Mehr Sicherheit von Patientendaten: Pentest und Cloud-Audit bei medavis

Compliance-Anforderungen sind häufig Treiber für die Notwendigkeit eines Pentests. Doch jedes Unternehmen und deren IT-Infrastruktur muss individuell betrachtet werden. Meist ist der originär angefragte Pentest nicht genug. Denn befinden sich beispielsweise Anwendungen in der Cloud, müssen auch weitere Angriffsvektoren bedacht werden. Ein gutes Beispiel ist die Zusammenarbeit mit der medavis GmbH.

Der Karlsruher Anbieter von Radiologischen Workflow Lösungen verarbeitet hoch schützenswerte Patientendaten, wie diagnostische Bilder und Befunde und stellt dabei den radiologischen Workflow in den Mittelpunkt seines Denkens und Handelns. Aufgrund des sehr hohen Schutzbedarfes der verarbeiteten Daten, ließ die medavis zusätzlich zum Pentest, das IT-Sicherheitsniveau der gesamten Cloud-Infrastruktur überprüfen. Die Sicherheitsexperten der usd AG analysierten dabei die Konfiguration der AWS-Cloud-Services und die darauf laufenden Anwendungen.

Die Experten der usd AG haben ein spezielles Prüfverfahren entwickelt, welches sich unter anderem an den Vorgaben des Payment Card Industry Data Security Standards (PCI DSS), den Handlungsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP) orientiert. Zudem werden Benchmarks des Center for Internet Security (CIS) und Best Practices der Cloud Service Provider berücksichtigt. Die Kombination all dieser Anforderungen als Basis für das usd Vorgehensmodell erhöht nachhaltig die Sicherheit der geprüften Systeme.

Tobias Troesch, Product Owner der medavis GmbH, und seine Kolleg*innen nehmen Informationssicherheit sehr ernst:

„Als Hersteller von Radiologie-Workflow-Lösungen, stellen wir den Informationsfluss von sensiblen Daten für medizinische Diagnosen bereit. Der Schutz der Patientendaten hat für uns daher höchste Priorität. Nur so können wir unseren Kunden das bestmögliche Sicherheitsniveau gewährleisten. Die usd AG unterstützte uns von Beginn an höchst professionell und kompetent. Dies zeigte sich schon im Erstgespräch: In enger Zusammenarbeit definierten wir die Risikoeinstufungen der verschiedenen Funktionen und erhielten so ein hervorragendes, auf unsere Bedürfnisse angepasstes Angebot, um eine möglichst effiziente Überprüfung durchführen zu lassen. Dabei auch die Konfiguration der AWS-Cloud-Services zu betrachten, war in dieser Phase ein hervorragender Ansatz vom usd Fachvertrieb. Insgesamt bedanken wir uns für die stets angenehme und zielorientierte Zusammenarbeit und kompetente Beratung – auch über das eigentliche Projekt hinaus.“

 

Tobias Neitzel, usd Managing Consultant IT Security über die Besonderheiten der zu testenden Umgebung:

„Der Pentest einer Cloud-Infrastruktur unterscheidet sich von dem traditioneller On-Premise-Infrastrukturen. Cloud-Anbieter, wie z.B. AWS, bieten viele Funktionen und ein hohes Maß an Flexibilität an. Dies bietet Cloud-Nutzern viele Vorteile, hat aber auch sicherheitsrelevante, nicht zu unterschätzende Risiken. Die Cloud-Anbieter folgen daher in der Regel einem Modell der gemeinsamen Verantwortung: Beispielsweise fällt die Verantwortung für die Konfiguration der Server und der Zugriffsrechte dem Nutzer zu.“

„Unternehmen konzentrieren sich in der Regel auf die Überprüfung ihrer Anwendung. Dabei lassen sie häufig die Konfiguration der Cloud-Services selbst außer Acht. Daher ist es uns sehr wichtig, genau diese Angriffspunkte im Erstgespräch mit unseren Kunden zu adressieren. Die medavis GmbH hat mit der Durchführung einer technischen Sicherheitsanalyse in Form von Pentests sowie einem Konfigurationsaudit genau die richtigen Schritte für ein höheres IT-Sicherheitsniveau gesetzt. Wir freuen uns auf eine weiterhin partnerschaftliche Zusammenarbeit.“, ergänzt Dr. Kai Schubert, Managing Consultant der usd AG.