Investor RelationsPresseCOVID-19
  1. Home
  2. Support & Documentation
  3. Cybersicherheit bei Siemens Healthineers
Schutz medizinischer Einrichtungen vor Cyber-Bedrohungen

CybersicherheitSchutz medizinischer Einrichtungen vor Cyber-Bedrohungen

Cybersecurity at Siemens Healthineers

Unsere Bemühungen um Cybersicherheit

Angesichts des digitalen Wandels ebnet die Cybersicherheit den Weg zur Teilhabe Ihrer Einrichtung an diesen einschneidenden Entwicklungen. Als Weltmarktführer im Bereich der medizinischen Bildgebung und Diagnostik setzen wir alles daran, Sie zu unterstützen – sei es, um sich den verschiedensten Herausforderungen zu stellen oder Bedrohungen abzuwehren. Unser Angebot, das neben sicheren Produkten auf dem neuesten Stand der Technik diverse Managementdienste und Beratung zum Thema Cybersicherheit umfasst, bietet Ihnen alles, was Sie für einen optimalen Schutz Ihrer gesamten Einrichtung benötigen. Indem wir fortlaufend unsere Systeme und Prozesse optimieren und unsere Teams in Cybersicherheitsfragen schulen, schaffen wir ein tief verankertes Bewusstsein für Cyber-Bedrohungen.

Cybersicherheit während des gesamten Produktlebenszyklus

Cyber-Sicherheitsbereitschaft ist Teil der Unternehmenskultur von Siemens Healthineers: Angefangen bei der sicheren Entwicklung und Konstruktion über die sichere Implementierung bis hin zum kontinuierlichen sicheren Betrieb unserer Produkte.

Cybersecurity throughout the product lifecycle

Produktsicherheit

Mit medizinischen Geräten und Systemen* von Siemens Healthineers bleiben Sie geschützt. Im Fokus der Entwicklung unserer Produkte steht die Cybersicherheit: Neben einer sicheren Netzwerkintegration unterstützen sie einen sicheren Betrieb rund um die Uhr.

Secure Development Lifecycle

Sicherer Entwicklungslebenszyklus

Durch den „sicheren Entwicklungslebenszyklus“, der den Kern des Cybersicherheitsansatzes von Siemens Healthineers bildet, sind unsere Produkte* optimal den heutigen Betriebsanforderungen gewachsen: 

  • Die Entwicklung von Hard- und Software erfolgt nach festgelegten hochmodernen Prozessen
  • Die Produktentwicklung richtet sich nach den standardisierten Auflagen von Siemens Healthineers und den branchenüblichen bewährten Verfahren.
  • Für das gesamte Siemens Healthineers Produktangebot gelten einheitliche Prozesse und Auflagen.

 *Die Sicherheitsmassnahmen für unsere aktuellen Produkte werden fortlaufend verbessert und erweitert. Aufgrund der sich ständig ändernden Bedrohungen und damit einhergehenden Risiken treffen nicht alle hier angeführten Aussagen auf sämtliche Produkte und Serviceleistungen zu. Nähere Informationen erhalten Sie bei Ihrer zuständigen Siemens Healthineers-Vertretung.

Datenverschlüsselung
Datenverschlüsselung: Sicherung abgelegter Daten und während der Übertragung durch modernste Verschlüsselungsfunktionen

Integrierte Sicherheitskontrollen

Sämtliche in der Entwicklung befindlichen Produkte sowie eine Reihe bestehender Angebote verfügen über integrierte Sicherheitskontrollen, die für moderne IT-Umgebungen unerlässlich sind:

  • Sichere Konfiguration und ergänzende Sicherheitsmassnahmen
  • Identifizierung und Zugangsberechtigung
  • Whitelisting
  • Datenverschlüsselung
  • Zertifikate durch vertrauenswürdige Zertifizierungsstellen
  • Audit-Trails und Protokolle
Transparency

Transparenz

Für einen reibungslosen Betrieb nach der Implementierung stellen wir Ihnen im Voraus alle benötigten Informationen zur Verfügung. Fordern Sie bei Ihrem zuständigen Vertriebsvertreter folgende Dokumente an:

  • Whitepaper, das alle vorhandenen Sicherheitsmerkmale des betroffenen Produktes beschreibt
  • Software-Stückliste (SBOM)
  • Allgemeine Anleitung und Beratung zur Cybersicherheit
  • Empfehlungen für eine sichere Konfiguration der Umgebung
  • Herstellerangaben zur Sicherheit medizinischer Geräte (MDS2)
Deployment

Implementierung

Während der Implementierung überprüfen wir die Installation und konfigurieren Sicherheitskontrollen gemäss den Netzwerk- und Sicherheitsanforderungen Ihrer medizinischen Einrichtung:

  • Einrichten der Benutzerverwaltung für die Zuweisung von Rollen
  • Vergabe individueller Passwörter
  • Aktivierung der Verschlüsselung zum Schutz vor Datendiebstahl
  • Sichere Anbindung an Peer-Systeme, z.B. DICOM-Archiv

Managementdienste zur Gewährleistung der Cybersicherheit

Die Erkennung immer neuer Schwachstellen macht die Überwachung sowie Aktualisierungen und Upgrades Ihrer Geräte und Systeme erforderlich, damit diese sicher bleiben. Wir bieten eine Reihe Serviceeistungen an, die Ihnen ermöglichen, das empfohlene Sicherheitsniveau Ihrer Siemens Healthineers-Geräte und Systeme aufrechtzuerhalten.

Cybersecurity Management Services - Vulnerability monitoring and assessment

Gemäs dem Leitfaden der US-Behörde FDA zur Überwachung nach der Inverkehrbringung und den branchenüblichen bewährten Verfahren führen wir eine kontinuierliche Überwachung durch und prüfen, ob hinsichtlich der Geräte und Lösungen bekannte Schwachstellen und somit Risiken der Ausnutzung bestehen. Zudem haben wir für den Umgang mit und die Offenlegung von gemeldeten Sicherheitslücken im Zusammenhang mit unseren Geräten und Lösungen ein verbindliches Verfahren eingerichtet.

Transparenter Überblick über den Sicherheitsstatus
Für Ihren möglichst unkomplizierten dauerhaften Schutz vor Cyber-Bedrohungen steht Ihnen unser Online-Kundenservice-Portal teamplay Fleet zur Verfügung, das Ihnen einfach und effizient einen Überblick über den Zustand und die Cybersicherheit Ihrer Geräte und Systeme verschafft:

  • Die teamplay Fleet Cyber-Sicherheitsprofile geben Aufschluss über den Sicherheitsstatus Ihrer Geräte und Systeme
  • Eine einzige Schnittstelle für Ihre medizinischen Geräte und medizinischen IT-Lösungen von Siemens Healthineers
  • Ein hohes Mass an Transparenz hinsichtlich der Bekanntgabe neuer Schwachstellen
  • Zugang zu Mitteilungen bzgl. Sicherheit und Abhilfemassnahmen

 

Cybersecurity updates

Cybersicherheits-Updates

Alle drei Monate geben wir für Geräte von Siemens Healthineers* Patches und bei Bedarf auch Hotfixes heraus. Auf diese Weise halten Sie mit der Bedrohungslage Schritt und bleiben geschützt:

  • Vor der Herausgabe wird bei allen Patches sichergestellt, dass sie die Sicherheit der Patienten und einen reibungslosen Betrieb gewährleisten
  • Sofern Ihre Systeme über unsere verschlüsselte VPN-Verbindung an unserer Fernwartungsinfrastruktur Smart Remote Service (SRS) angeschlossen sind, können Sie die automatisch übersendeten Patches mit nur einem Klick installieren.
  • Alternativ können Sie – insbesondere für Geräte* ohne SRS-Zugang – über die Anwendung teamplay Fleet Anytime Software Update beliebig Aktualisierungen programmieren.
State-of-the-art system software

Modernste Systemsoftware

Medizinische Geräte können vor ihrem geplanten Austausch bereits veraltet sein. Mit unseren Serviceverträgen „Advance Plans“ sorgen Sie dafür, dass die Geräte von Siemens Healthineers über ihre gesamte Lebensdauer hinweg zukunftssicher und vor Cyber-Bedrohungen geschützt bleiben. Wählen Sie aus einer Reihe Serviceleistungen, die Ihren regulatorischen und finanziellen Anforderungen Rechnung tragen. Für Produkte, die noch nicht für Advance Plans in Frage kommen, haben wir andere Serviceverträge im Angebot. Weitere Informationen hierzu entnehmen Sie bitte unserer Kundendienst-Webseite.

Kompetentes Vorfall-Management

Mit mehr als 30 Jahren Erfahrung auf dem Gebiet der IT-Sicherheit sind wir bestens auf Cyberangriffe vorbereitet. Wir reagieren prompt auf Integritätsverletzungen der Geräte und Systeme mit dem Ziel, mögliche Schäden auf ein Minimum zu begrenzen:

  • Wir führen eine technische Bewertung durch, geben der Abwehr von Sicherheitsverletzungen Vorrang und garantieren einen effizienten und transparenten Informationsaustausch
  • Anhand von IT-forensischen Analysen senken wir das Risiko künftiger Cyberangriffe auf ein Minimum.
  • Wir bieten Unterstützung bei der Wiederherstellung der Funktionsfähigkeit der betroffenen Geräte und Systeme.

Sie benötigen sofortigen Support? Öffnen Sie ein Service-Ticket in unserem teamplay Fleet-Portal

Schutz personenbezogener Daten

Data privacy

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Zur Umsetzung dieses Anliegens gemäss den geltenden Gesetzen, sei es HIPAA in den USA oder DSGVO in Europa, haben wir unsere Prozesse an dem Prinzip „Data Protection by Design and Default“ ausgerichtet. Mit diesem „konsequenten Datenschutz von Anfang an“ ist gemeint, dass wir den Schutz personenbezogener Daten im Zusammenhang mit unseren Produkten, Lösungen und Serviceleistungen schon in der frühen Konstruktions- und Planungsphase einbeziehen.

Zertifizierte Fernwartung
Unsere Fernwartungsinfrastruktur Smart Remote Services (SRS) ist so konzipiert, dass sie in vollem Umfang die Vertraulichkeit und Integrität Ihrer Patientendaten wahrt und gleichzeitig die Verfügbarkeit Ihrer Daten sicherstellt. Die nach ISO 27001 zertifizierte Fernwartungsinfrastruktur SRS stützt sich auf ausgeklügelte Verfahren zur Identifizierung und Zugangsberechtigung, modernste Verschlüsselungs- und Protokollierungstechniken sowie strikte organisatorische Massnahmen. Dank dieser Schutzmechanismen können Sie Ihre Patientendaten optimal sichern und ggf. den Zugang zu Daten beschränken.

Certified remote service

Cloud-Sicherheit
Unsere Cloud-basierten Lösungen – wie teamplay (eine mit dem Europäischen Datenschutz-Gütesiegel EuroPriSe ausgezeichnete Cloud-Plattform), AI-Rad Companion und Digital Ecosystem – werden durch die Microsoft Cloud-Plattform Azure gesichert, um Sie mit innovativen Lösungen effizient vor Sicherheitsverletzungen und böswilligen Angriffen zu schützen. Ihre gesamten Daten werden verschlüsselt. Davon betroffen sind sowohl Daten auf dem Übermittlungsweg von Ihrer Website als auch Daten, die in unserer Cloud-Infrastruktur gespeichert sind. Mit unseren Lösungen können Sie entsprechend den zugewiesenen Rollen den Internet- und Datenzugang Ihrer Mitarbeiter beliebig einschränken und so die absolute Kontrolle über sensible Daten behalten.

Mitteilungen

In regelmässig veröffentlichten Mitteilungen und Bulletins zur Sicherheit setzen wir Sie umgehend über nachgewiesene Sicherheitslücken im Zusammenhang mit Siemens Healthineers-Produkten in Kenntnis. Bei den von Ihnen zu ergreifenden Abhilfemassnahmen kann es sich u.a. um Aktualisierungen und Upgrades handeln. Um weitere Informationen zu erhalten, besuchen Sie bitte das Siemens Healthineers Online-Kundenservice-Portal teamplay Fleet.

LockBit Ransomware

Daten, die angeblich mit dem Geschäftssegment Varian von Siemens Healthineers in Verbindung stehen, wurden am 15., 17. und 19. August auf der Website der Ransomware-Gruppe LockBit veröffentlicht und waren für eine kurze Zeit verfügbar. Wir haben keinen Beleg dafür, dass Varian-Unternehmenssysteme und -prozesse kompromittiert oder Daten daraus extrahiert wurden. 

Unsere Ermittlungen haben ergeben, dass diese Daten mit einem einzelnen Kundenstandort in Verbindung stehen. Wir haben unsere Untersuchung zu diesem Vorfall offiziell abgeschlossen.

Die Sicherheit und der Schutz der Daten unserer Kunden und ihrer Patienten ist für uns von höchster Bedeutung, weshalb wir kontinuierlich daran arbeiten, unsere Cybersicherheit und unseren Datenschutz weiter zu verbessern.

Bei weiteren Fragen wenden Sie sich bitte an Ihre lokale Serviceorganisation.


25.02.2020: SweynTooth: Schwachstelle in Bluetooth Low Energy Implementierungen (BLE)
Siemens Healthineers ist sich der unter der Bezeichnung SweynTooth bekannten Sicherheitslücke der Bluetooth Low Energy Technologie sehr wohl bewusst. In den von unseren Sicherheitsexperten durchgeführten Untersuchungen wurden keine Produkte ausgemacht, die von dieser Schwachstelle betroffen sind. Wir behalten das Problem im Auge und halten Sie diesbezüglich über unser Online-Kundenservice-Portal teamplay Fleet auf dem Laufenden.

1

Data Security in Healthcare Needs Intensive Care“, Security Scorecard, ab 1. Oktober 2019 zugänglich unter

https://securityscorecard.com/resources/data-security-in-healthcare-needs-intensive-care.

2

Chandu Gopalakrishnan, „Healthcare leads in cost of data breaches“, SC Media UK, veröffentlicht am 23. September 2019, ab 1. Oktober 2019 zugänglich unter

https://www.scmagazineuk.com/healthcare-leads-cost-data-breaches/article/1660364.

3

July 2019 Healthcare Data Breach Report“, HIPAA Journal, veröffentlicht am 26. August 2019, ab 1. Oktober 2019 zugänglich unter

https://www.hipaajournal.com/july-2019-healthcare-data-breach-report

*Die Sicherheitsmassnahmen für unsere aktuellen Produkte werden fortlaufend verbessert und erweitert. Aufgrund der sich ständig ändernden Bedrohungen und damit einhergehenden Risiken treffen nicht alle hier angeführten Aussagen auf sämtliche Produkte und Serviceleistungen zu. Nähere Informationen erhalten Sie bei Ihrer zuständigen Siemens Healthineers-Vertretung.