Mehr Sicherheit von Patientendaten: Pentest und Cloud-Audit bei medavis

23. September 2020

Compliance-Anforderungen sind häufig Treiber für die Notwendigkeit eines Pentests. Doch jedes Unternehmen und deren IT-Infrastruktur muss individuell betrachtet werden. Meist ist der originär angefragte Pentest nicht genug. Denn befinden sich beispielsweise Anwendungen in der Cloud, müssen auch weitere Angriffsvektoren bedacht werden. Ein gutes Beispiel ist die Zusammenarbeit mit der medavis GmbH.

Der Karlsruher Anbieter von Radiologischen Workflow Lösungen verarbeitet hoch schützenswerte Patientendaten, wie diagnostische Bilder und Befunde und stellt dabei den radiologischen Workflow in den Mittelpunkt seines Denkens und Handelns. Aufgrund des sehr hohen Schutzbedarfes der verarbeiteten Daten, ließ die medavis zusätzlich zum Pentest, das IT-Sicherheitsniveau der gesamten Cloud-Infrastruktur überprüfen. Die Sicherheitsexperten der usd AG analysierten dabei die Konfiguration der AWS-Cloud-Services und die darauf laufenden Anwendungen.

Die Experten der usd AG haben ein spezielles Prüfverfahren entwickelt, welches sich unter anderem an den Vorgaben des Payment Card Industry Data Security Standards (PCI DSS), den Handlungsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP) orientiert. Zudem werden Benchmarks des Center for Internet Security (CIS) und Best Practices der Cloud Service Provider berücksichtigt. Die Kombination all dieser Anforderungen als Basis für das usd Vorgehensmodell erhöht nachhaltig die Sicherheit der geprüften Systeme.

Tobias Troesch, Product Owner der medavis GmbH, und seine Kolleg*innen nehmen Informationssicherheit sehr ernst: „Als Hersteller von Radiologie-Workflow-Lösungen, stellen wir den Informationsfluss von sensiblen Daten für medizinische Diagnosen bereit. Der Schutz der Patientendaten hat für uns daher höchste Priorität. Nur so können wir unseren Kunden das bestmögliche Sicherheitsniveau gewährleisten. Die usd AG unterstützte uns von Beginn an höchst professionell und kompetent. Dies zeigte sich schon im Erstgespräch: In enger Zusammenarbeit definierten wir die Risikoeinstufungen der verschiedenen Funktionen und erhielten so ein hervorragendes, auf unsere Bedürfnisse angepasstes Angebot, um eine möglichst effiziente Überprüfung durchführen zu lassen. Dabei auch die Konfiguration der AWS-Cloud-Services zu betrachten, war in dieser Phase ein hervorragender Ansatz vom usd Fachvertrieb. Insgesamt bedanken wir uns für die stets angenehme und zielorientierte Zusammenarbeit und kompetente Beratung – auch über das eigentliche Projekt hinaus.“

Tobias Neitzel, usd Managing Consultant IT Security über die Besonderheiten der zu testenden Umgebung: „Der Pentest einer Cloud-Infrastruktur unterscheidet sich von dem traditioneller On-Premise-Infrastrukturen. Cloud-Anbieter, wie z.B. AWS, bieten viele Funktionen und ein hohes Maß an Flexibilität an. Dies bietet Cloud-Nutzern viele Vorteile, hat aber auch sicherheitsrelevante, nicht zu unterschätzende Risiken. Die Cloud-Anbieter folgen daher in der Regel einem Modell der gemeinsamen Verantwortung: Beispielsweise fällt die Verantwortung für die Konfiguration der Server und der Zugriffsrechte dem Nutzer zu.“

„Unternehmen konzentrieren sich in der Regel auf die Überprüfung ihrer Anwendung. Dabei lassen sie häufig die Konfiguration der Cloud-Services selbst außer Acht. Daher ist es uns sehr wichtig, genau diese Angriffspunkte im Erstgespräch mit unseren Kunden zu adressieren. Die medavis GmbH hat mit der Durchführung einer technischen Sicherheitsanalyse in Form von Pentests sowie einem Konfigurationsaudit genau die richtigen Schritte für ein höheres IT-Sicherheitsniveau gesetzt. Wir freuen uns auf eine weiterhin partnerschaftliche Zusammenarbeit.“, ergänzt Dr. Kai SchubertManaging Consultant der usd AG.


Über medavis GmbH

Die medavis GmbH ist als inhabergeführtes mittelständisches Unternehmen seit 23 Jahren Spezialist auf dem Markt für innovative Radiologie Workflow Systeme.

Mittlerweile gehört das zukunftsorientierte medavis RIS zu den innovativsten Radiologie-Workflow-Lösungen weltweit. Dies hat es nicht zuletzt seiner Schnelligkeit, seinen durchdachten Arbeitsabläufen und seiner Stabilität zu verdanken.

Mit modularen und skalierbaren Anwendungen kann medavis, über Standorte hinweg, Radiologen sowohl untereinander als auch mit Zuweisern vernetzen und einen umfangreichen, schnellen und sicheren Informationsfluss bereitstellen. Mit medavis erhöhen Radiologen so die Schnelligkeit und Effizienz ihrer Patientenversorgung.

Über die herkömmlichen radiologischen Workflows hinaus ermöglicht medavis mit einer webbasierten Kommunikationsplattform uneingeschränkten Informationsfluss – auch über Standortgrenzen hinweg, vom Überweiserportal bis hin zur Teleradiologie.

Weitere Informationen unter www.medavis.de

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien