Offen zugängliche Patientinnendaten trotz ISO 27001-Zertifizierung bei Praxis-Terminplaner: Fast eine Million Patientinnen von Sicherheitslücke bei #Dubidoc betroffen
@kantorkel
Korrektur: Nicht #Dubidoc war ISO-zertifiziert, sondern nur das Rechenzentrum. Also i.d.R. der Rohbau, Strom, Netzwerkverkabelung, Zutrittskontrollen.
Die Software oder deren Administration ist NICHT geprüft oder gar zertifiziert -auch nach Dubidoc-eigener Aussage (da ist immer nur von ISO-zertifiziertem Hosting die Rede).
Das ist etwa so, als würde ich meine Software anpreisen mit "läuft in Europa auf Hardware mit CE-Siegel!"
@vampirdaddy@kantorkel Soweit richtig.
Aber generell: ‚Trotz ISO27001' - hat da irgendwer eigentlich mal rein geschaut? Die beschreibt nur ein ISMS, also ein System zum Managen der Informationssicherheit. Nur weil ein solches System in place ist, ist doch nicht alles sicher 🙄
Es heißt doch nur, dass Prozesse und Wissen etabliert sind, wie man mit InfoSec umgehen sollte
@galadhremmen@kantorkel
Jein. Bei einer ISO27001-Zertifizierung wird nach Definition der Umgebung(ToE = Terms of Evaluations) nicht nur der Prozess überprüft, sondern auch die gewählten organisatorischen und(!) technischenUmsetzungen, ob die auch zu den sich aus dem Prozess ergebenden Sicherheitsanforderungen passen. Dafür gibt's beispielsweise Anhang A mit Prüfpunkten.
Natürlich hängt da viel von den Prüfern ab (Powerpoint-Schubser vs. ehem. Admnins) - insbesondere aber von den ToE.
@vampirdaddy@kantorkel Ich betreibe seit 12 Jahren ISMS in verschiedenen Rollen mit Reifegrad 2-4. Was Du sagst stimmt bedingt in der Theorie. In der Praxis heißt es aber nur, dass das Unternehmen generell weiß was es tut. Es heißt nicht, dass keine Fehler mehr passieren
@galadhremmen@kantorkel
Ich mache seit ähnlich lange Prüfungen nach BSI-Grundschutz und ISO27001 als technischer Experte.
Die meisten RZs sind "sauber" zertifiziert - was aber angesichts der ToE auch vergleichsweise simpel ist: Kabel sind vor physischen Zugriff geschützt, ebenso Zutritt - im Prinzip also: "Wir haben ein Gebäude mit abgeschlossenen Türen."
Alles darüber hinaus wird schnell aufwändig - weshalb die Zertifizierung von RZs meist auch nicht mehr umfasst.
Add comment