  Smart Grid, Smart City, Auto, Produktion Mobile Endgeräte, m obiles Internet:  iOS und Android-basierte Geräte  Always on, Access anywhere
1. IKT Trends Cloud-bas ierte Diens te  eMails, Kalender, Speicherdienste (Bilder, Dokumente,…)  gemeinsame Dokumentenbearbeitung im Web: z.B. mit Google Docs, Dropbox Cons um erization of IT  Was ist das? Neue IKT Technologien, die sich zunächst auf dem Konsumentenmarkt etablieren, dringen in Organisa- tionsstrukturen vor.  Soziale Netze, BYOD: Vermischung privat/geschäftlich
1. IKT Trends und deren Bedeutung für eHealth Cy ber-Phy s ical S y s tem  eHealth System ist ein CPS! Mobile Endgeräte & Cons um erization is t Realität  Tablet, Laptops, Smartphones Cloud-Diens te  Cloud4Health Projekte z.B.. Patientenakte in Cloud4Health (BMWi)
Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
2. Sicherheitsbedrohungen: allgemein Cy ber-Angriffe s ind attraktiv für Angreifer  Angriffe aus Distanz, kein Risiko durch Vor-Ort-Präsenz  Geringes Entdeckungsrisiko u.a. durch Verschleierung von Spuren  Hohe Effizienz und Effektivität durch parallele Angriffe, u.a. Cloud als Tatwaffe  Tatwaffe Internet ist permanent von überall verfügbar  Große Gewinne sind erzielbar Cyber Crime als Geschäftsmodell, z.B. SPAM über Botnetze: 10.000 $ pro Tag, Miete ab 10$ pro Woche für 50.000 -100.000 Bots
2. Sicherheitsbedrohungen: allgemein Aktuelle Cyber-Gefährdungen und Angriffsformen Register des BSI, 2012  Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung der Spionage in angeschlossenen Netzen oder Datenbanken  Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by-Exploits mit Fokus auf Identitätsdiebstahl  Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen mit dem Ziel der Übernahme der Kontrolle des betroffenen Rechners  Distributed Denial of Service-Angriff mittels Botnetzen mit dem Ziel der Störung der Erreichbarkeit von Webservern oder der Funktionsfähigkeit der Netzanbindung der betroffenen Institution  Gezielte Malware-Infiltration über E-Mail und mithilfe von Social Engineering mit dem Ziel der Übernahme der Kontrolle über den betroffenen Rechner und anschließender Spionage
2. Sicherheitsbedrohungen: speziell Software Beis piel: Web-Anwendung (siehe BSI Register)  Problem : Programmierung Einschleusen von Viren, Trojanern  Problem : mangelhafte Kontrollen unerlaubte Datenzugriffe, Identitätsdieb- stahl, Identitätsmissbrauch Heraus forderungen:  Zuverlässige Abschottungen (Kaskadeneffekte unterbinden)  Selbst-Überwachung (Aufbau eines ‘Immunsystems’)  Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )
2. Sicherheits-Bedrohungen: speziell Mobile Endgeräte, BYOD Verlust des Gerätes:  Zugriff auf sensible Daten auf dem Gerät  Missbrauch von Identifizierungsdaten Download von bösartigen Apps:  Ausspionieren, Manipulieren von Daten Private und berufliche Nutzung:  Fehlender Zugangsschutz, sorgloser Umgang, Privatsphäre Heraus forderungen  Sichere, vertrauenswürdige Ausführungsumgebung  Sichere Identität
2. Sicherheits-Bedrohungen: speziell Cloud-Computing Kontrollverlust  Wo sind die Daten,  Wer hat Zugriff,  Wie werden Datenschutz- auflagen eingehalten, … Heraus forderungen:  Zertifizierte Cloud-Angebote  Monitoring: Einhaltung rechtlicher, organisatorischer Vorgaben  Providerwechsel ermöglichen, „Lock-In“-Effekt verhindern  Integration der Cloud-Services in unternehmenseigene Prozesse
Zwischenfazit Risken und Anforderungen an den eHealth-Bereich  Identitätsdiebstahl und Identitätsmissbrauch, Fraud Vertrauenswürdige ID-Token: eGK, HBA  Unsichere Endgeräte: PCs, Smartphones, Tablets Sicherer Speicher (eGK, Server), abgesichertes (mobiles) Endgerät  Unsichere Cloud (für Patientenakte, Bilder, Artzbrief etc.) Zertifizierte Health-Cloud Angebote, Anbieter ( vgl. DATEV- ’Modell’ )  Fehlende Vertrauensanker (Hardware und Software) Hardware Sicherheitsmodule (vgl. Smart Meter), geprüfte App (vgl nPA)  Unsichere Anwendungen Test-Framework für Health-Apps, Security as a Service für eHealth
Stand der Forschung Lösungsansätze mit Potential für eHealth-Domäne
3. Lösungsansätze Hardware-Sicherheitsmodule Ziel: Angriffsresistenz, Sicherer Speicher, Sicherheitsfunktionen Lös ungs ans ätze  Seitenkanal-resistente(re) Microcontroller:  Skalierende, preiswerte Lösungen: spezielle FPGAs, ASICs, JavaCard- basiert  Leichtgewichtige Kryptoverfahren (ECC)  Unfälschbare Identität: PUF  Sichere Multi-Core Architekturen Beis piele: SmartMeter, Automotive
3. Lösungsansätze Software-Architekturen Ziel: Selbstüberwachende Software-Systeme, insbesondere auch mobile Endgeräte, Tablets, Laptops Lös ungs ans ätze:  Virtualisierung: Isolierung von kritischen z.B. Apps Anwendungen z.B. Android  Monitor-Komponente im Hypervisor Plattform (VMI): Sicheres z.B. L4Linux  Erkennt Manipulationen Betriebssystem mit Android Patches  Erkennt Einbruchsversuche Hypervisor mit VMI Monitor  Hardware-Sicherheitsanker (HSM) Hardware, z.B. HSM, Multi-Core  Sichere Ein-/Ausgabe
3. Lösungsansätze Sandboxed Android, Dual-Boot  Remote device administration  Remote access using ssh and other Linux utilities  Storage  Filesystem snapshots and recovery  Transparent file encryption (device or file based)  File integrity protection using Linux Security Modules (LSM)  Network  Transparent tunneling using Virtual Private Networks (VPN)  Graphical User Interface (GUI)  Secure display (indicated by LED), secure input (hardware buttons)  Secure PIN entry used to unlock SE in microSD card (key storage)
3. Lösungsansätze Cloud Zertifizierung Zertifizierung Reichw eite Anbieter EuroCloud Star Audit Europäisch EuroCloud Trust in Cloud National SaaS-EcoSystem Trusted Cloud Europäisch TÜV Trust IT EuroPriSe Europäisch ULD ISA 3402 Type II International Diverse ISO 27001 International Diverse BSI Cloud Zertifikat* National/Europäisch BSI CSA Certification Framework* International CSA * in Planung Problem : Statisch, Re-Evaluierung nach 12 Monaten, keine kontinuierliche Prüfung
3. Lösungsansätze Cloud Leitstand – Fraunhof er AISEC http:/ / leitstand.aisec.f raunhof er.de Google Network Bandwidth Location of Data During the last hour During the last day 15 Datacenter DE 12 50% MBit/s 9 Datacenter UK 13% 6 Telco Cloud 3 12% Public Cloud 25% 0 10 20 30 40 50 60 Time Cloud Sicherheit Amount of Data 15 12 Active users During the last 6 hours 5 4 Y Axis Label Users 9 3 6 2 3 1 Datacenter Datacenter Telco Public 17 18 19 20 21 22 23 User DE UK Cloud Cloud Hour of day Failed login attempts During the last 6 hours 1250 Ziel: durchgehendes Überwachen Login attempts 1000 750 500 Frontend 250 17 18 19 20 21 22 23 Hour of day Backend Query SELECT avg(count(call)) der Cloud-Aktivitären Data/Metrics Definition SELECT avg(count(call)) FROM win:time(1h) SELECT avg(count(call)) FROM win:time(1h) WHERE serviceName = bla FROM win:time(1h) WHERE serviceName = bla OUTPUT EVERY 3s; Engine Data/Metrics REST WebService WHERE serviceName = srv OUTPUT EVERY 3s; OUTPUT EVERY 3s; Lös ung: AISEC Cloud Leitstand Data Analysis Module Data Analysis Module Data Analysis Module  Angriffserkennung Data Stream  Überprüfung der Einhaltung Hypervisor Network RSA Zabbix Snort Sensor Sensor Archer rechtlicher Anforderungen, Standards Ziel: Sicherer Cloud-Speicher, ohne Vendor-Lock-in Lös ung: Zentraler Trust Manager • Browser-basierter Zugriff, Verteilung verschlüsselter Daten auf (z.B. zertifizierte) Cloud-Plattformen
3. Lösungsansätze Angriffserkennung Ziel: Erkennen von Verhaltensanomalien Lös ungs ans ätze  Lernen von neuen Angriffstechniken: Honey-Nets und Maschinelles Lernen  Umsetzen in neuen Erkennungstechniken: Clusterungs-Verfahren  Techniken sowohl zur Netzüberwachung als auch zur Überwachung von Rechnern (VMI)
3. Lösungsansätze Sicherheitsarchitektur für pseudonyme Daten Ziel: anonymisierte Verarbeitung medizinischer Daten Lös ung: TU München, Klinikum München • Trennung von Identifizierungsdaten und medizinischen Daten • Einsatz: • Systeme, auf denen med. Daten verarbeitet werden • Architektur ist z.B. auf Arztrechner in Praxen einsetzbar
Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
4. Take Home Message Sicherheitslösungen & eHealth Domäne  Identitätsdiebstahl und Identitätsmissbrauch sichere Smartcards: Forschung ist weit, Umsetzung ist auch weit  Unsichere Endgeräte: PCs, Smartphones, Tablets Marktreife Lösungen mit sicheren Ausführungsumgebungen für mobile Geräte  Unsichere Clouds (für Patientenakte, Bilder, Artzbrief etc.) verschlüsselter Cloud-Storage: sicherer als unprofessionelle IKT in Praxen, Zertifizierung von Clouds, Angebote noch in den Anfängen  Fehlende Vertrauensanker (Hardware und Software) Hardware Sicherheitsmodule: Ausprägungen sind verfügbar, z.B. JavaCard  Unsichere Anwendungen automatisierte Sicherheitstests: bislang nur proprietäre Tests, rudimentär
Anregungen für die Diskussion Akzeptanzproblem :  Mehrwert der Gesundheitstelematik wird nicht verstanden/gesehen: Datenschutz-Misstrauen (diffus, Unwissenheit)  Ärzteschaft befürchtet Störung der Arbeitsabläufe Akzeptanzerhöhung: Thes en  Mehrwert für Ärzte: Prozesse, Kosten, Zeit, fancy und compliant  Ist die gematik-Infrastruktur noch angemessen, aktuell?  Rundum-Sorglos-Services, inkl. Abrechnungswesen etc.  Fancy Technik, Komfort-Funktionen: Apps auf iPhone, iPads etc.  Patient als ‚Herr seiner Daten‘: über unsichere Geräte, unsichere Dienste? • aber: Überforderung? Unwissenheit, Ignoranz? Rolle v on Norm ung: • Standards für Mobile Geräte Sicherheit? Für Sicheren eHealth App-Store , …
Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer AISEC, München, TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: claudia.eckert@sec.in.tum.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de

Recommandé

Die "Semantic Web Recommendations" und das Jena Framework
Die "Semantic Web Recommendations" und das Jena FrameworkDie "Semantic Web Recommendations" und das Jena Framework
Die "Semantic Web Recommendations" und das Jena FrameworkJulian Maicher
 
Chile Crece Contigo
Chile Crece ContigoChile Crece Contigo
Chile Crece ContigoUNDP Policy Centre
 
Contigo en trader introduction
Contigo en trader introductionContigo en trader introduction
Contigo en trader introductiondcalmonson
 
Power point.jpg
Power point.jpgPower point.jpg
Power point.jpgAmiraBegic
 
eHealth: Gesetzliche Rahmenbedingungen und Perspektiven
eHealth: Gesetzliche Rahmenbedingungen und PerspektiveneHealth: Gesetzliche Rahmenbedingungen und Perspektiven
eHealth: Gesetzliche Rahmenbedingungen und Perspektiven2kd1
 
Management im Gesundheitswesen III: eHealth
Management im Gesundheitswesen III: eHealthManagement im Gesundheitswesen III: eHealth
Management im Gesundheitswesen III: eHealth2kd1
 
Pflegeinformatik, Gesundheitsinformatik
Pflegeinformatik, GesundheitsinformatikPflegeinformatik, Gesundheitsinformatik
Pflegeinformatik, GesundheitsinformatikHeiko Mania
 
12.07.2012 T06 eHealth, Anton Dunzendorfer, AIT
12.07.2012 T06 eHealth, Anton Dunzendorfer, AIT12.07.2012 T06 eHealth, Anton Dunzendorfer, AIT
12.07.2012 T06 eHealth, Anton Dunzendorfer, AITWerbeplanung.at Summit
 

Recommandé

Die "Semantic Web Recommendations" und das Jena Framework
Die "Semantic Web Recommendations" und das Jena FrameworkDie "Semantic Web Recommendations" und das Jena Framework
Die "Semantic Web Recommendations" und das Jena FrameworkJulian Maicher
 
Chile Crece Contigo
Chile Crece ContigoChile Crece Contigo
Chile Crece ContigoUNDP Policy Centre
 
Contigo en trader introduction
Contigo en trader introductionContigo en trader introduction
Contigo en trader introductiondcalmonson
 
Power point.jpg
Power point.jpgPower point.jpg
Power point.jpgAmiraBegic
 
eHealth: Gesetzliche Rahmenbedingungen und Perspektiven
eHealth: Gesetzliche Rahmenbedingungen und PerspektiveneHealth: Gesetzliche Rahmenbedingungen und Perspektiven
eHealth: Gesetzliche Rahmenbedingungen und Perspektiven2kd1
 
Management im Gesundheitswesen III: eHealth
Management im Gesundheitswesen III: eHealthManagement im Gesundheitswesen III: eHealth
Management im Gesundheitswesen III: eHealth2kd1
 
Pflegeinformatik, Gesundheitsinformatik
Pflegeinformatik, GesundheitsinformatikPflegeinformatik, Gesundheitsinformatik
Pflegeinformatik, GesundheitsinformatikHeiko Mania
 
12.07.2012 T06 eHealth, Anton Dunzendorfer, AIT
12.07.2012 T06 eHealth, Anton Dunzendorfer, AIT12.07.2012 T06 eHealth, Anton Dunzendorfer, AIT
12.07.2012 T06 eHealth, Anton Dunzendorfer, AITWerbeplanung.at Summit
 
Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...
Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...
Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...Bertelsmann Stiftung
 
Qt test framework
Qt test frameworkQt test framework
Qt test frameworkICS
 
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...Swiss eHealth Forum
 
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)Swiss eHealth Forum
 
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...Swiss eHealth Forum
 
Moderne budgetierung flexibilität
Moderne budgetierung flexibilitätModerne budgetierung flexibilität
Moderne budgetierung flexibilitätICV_eV
 
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...Swiss eHealth Forum
 
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...Swiss eHealth Forum
 
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)Swiss eHealth Forum
 
Gil2013 gridsolut public
Gil2013 gridsolut publicGil2013 gridsolut public
Gil2013 gridsolut publicJochen Traunecker
 
Davra Networks - MachNation DE
Davra Networks - MachNation DEDavra Networks - MachNation DE
Davra Networks - MachNation DEArua Tupinambas
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things ArchitectureChristian Waha
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
QUANTO Solutions real io-t mit Q-CONNECT
QUANTO Solutions real io-t mit Q-CONNECTQUANTO Solutions real io-t mit Q-CONNECT
QUANTO Solutions real io-t mit Q-CONNECTQUANTO Solutions
 
Digitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtDigitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtGeorg Guentner
 
Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Intelliact AG
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingThomas Krampe
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp CLOUDPILOTS Software & Consulting GmbH
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLeonieDelphineReschr
 
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...AWS Germany
 

Contenu connexe

En vedette

Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...
Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...
Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...Bertelsmann Stiftung
 
Qt test framework
Qt test frameworkQt test framework
Qt test frameworkICS
 
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...Swiss eHealth Forum
 
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)Swiss eHealth Forum
 
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...Swiss eHealth Forum
 
Moderne budgetierung flexibilität
Moderne budgetierung flexibilitätModerne budgetierung flexibilität
Moderne budgetierung flexibilitätICV_eV
 
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...Swiss eHealth Forum
 
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...Swiss eHealth Forum
 
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)Swiss eHealth Forum
 

En vedette (9)

Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...
Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...
Gesundheits-Apps, Video-Sprechstunden, Dr. Google - Patienten im digitalen Wa...
 
Qt test framework
Qt test frameworkQt test framework
Qt test framework
 
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...
SeHF 2015 | Swiss eHealth Barometer 2015: Stand der Vernetzung und Haltungen...
 
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)
SeHF 2013 | Wie holen wir die Ärzte ins eHealth-Zeitalter? (Urs Stoffel)
 
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Die Rolle des IPI (Gerhard Schi...
 
Moderne budgetierung flexibilität
Moderne budgetierung flexibilitätModerne budgetierung flexibilität
Moderne budgetierung flexibilität
 
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...
SeHF 2013 | eHealth als Wettbewerbsvorteil für integrierte Versorgungsnetze (...
 
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...
SeHF 2014 | Swiss eHealth Barometer 2014 - Ein Schweizer Radar zum Stand von ...
 
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)
SeHF 2013 | Die Spital-IT im Wandel (Thomas Bähler & Jürg Lindenmann)
 

Similaire à IKT-Trends und deren Bedeutung für eHealth

Davra Networks - MachNation DE
Davra Networks - MachNation DEDavra Networks - MachNation DE
Davra Networks - MachNation DEArua Tupinambas
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things ArchitectureChristian Waha
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
QUANTO Solutions real io-t mit Q-CONNECT
QUANTO Solutions real io-t mit Q-CONNECTQUANTO Solutions real io-t mit Q-CONNECT
QUANTO Solutions real io-t mit Q-CONNECTQUANTO Solutions
 
Digitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtDigitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtGeorg Guentner
 
Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Intelliact AG
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLeonieDelphineReschr
 
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...AWS Germany
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle CloudTim Cole
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebSplunk
 
Cloud Computing und Windows Azure - Weg von der Lizenzdroge
Cloud Computing und Windows Azure - Weg von der LizenzdrogeCloud Computing und Windows Azure - Weg von der Lizenzdroge
Cloud Computing und Windows Azure - Weg von der LizenzdrogeeEvolution GmbH & Co. KG
 
Truzztbox datenraummobilitaet angebot
Truzztbox datenraummobilitaet angebotTruzztbox datenraummobilitaet angebot
Truzztbox datenraummobilitaet angeboth-bauer2014
 
Sicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudSicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudAberla
 

Similaire à IKT-Trends und deren Bedeutung für eHealth (20)

Gil2013 gridsolut public
Gil2013 gridsolut publicGil2013 gridsolut public
Gil2013 gridsolut public
 
Davra Networks - MachNation DE
Davra Networks - MachNation DEDavra Networks - MachNation DE
Davra Networks - MachNation DE
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things Architecture
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
QUANTO Solutions real io-t mit Q-CONNECT
QUANTO Solutions real io-t mit Q-CONNECTQUANTO Solutions real io-t mit Q-CONNECT
QUANTO Solutions real io-t mit Q-CONNECT
 
Digitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtDigitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedacht
 
Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)Innovations- und Informationskultur mit Web 2.0 (2010)
Innovations- und Informationskultur mit Web 2.0 (2010)
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
 
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle Cloud
 
Der Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC BetriebDer Weg in den vollautomatisierten SOC Betrieb
Der Weg in den vollautomatisierten SOC Betrieb
 
Cloud Computing und Windows Azure - Weg von der Lizenzdroge
Cloud Computing und Windows Azure - Weg von der LizenzdrogeCloud Computing und Windows Azure - Weg von der Lizenzdroge
Cloud Computing und Windows Azure - Weg von der Lizenzdroge
 
Truzztbox datenraummobilitaet angebot
Truzztbox datenraummobilitaet angebotTruzztbox datenraummobilitaet angebot
Truzztbox datenraummobilitaet angebot
 
Sicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudSicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die Cloud
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 

Plus de Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer AISEC
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteFraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidFraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik HamburgFraunhofer AISEC
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsFraunhofer AISEC
 

Plus de Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
 

IKT-Trends und deren Bedeutung für eHealth

  • 1. IT-Sicherheit IKT-Trends und deren Bedeutung für eHealth Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik 1
  • 2. Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
  • 3. Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
  • 4. 1. IKT Trends Cy ber Phy s ical S y s tem s (CPS )  Offene, vernetzte, Internet-basierte Systeme  Vernetzung von Menschen, Geräten physischen Objekten, Diensten Beis piele für CPS  Smart Grid, Smart City, Auto, Produktion Mobile Endgeräte, m obiles Internet:  iOS und Android-basierte Geräte  Always on, Access anywhere
  • 5. 1. IKT Trends Cloud-bas ierte Diens te  eMails, Kalender, Speicherdienste (Bilder, Dokumente,…)  gemeinsame Dokumentenbearbeitung im Web: z.B. mit Google Docs, Dropbox Cons um erization of IT  Was ist das? Neue IKT Technologien, die sich zunächst auf dem Konsumentenmarkt etablieren, dringen in Organisa- tionsstrukturen vor.  Soziale Netze, BYOD: Vermischung privat/geschäftlich
  • 6. 1. IKT Trends und deren Bedeutung für eHealth Cy ber-Phy s ical S y s tem  eHealth System ist ein CPS! Mobile Endgeräte & Cons um erization is t Realität  Tablet, Laptops, Smartphones Cloud-Diens te  Cloud4Health Projekte z.B.. Patientenakte in Cloud4Health (BMWi)
  • 7. Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
  • 8. 2. Sicherheitsbedrohungen: allgemein Cy ber-Angriffe s ind attraktiv für Angreifer  Angriffe aus Distanz, kein Risiko durch Vor-Ort-Präsenz  Geringes Entdeckungsrisiko u.a. durch Verschleierung von Spuren  Hohe Effizienz und Effektivität durch parallele Angriffe, u.a. Cloud als Tatwaffe  Tatwaffe Internet ist permanent von überall verfügbar  Große Gewinne sind erzielbar Cyber Crime als Geschäftsmodell, z.B. SPAM über Botnetze: 10.000 $ pro Tag, Miete ab 10$ pro Woche für 50.000 -100.000 Bots
  • 9. 2. Sicherheitsbedrohungen: allgemein Aktuelle Cyber-Gefährdungen und Angriffsformen Register des BSI, 2012  Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung der Spionage in angeschlossenen Netzen oder Datenbanken  Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by-Exploits mit Fokus auf Identitätsdiebstahl  Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen mit dem Ziel der Übernahme der Kontrolle des betroffenen Rechners  Distributed Denial of Service-Angriff mittels Botnetzen mit dem Ziel der Störung der Erreichbarkeit von Webservern oder der Funktionsfähigkeit der Netzanbindung der betroffenen Institution  Gezielte Malware-Infiltration über E-Mail und mithilfe von Social Engineering mit dem Ziel der Übernahme der Kontrolle über den betroffenen Rechner und anschließender Spionage
  • 10. 2. Sicherheitsbedrohungen: speziell Software Beis piel: Web-Anwendung (siehe BSI Register)  Problem : Programmierung Einschleusen von Viren, Trojanern  Problem : mangelhafte Kontrollen unerlaubte Datenzugriffe, Identitätsdieb- stahl, Identitätsmissbrauch Heraus forderungen:  Zuverlässige Abschottungen (Kaskadeneffekte unterbinden)  Selbst-Überwachung (Aufbau eines ‘Immunsystems’)  Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )
  • 11. 2. Sicherheits-Bedrohungen: speziell Mobile Endgeräte, BYOD Verlust des Gerätes:  Zugriff auf sensible Daten auf dem Gerät  Missbrauch von Identifizierungsdaten Download von bösartigen Apps:  Ausspionieren, Manipulieren von Daten Private und berufliche Nutzung:  Fehlender Zugangsschutz, sorgloser Umgang, Privatsphäre Heraus forderungen  Sichere, vertrauenswürdige Ausführungsumgebung  Sichere Identität
  • 12. 2. Sicherheits-Bedrohungen: speziell Cloud-Computing Kontrollverlust  Wo sind die Daten,  Wer hat Zugriff,  Wie werden Datenschutz- auflagen eingehalten, … Heraus forderungen:  Zertifizierte Cloud-Angebote  Monitoring: Einhaltung rechtlicher, organisatorischer Vorgaben  Providerwechsel ermöglichen, „Lock-In“-Effekt verhindern  Integration der Cloud-Services in unternehmenseigene Prozesse
  • 13. Zwischenfazit Risken und Anforderungen an den eHealth-Bereich  Identitätsdiebstahl und Identitätsmissbrauch, Fraud Vertrauenswürdige ID-Token: eGK, HBA  Unsichere Endgeräte: PCs, Smartphones, Tablets Sicherer Speicher (eGK, Server), abgesichertes (mobiles) Endgerät  Unsichere Cloud (für Patientenakte, Bilder, Artzbrief etc.) Zertifizierte Health-Cloud Angebote, Anbieter ( vgl. DATEV- ’Modell’ )  Fehlende Vertrauensanker (Hardware und Software) Hardware Sicherheitsmodule (vgl. Smart Meter), geprüfte App (vgl nPA)  Unsichere Anwendungen Test-Framework für Health-Apps, Security as a Service für eHealth
  • 14. Stand der Forschung Lösungsansätze mit Potential für eHealth-Domäne
  • 15. 3. Lösungsansätze Hardware-Sicherheitsmodule Ziel: Angriffsresistenz, Sicherer Speicher, Sicherheitsfunktionen Lös ungs ans ätze  Seitenkanal-resistente(re) Microcontroller:  Skalierende, preiswerte Lösungen: spezielle FPGAs, ASICs, JavaCard- basiert  Leichtgewichtige Kryptoverfahren (ECC)  Unfälschbare Identität: PUF  Sichere Multi-Core Architekturen Beis piele: SmartMeter, Automotive
  • 16. 3. Lösungsansätze Software-Architekturen Ziel: Selbstüberwachende Software-Systeme, insbesondere auch mobile Endgeräte, Tablets, Laptops Lös ungs ans ätze:  Virtualisierung: Isolierung von kritischen z.B. Apps Anwendungen z.B. Android  Monitor-Komponente im Hypervisor Plattform (VMI): Sicheres z.B. L4Linux  Erkennt Manipulationen Betriebssystem mit Android Patches  Erkennt Einbruchsversuche Hypervisor mit VMI Monitor  Hardware-Sicherheitsanker (HSM) Hardware, z.B. HSM, Multi-Core  Sichere Ein-/Ausgabe
  • 17. 3. Lösungsansätze Sandboxed Android, Dual-Boot  Remote device administration  Remote access using ssh and other Linux utilities  Storage  Filesystem snapshots and recovery  Transparent file encryption (device or file based)  File integrity protection using Linux Security Modules (LSM)  Network  Transparent tunneling using Virtual Private Networks (VPN)  Graphical User Interface (GUI)  Secure display (indicated by LED), secure input (hardware buttons)  Secure PIN entry used to unlock SE in microSD card (key storage)
  • 18. 3. Lösungsansätze Cloud Zertifizierung Zertifizierung Reichw eite Anbieter EuroCloud Star Audit Europäisch EuroCloud Trust in Cloud National SaaS-EcoSystem Trusted Cloud Europäisch TÜV Trust IT EuroPriSe Europäisch ULD ISA 3402 Type II International Diverse ISO 27001 International Diverse BSI Cloud Zertifikat* National/Europäisch BSI CSA Certification Framework* International CSA * in Planung Problem : Statisch, Re-Evaluierung nach 12 Monaten, keine kontinuierliche Prüfung
  • 19. 3. Lösungsansätze Cloud Leitstand – Fraunhof er AISEC http:/ / leitstand.aisec.f raunhof er.de Google Network Bandwidth Location of Data During the last hour During the last day 15 Datacenter DE 12 50% MBit/s 9 Datacenter UK 13% 6 Telco Cloud 3 12% Public Cloud 25% 0 10 20 30 40 50 60 Time Cloud Sicherheit Amount of Data 15 12 Active users During the last 6 hours 5 4 Y Axis Label Users 9 3 6 2 3 1 Datacenter Datacenter Telco Public 17 18 19 20 21 22 23 User DE UK Cloud Cloud Hour of day Failed login attempts During the last 6 hours 1250 Ziel: durchgehendes Überwachen Login attempts 1000 750 500 Frontend 250 17 18 19 20 21 22 23 Hour of day Backend Query SELECT avg(count(call)) der Cloud-Aktivitären Data/Metrics Definition SELECT avg(count(call)) FROM win:time(1h) SELECT avg(count(call)) FROM win:time(1h) WHERE serviceName = bla FROM win:time(1h) WHERE serviceName = bla OUTPUT EVERY 3s; Engine Data/Metrics REST WebService WHERE serviceName = srv OUTPUT EVERY 3s; OUTPUT EVERY 3s; Lös ung: AISEC Cloud Leitstand Data Analysis Module Data Analysis Module Data Analysis Module  Angriffserkennung Data Stream  Überprüfung der Einhaltung Hypervisor Network RSA Zabbix Snort Sensor Sensor Archer rechtlicher Anforderungen, Standards Ziel: Sicherer Cloud-Speicher, ohne Vendor-Lock-in Lös ung: Zentraler Trust Manager • Browser-basierter Zugriff, Verteilung verschlüsselter Daten auf (z.B. zertifizierte) Cloud-Plattformen
  • 20. 3. Lösungsansätze Angriffserkennung Ziel: Erkennen von Verhaltensanomalien Lös ungs ans ätze  Lernen von neuen Angriffstechniken: Honey-Nets und Maschinelles Lernen  Umsetzen in neuen Erkennungstechniken: Clusterungs-Verfahren  Techniken sowohl zur Netzüberwachung als auch zur Überwachung von Rechnern (VMI)
  • 21. 3. Lösungsansätze Sicherheitsarchitektur für pseudonyme Daten Ziel: anonymisierte Verarbeitung medizinischer Daten Lös ung: TU München, Klinikum München • Trennung von Identifizierungsdaten und medizinischen Daten • Einsatz: • Systeme, auf denen med. Daten verarbeitet werden • Architektur ist z.B. auf Arztrechner in Praxen einsetzbar
  • 22. Agenda 1. IKT Trends 2. Sicherheitsbedrohungen 3. Lösungsansätze 4. Take Home Message und Diskussionsanregungen
  • 23. 4. Take Home Message Sicherheitslösungen & eHealth Domäne  Identitätsdiebstahl und Identitätsmissbrauch sichere Smartcards: Forschung ist weit, Umsetzung ist auch weit  Unsichere Endgeräte: PCs, Smartphones, Tablets Marktreife Lösungen mit sicheren Ausführungsumgebungen für mobile Geräte  Unsichere Clouds (für Patientenakte, Bilder, Artzbrief etc.) verschlüsselter Cloud-Storage: sicherer als unprofessionelle IKT in Praxen, Zertifizierung von Clouds, Angebote noch in den Anfängen  Fehlende Vertrauensanker (Hardware und Software) Hardware Sicherheitsmodule: Ausprägungen sind verfügbar, z.B. JavaCard  Unsichere Anwendungen automatisierte Sicherheitstests: bislang nur proprietäre Tests, rudimentär
  • 24. Anregungen für die Diskussion Akzeptanzproblem :  Mehrwert der Gesundheitstelematik wird nicht verstanden/gesehen: Datenschutz-Misstrauen (diffus, Unwissenheit)  Ärzteschaft befürchtet Störung der Arbeitsabläufe Akzeptanzerhöhung: Thes en  Mehrwert für Ärzte: Prozesse, Kosten, Zeit, fancy und compliant  Ist die gematik-Infrastruktur noch angemessen, aktuell?  Rundum-Sorglos-Services, inkl. Abrechnungswesen etc.  Fancy Technik, Komfort-Funktionen: Apps auf iPhone, iPads etc.  Patient als ‚Herr seiner Daten‘: über unsichere Geräte, unsichere Dienste? • aber: Überforderung? Unwissenheit, Ignoranz? Rolle v on Norm ung: • Standards für Mobile Geräte Sicherheit? Für Sicheren eHealth App-Store , …
  • 25. Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer AISEC, München, TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: claudia.eckert@sec.in.tum.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de