Mehr Sicherheit von Patientendaten: Pentest und Cloud-Audit bei medavis
Anwenderbericht – It-Sicherheit
geschrieben von: usd AG, Deutschland
Der Karlsruher Anbieter von Radiologischen Workflow Lösungen verarbeitet hoch schützenswerte Patientendaten, wie diagnostische Bilder und Befunde und stellt dabei den radiologischen Workflow in den Mittelpunkt seines Denkens und Handelns. Aufgrund des sehr hohen Schutzbedarfes der verarbeiteten Daten, ließ die medavis zusätzlich zum Pentest, das IT-Sicherheitsniveau der gesamten Cloud-Infrastruktur überprüfen. Die Sicherheitsexperten der usd AG analysierten dabei die Konfiguration der AWS-Cloud-Services und die darauf laufenden Anwendungen.
Die Experten der usd AG haben ein spezielles Prüfverfahren entwickelt, welches sich unter anderem an den Vorgaben des Payment Card Industry Data Security Standards (PCI DSS), den Handlungsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP) orientiert. Zudem werden Benchmarks des Center for Internet Security (CIS) und Best Practices der Cloud Service Provider berücksichtigt. Die Kombination all dieser Anforderungen als Basis für das usd Vorgehensmodell erhöht nachhaltig die Sicherheit der geprüften Systeme.
Tobias Troesch, Product Owner der medavis GmbH, und seine Kolleg*innen nehmen Informationssicherheit sehr ernst:
„Als Hersteller von Radiologie-Workflow-Lösungen, stellen wir den Informationsfluss von sensiblen Daten für medizinische Diagnosen bereit. Der Schutz der Patientendaten hat für uns daher höchste Priorität. Nur so können wir unseren Kunden das bestmögliche Sicherheitsniveau gewährleisten. Die usd AG unterstützte uns von Beginn an höchst professionell und kompetent. Dies zeigte sich schon im Erstgespräch: In enger Zusammenarbeit definierten wir die Risikoeinstufungen der verschiedenen Funktionen und erhielten so ein hervorragendes, auf unsere Bedürfnisse angepasstes Angebot, um eine möglichst effiziente Überprüfung durchführen zu lassen. Dabei auch die Konfiguration der AWS-Cloud-Services zu betrachten, war in dieser Phase ein hervorragender Ansatz vom usd Fachvertrieb. Insgesamt bedanken wir uns für die stets angenehme und zielorientierte Zusammenarbeit und kompetente Beratung – auch über das eigentliche Projekt hinaus.“
Tobias Neitzel, usd Managing Consultant IT Security über die Besonderheiten der zu testenden Umgebung:
„Der Pentest einer Cloud-Infrastruktur unterscheidet sich von dem traditioneller On-Premise-Infrastrukturen. Cloud-Anbieter, wie z.B. AWS, bieten viele Funktionen und ein hohes Maß an Flexibilität an. Dies bietet Cloud-Nutzern viele Vorteile, hat aber auch sicherheitsrelevante, nicht zu unterschätzende Risiken. Die Cloud-Anbieter folgen daher in der Regel einem Modell der gemeinsamen Verantwortung: Beispielsweise fällt die Verantwortung für die Konfiguration der Server und der Zugriffsrechte dem Nutzer zu.“
„Unternehmen konzentrieren sich in der Regel auf die Überprüfung ihrer Anwendung. Dabei lassen sie häufig die Konfiguration der Cloud-Services selbst außer Acht. Daher ist es uns sehr wichtig, genau diese Angriffspunkte im Erstgespräch mit unseren Kunden zu adressieren. Die medavis GmbH hat mit der Durchführung einer technischen Sicherheitsanalyse in Form von Pentests sowie einem Konfigurationsaudit genau die richtigen Schritte für ein höheres IT-Sicherheitsniveau gesetzt. Wir freuen uns auf eine weiterhin partnerschaftliche Zusammenarbeit.“, ergänzt Dr. Kai Schubert, Managing Consultant der usd AG.
Weitere News
KI in der Radiologie: Ein Blick auf den aktuellen Stand der Integration
Auf dem Weg zur KI-gestützten Radiologie Ein Blick auf den aktuellen Stand der Integration Erfüllen sich die Anforderungen an Standardisierung und Flexibilität in der Nutzung, steht dem Siegeszug der KI im radiologischen Befundprozess nichts mehr im Wege. Was ist...
Tipps vom Fachanwalt: Der sichere Weg in die Cloud
Der sichere Weg in die Cloud Ein Fachanwalt gibt TippsDie Softwarenutzung aus der Cloud birgt für Nutzer nicht nur technische und organisatorische, sondern auch rechtliche Herausforderungen. Was sind die juristischen Basics, die Praxen bei der Wahl eines Anbieters...
RKR, 11.2024, Dortmund
medavis Business Lounge auf dem RKRNetworkingProgrammZur AnmeldungSAVE-THE-DATEmedavis Business Lounge 14. - 15. November 2024,RadiologieKongress Ruhr in Dortmund14. - 15. November 2024,RadiologieKongress Ruhr in DortmundWir freuen uns, Sie wieder in unserer...