J.GehlenDept. of Medical Informatics 1 Department of Medical Informatics, Uniklinik RWTH Aachen, Germany Sichere Mobile Datenerfassung.

Präsentation zum Thema: "J.GehlenDept. of Medical Informatics 1 Department of Medical Informatics, Uniklinik RWTH Aachen, Germany Sichere Mobile Datenerfassung."—  Präsentation transkript:

1 J.GehlenDept. of Medical Informatics 1 JGehlen@mi.rwth-aachen.de Department of Medical Informatics, Uniklinik RWTH Aachen, Germany Sichere Mobile Datenerfassung mit OpenClinica

2 J.GehlenDept. of Medical Informatics 2 Übersicht Ziel Systembeschreibung  OpenClinica  OC-Big  OC To-go Sicherheitsüberprüfung  OWASP Top 10 Ergebnisse Fazit

3 J.GehlenDept. of Medical Informatics 3 Ziel Mobile Datenerfassung  Zeitnah  Elektronische Daten Sicherheitsaspekte  Überprüfung  Konzeptentwicklung  Verbesserungsvorschläge Einbinden im aktuellen System  Sicherer Upload  Datenschutz

4 J.GehlenDept. of Medical Informatics 4 Systembeschreibung OpenClinica  Tomcat  Java OC-Big  Apache  PHP  jQuery OC To-go  Mobile App  Android

5 J.GehlenDept. of Medical Informatics 5 OpenClinica Electronic Data Capture für Klinische Studien  Open Community  Microsoft Excel  Patientendaten  Pseudonimisiert  Metadaten für Logging  Query Management CDISD ODM 1.3 Webservices  SOAP  REST

6 J.GehlenDept. of Medical Informatics 6 OpenClinica

7 J.GehlenDept. of Medical Informatics 7 OC-Big jQuery File Upload Tool  multiple file selection  drag&drop support  progress bars  Validation  preview images, audio and video Eigene Erweiterungen  Dateneintrag in OpenClinica  Session  Zipping  Chunks

8 J.GehlenDept. of Medical Informatics 8 OC-Big

9 J.GehlenDept. of Medical Informatics 9 OC To-go Mobile Datenerfassung Prototyp  Android  Frage auswählen  Bild erfassen  Daten übermitteln Webservices  Metadaten zur Studie  CDISC ODM 1.3  Dateneintrag in OpenClinica

10 J.GehlenDept. of Medical Informatics 10 OC To-go

11 J.GehlenDept. of Medical Informatics 11 OWASP Top 10 November 2013 Injection Fehlerhafte Authentifizierung und Session Management Cross-Site Scripting Unsichere Referenzen auf sensible interne Daten Sicherheitseinstellungen Zugang zu sensible interne Daten Missing Function Level Access Control Cross-Site Request Forgery Verwendung von Software mit bekannten Schwachstellen Ungeprüfte Redirects und Forwards https://www.owasp.org/index.php/Main_Page

12 J.GehlenDept. of Medical Informatics 12 Injections Eingabe von Code Alle Eingabemasken  Überprüfen/Einschränken  Auskommentieren  Nach Weitergabe  Ausgabe

13 J.GehlenDept. of Medical Informatics 13 Clientseitiges Cross Site Scripting URL erweitern/anpassen  Zugriffsrechte  Verschleiern

14 J.GehlenDept. of Medical Informatics 14 Persistentes Cross Site Scripting

15 J.GehlenDept. of Medical Informatics 15 Software mit bekannten Schwachstellen Apache logs  Updates  Nur notwendige Software

16 J.GehlenDept. of Medical Informatics 16 Ergebnisse Sicherheitslücken  Cross-Site Scripting  Sicherheitseinstellungen  Unsichere Referenzen Mobile App  kein Session Management  Sicherheitseinstellungen  Zugang zu sensible interne Daten  Cross-Site Request Forgery

17 J.GehlenDept. of Medical Informatics 17 Ergebnisse Nur lokaler Zugriff

18 J.GehlenDept. of Medical Informatics 18 Ergebnisse SFTP Upload  Ähnlich OC-Big  Ohne Download Mobil  Verschlüsselung  SOAP Webservices  Browser  Firewall  Daten nach Verwendung löschen  Benutzerauthentifizierung

19 J.GehlenDept. of Medical Informatics 19 Fazit Regelmäßige Überprüfung  Aktuelle Risiken  Regressionstest  Manuell Mobile Sicherheit  Anfang  Wenig Dokumentation  Erfahrung Ein sichereres System!

20 J.GehlenDept. of Medical Informatics 20 Ende Danke, Fragen?