Eingebaute Sicherheit
Cybersicherheit: Interview mit Jörg Kirsten, Dedalus HealthCare
Universitätsklinikum Frankfurt, Caritas-Klinik Dominikus in Berlin-Reinickendorf, Bezirkskliniken Mittelfranken, Dreifaltigkeits-Hospital in Lippstadt, Krankenhaus Lindenbrunn in Coppenbrügge – das sind nur die letzten einer ganzen Reihe von Gesundheitseinrichtungen, die jüngst Ziel krimineller Cyberangriffe wurden. Wie kann ein Softwareanbieter seine Kunden dabei unterstützen, sich vor derartigen Gefahren zu schützen? Das erläutert Jörg Kirsten, Group Chief Information Security Officer bei Dedalus HealthCare, im Interview.
Herr Kirsten, was tut Dedalus HealthCare, um seine Software fit gegen Cyberangriffe zu machen?
Jörg Kirsten: Wir prüfen vom Start des Entwicklungsprozesses jede Anforderung an neue Entwicklungen und Änderungen am System schon zum Definitionszeitpunkt im Rahmen der notwendigen Sicherheitsmaßnahmen, um eine sichere Softwareentwicklung zu gewährleisten.
Was heißt das?
J. Kirsten: Es geht um zwei Aspekte: Security by Design und Privacy by Design. Von Security by Design spricht man, wenn bei der Entwicklung von Hard- oder Software bereits von Anfang an darauf geachtet wird, Systeme möglichst ohne Schwachstellen und so robust wie möglich gegen Angriffe zu konzipieren. Die Sicherheit wird also bereits im Entwicklungsprozess berücksichtigt und in den kompletten Lebenszyklus eines Produkts integriert. Zu den Designkriterien zählen beispielsweise die Minimierung der Angriffsfläche, der Einsatz von Verschlüsselung und Authentifizierung sowie die Isolation sicherheitsrelevanter Bereiche. Hinter Privacy by Design verbirgt sich der Datenschutz durch Technikgestaltung, dass der Datenschutz also bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist.
Wie muss ich mir den Prozess vorstellen?
J. Kirsten: Unsere Experten sind in den kompletten Prozess der Softwareentwicklung eingebunden, von der Erstellung der Anforderungen sowie der Definition, was zu tun ist, über die Projektdefinition für ein neues Release und die Behandlung von Störungen oder Defekten zur kontinuierlichen Prüfung bezüglich Schwachstellen in der Software. Die manuelle Prüfung des Codes erfolgt durch das Vier-Augen-Prinzip; eingebundene Open-Source- und Java-Bibliotheken werden automatisch geprüft. Während der Validierung und Verifikation des Produkts nehmen wir einen vollumfänglichen Antiviren- und Antimalware-Scan über die gesamte Software vor, um sicherzustellen, dass das auszuliefernde Produkt frei von jeglichem Schadcode ist.