Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Medizinische Statistik und Informationsverarbeitung

Veröffentlicht von:Johanna Beutel Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Medizinische Statistik und Informationsverarbeitung"—  Präsentation transkript:

1 Medizinische Statistik und Informationsverarbeitung
Quade Institut für Medizinische Biometrie, Informatik und Epidemiologie Quade

2 Formalia Keine Pflichtvorlesung.
Klausur am :00 Uhr Hörsaal 10 Hauptgebäude. Trägt 1/3 zur Note bei. bonn.de/imbie/medizinische_informatik_2016.html

3 Formalia Wahlfach Mi Themen und Zeit nach Vereinbarung

4 Themen Datensicherheit und Datenschutz (juristisch und technisch).
Grundbegriffe der Informatik. Rechner und Netzwerke. Klinische Studien. Qualitätsverbesserung. KrankenhausInformationssysteme

5 Ziel: Datensicherheit und Datenschutz
Sie sollen später in der Lage sein, die Verantwortung für den gesetzeskonformen und sicheren Betrieb von vernetzten Informationssystemen in Krankenhaus und Praxis zu übernehmen.

6 Warum Datenschutz? Vereinbarung für den Schutz der Menschenrechte und des Grundrechtes auf Freiheit. Regierungen regulieren, wie personenbezogene Daten (einschließlich medizinischer Daten) gesammelt, verarbeitet und gespeichert werden (Grundgesetz, Datenschutzgesetze). Ein Arzt ist persönlich für seine Arbeit verantwortlich. Zusätzlich ist er auch für die Arbeit der von ihm Beschäftigten verantwortlich. Er hat sicher zu stellen, dass Daten entsprechend den aktuellen Datenschutzverordnungen behandelt werden. Kolloquium Medizinische Informatik

7 Vorschriften Vorschriften betreffen die automatische und die manuelle Verarbeitung aller personenbezogenen Daten einer bekannten oder identifizierbaren natürlichen Person. Für die manuelle Datenverarbeitung gelten die Vorschriften nur dann, wenn die Daten nach besonderen personenbezogenen Kriterien strukturiert sind. Anonymisierte Daten sind ausgenommen. Verantwortlich ist die Person, die den Zweck der Datenverarbeitung begründet (z.B. Arzt, Pflegekraft). Kolloquium Medizinische Informatik

8 Verantwortung Datensicherheit: Der Arzt ist dafür verantwortlich, dass Daten nicht verloren gehen oder irrtümlich verändert werden. Datenschutz: Der Arzt ist dafür verantwortlich, dass nur dazu autorisierte Personen Zugang zu den Daten und Systemen haben. Vertraulichkeit: Nur bestimmte Personen dürfen Kenntnis bekommen. Kolloquium Medizinische Informatik

9 Begriffe Authentifizierung: Der Empfänger einer Nachricht kann den Sender eindeutig identifizieren. Integrität: Der Empfänger kann überprüfen, ob eine Nachricht auf dem Transportweg verändert wurde. Verbindlichkeit: Der Sender einer Nachricht kann die Urheberschaft nicht leugnen. Kolloquium Medizinische Informatik

10 Bestimmungen Zum Verantwortungsbereich gehört es dafür zu sorgen, dass alle Daten angemessen und gesetzesgemäß verarbeitet werden. Die gesammelten Daten müssen dem Zweck angemessen, dafür wichtig und dürfen nicht zu umfangreich sein. Sie müssen richtig und aktuell sein. Sie müssen mit angemessenem Schutz gespeichert werden. Angemessen bedeutet “state of the art”. Sicherheitsstandards für sensitive Daten, wie medizinische Daten sind sehr hoch! Der Betroffene (Patient) hat das Recht sein Einverständnis zur Datenverarbeitung zu geben oder zu verweigern. Kolloquium Medizinische Informatik

11 Bestimmungen Das Recht zur Datenverarbeitung ohne Zustimmung der Betroffenen besteht dann, wenn die Datenverarbeitung in Zusammenhang mit einem Geschäftsvertrag stattfindet, oder wenn eine andere gesetzliche Grundlage vorhanden ist. Der Betroffene (Patient) hat das Recht, Auskunft über die ihn betreffenden Daten zu erhalten und über den Grund der Datenhaltung. Zusätzlich gibt es das Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (Kodifizierung des Behandlungsvertrages im BGB). Hier §630g Kolloquium Medizinische Informatik

12 Fragen Aufgaben des Datenschutzbeauftragten. Verfahrensverzeichnis
Wer kann Datenschutzbeauftragter sein? Brauche ich einen Datenschutzbeauftragten? Kolloquium Medizinische Informatik

13 Fragen Welche Gesetze regeln im medizinischen Bereich Datenverarbeitung und Kommunikation? Welche Datenschutzgesetze kennen Sie? Kolloquium Medizinische Informatik

14 Datenschutzgesetze Bundesdatenschutzgesetz Landesdatenschutzgesetze
Datenschutzgesetze der Religions-gemeinschafften Gesundheitsdatenschutzgesetz (z.B. NRW) Kolloquium Medizinische Informatik

15 Datenschutzgesetz § 9 Technische und organisatorische Maßnahmen (Anlage) Zutrittskontrolle (auch Raum), Systemzugang (Server), Berechtigungskonzept (Nutzer), Backup-Konzept, Notfall-Konzept, Löschkonzept Kolloquium Medizinische Informatik

16 Datenschutzgesetz Datenverarbeitung im Auftrag ist externe Datenverarbeitung unter Weisung und Aufsicht des Auftraggebers. Übermittlung und Verarbeitung personenbezogener Daten nur in der EU oder in Staaten mit angemessenem Datenschutz erlaubt. (Save Harbor gilt nicht mehr! Cave Cloud) Kolloquium Medizinische Informatik

17 Gesundheitsdatenschutzgesetz
§ 7 Datenverarbeitung im Auftrag (1) Patientendaten sind grundsätzlich in der Einrichtung oder öffentlichen Stelle zu verarbeiten; eine Verarbeitung im Auftrag ist nur nach Maßgabe der Absätze 2 bis 4 zulässig. (2) Die Verarbeitung von Patientendaten im Auftrag ist nur zulässig, wenn sonst Störungen im Betriebsablauf nicht vermieden oder Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger vorgenommen werden können. Kolloquium Medizinische Informatik

18 Szenarien Liste mit Namen der Studierenden vor dem Hörsaal
Informationelle Selbstbestimmung des Patienten Patient lehnt Aufnahme in die KH-EDV ab Patient lehnt Weitergabe der Daten nach §301 SGB v ab Outsourcing zur Arztbriefschreibung Outsourcing medizinischer Untersuchungen (Labor) Kolloquium Medizinische Informatik

19 Sonderfall: medizinische Daten
Daten im Gewahrsam eines Arztes genießen besonderen Schutz. § 203 Verletzung von Privatgeheimnissen § 34 Rechtfertigender Notstand § 139 Ausnahmen von der Offenbarungspflicht § 53 Zeugnisverweigerungsrecht § Beschlagnahmefreie Gegenstände Zusammenfassung im Deutschen Ärzteblatt Kolloquium Medizinische Informatik

20 Wie restriktiv die Rechtsprechung z. B
Wie restriktiv die Rechtsprechung z. B. im Bezug auf medizinische Daten ist, zeigt das Urteil des Oberlandesgerichts Düsseldorf vom (20 O 139/95, CR 9/97, S. 536). Die Kernaussagen dieses Urteils lauten: Diejenigen Ärzte und/oder Krankenhausverwaltungen, die Patientendaten (also Krankenblätter, Arztbriefe, Röntgenaufnahmen, andere technische Aufzeichnungen usw.) zur Verfilmung, sonstigen Bearbeitung und Archivierung an Dienstleister aushändigen, "offenbaren" damit im Sinne des § 203 StGB Geheimnisse des betreffenden Patienten. Die rechtlich eigenständigen und selbstverantwortlich handelnden Dienstleistungsunternehmen, bei denen überdies Patientenunterlagen nicht mehr nach § 97 Abs. 2 StPO privilegiert - nämlich nicht beschlagnahmefrei - sind, können nicht den berufsmäßig tätigen Gehilfen von Ärzten im Sinne des § 203 Abs. 3 StGB zugerechnet werden. Von einer - mutmaßlichen oder sogar konkludenten - rechtfertigenden Einwilligung der Geheimnisgeschützten, also der betroffenden Patienten, kann nicht ausgegangen werden. Patienten erwarten nicht, daß ihre oft hochsensiblen Daten "umherkutschiert" und von - aus der Sicht der Patienten - beliebigen Dritten eingelesen, verfilmt, kopiert usw. werden.

21 Ähnliches Urteil des Oberlandesgerichts Hamm vom 17. 11
Ähnliches Urteil des Oberlandesgerichts Hamm vom (19 U 81/06). Kernaussage: Jegliche der beabsichtigten Abtretungen der Forderungen an die Klägerin ist jedoch gemäß § 134 BGB wegen Verstoßes gegen § 203 Abs. 1 Nr. 1 StGB – Verletzung von Privatgeheimnissen – nichtig. Die Abtretung von Honoraransprüchen gegen privat Versicherte, die auf einer der Schweigepflicht unterliegenden Tätigkeit beruhen, ist nichtig (s.d. BGH NJW 2005, 1505; Palandt/Heinrichs § 134 Rn 22a). Das gilt auch für die Abtretung an ein Factoring-Unternehmen, das sich auf die Einziehung ärztlicher Honorarforderungen spezialisiert hat (s.d. OLG Köln NJW 1991, 753).

22 BGH NJW 2005, 1505 Kernaussage: Ein Arzt in Insolvenz muss dem Insolvenzverwalter Name und Anschrift der im Insolvenzzeitraum behandelten Patienten mitteilen, damit dieser Forderungseingänge kontrollieren und feststellen kann, ob der Schuldner seiner Mitwirkungspflicht genügt hat.

23 OLG Köln: 27 U 98/91 Kernaussage: Ein Factoring-Vertrag, durch den ein Zahnarzt Ansprüche gegen seine Patienten ohne deren Einwilligung an ein Inkassounternehmen verkauft, das als gewerbliches Unternehmen in der Rechtsform der GmbH betrieben wird, ist sittenwidrig und nichtig, weil durch diesen Vertrag die ärztliche Schweigepflicht verletzt wird. (Vgl. OLG Köln VersR 1991, ...; NJW 1991, 753; BGH VersR 1991, ....; NJW 1991, 2955). Ein nachträglich eingeholtes Einverständnis macht die Straftat nicht ungeschehen!

24 Weitere Aspekte

25 Was ist erlaubt? Darf ich Krankenakten mit nach Hause nehmen?
Darf ich Röntgenbilder per Kurier verschicken? Wann ist Fremdwartung erlaubt? Darf ich an der Pforte Fremdpersonal beschäftigen? Darf ich als Krankenhaus ein fremdes Unternehmen mit Putzen beschäftigen? Darf ich meinen Steuerberater mit der Abrechnung beauftragen? Darf ein Mitarbeiter des Finanzamtes im Rahmen der Steuerprüfung Patientenunterlagen einsehen?

26 Wie wird das geregelt? MPU schickt Probe in das Labor. Betroffener untersagt per Rechtsanwalt die Meldung der Ergebnisse an MPU. Helferin schickt ein Untersuchungsergebnis statt an die Patientin an das Amt. Es entsteht der Patientin kein Schaden. Zivilklage möglich? Staatsanwalt beschlagnahmt in einer Klinik Videoaufnahmen, die zur Überwachung von Patienten aufgenommen wurden. Darf der Arzt das akzeptieren?

27 Was ist erlaubt? BKA wünscht Videoüberwachung in der Drogenambulanz
Kommunikation über sichere Leitungen? Datenverarbeitung im Intranet? Darf ich Patientendaten per Fax verschicken? Darf ich am Telefon Auskunft über Patienten geben?

28 Was Sie wissen sollten Auch dedizierte Leitungen (Telefon) sind nicht sicher. Ein Intranet nutzt Internet-Technologie, ist aber vom Internet getrennt (Firewall). 80% der Angriffe erfolgen von Innen.

29 Wie schütze ich etwas? Sicherheit durch Verstecken Sicherheit durch berechenbaren Sperrmechanismus

30 Steganographie Steganographie kommt aus dem Griechischen und bedeutet so viel wie "geheimes Schreiben“. Seit tausenden von Jahren werden geheime Nachrichten versteckt übermittelt, insbesondere im militärischen Bereich. Schon der griechische Geschichtsschreiber Herodot ( v. Chr.), berichtet von einem Adligen, der seine Geheimbotschaft auf den geschorenen Kopf eines Sklaven tätowieren ließ. Nachdem das Haar nachgewachsen war, machte sich der Sklave unbehelligt zu seinem Ziel auf, wo er zum Lesen der Nachricht wiederum kahlrasiert wurde. Kolloquium Medizinische Informatik

31 Beispiel Steganographie
In einem anderen Bericht von Herodot geht es um Wachstafeln, auf die man damals schrieb. Als eine sensible Nachricht überbracht werden sollte, entfernte der Absender das Wachs, gravierte den Text in das Holz darunter und füllte das Wachs wieder auf. Den kontrollierenden Wachen erschienen die Tafeln leer. Plinius der Ältere (23-79 n. Chr.) berichtet über den Gebrauch unsichtbarer Tinte. Kolloquium Medizinische Informatik

32 Beispiel Worthie Sir John:-Hope, that is ye beste comfort of ye afflicted, cannot much, I fear me, help you now. That I would saye to you, is this only: if ever I may be able to requite that I do owe you, stand not upon asking me. 'Tis not much that I can do: but what I can do, bee ye verie sure I wille. I knowe that, if dethe comes, if ordinary men fear it, it frights not you, accounting it for a high honour, to have such a rewarde of your loyalty. Kolloquium Medizinische Informatik

33 Beispiel Pray yet that you may be spared this soe bitter, cup. I fear not that you will grudge any sufferings; only if bie submission you can turn them away, 'tis the part of a wise man. Tell me, an if you can, to do for you anythinge that you woulde have done. The general goes back on Wednesday. Restinge your servant to command.-R.T. Kolloquium Medizinische Informatik

34 Beispiel Hier erkennt man die Anwendung der Regel "das dritte Zeichen nach Interpunktionszeichen". Setzt man die markierten Buchstaben zusammen, erhält man dann die Botschaft "Panel at east end of chapel slides". Kolloquium Medizinische Informatik

35 Steganographie Steganographie ist bei richtiger Anwendung nicht nachweisbar. Wasserzeichen ist eine „unsichtbare“ Digitale Unterschrift. Kolloquium Medizinische Informatik

36 Kryptographie Transpositionsalgorithmus
Skytale von Sparta Die Buchstaben bleiben gleich, nur der Ort wechselt. Kolloquium Medizinische Informatik

37 Skytale S I E I Y H I T I E P I C I N L T E H S Z D O ! E T I E G R D G R R H A E K A E S Z R P S I C H E R H E I T I S T D A S E I N Z I G E Z I E L D E R K R Y P T O G R A P H I E ! S Y I C T Z E G R E S I H E I E D T R R K Z E I P N H O I D H A R I T I L S ! E G A E P Kolloquium Medizinische Informatik

38 Substitutionsalgorithmus (Verschiebechiffren)
Julius Caesar (100 bis 44 vor Christus) verwendete eine einfache Chiffrierung. Er versetzte einen Geheimtextbuchstaben um 3 Stellen nach links oder um 23 Stellen nach rechts. Eine einzige Randbedingung, daß nicht zwei verschiedene Zeichen durch ein gleiches ersetzt werden dürfen, sollte dabei beachtet werden. Sonst wird die Dechiffrierung des Chiffretextes nicht mehr eindeutig. Klartext: abcdefghijklmnopqrstuvwxyz Geheimtext: DEFGHIJKLMNOPQRSTUVWXYZABC Kolloquium Medizinische Informatik

39 Vigenère-Chiffrierung
Die Vignère-Verschlüsselung ist die bekannteste unter allen polyalphabetischen Algorithmen. Sie wurde im Jahr 1586 von dem französischen Diplomaten Blaise de Vignère (1523 bis 1596) der Öffentlichkeit zugänglich gemacht. Der Hauptgedanke dieser Methode ist, verschiedene monoalphabetische Chiffrierungen im Wechsel zu benutzen. Zur Chiffrierung der Nachrichten nach dem Algorithmus von Vigenère braucht man unbedingt einen Schlüsselwort und das Vigenère-Quadrat. Ohne Schlüsselwort kann man nicht sagen, welchen gleichen Geheimtextzeichen den gleichen Klartextzeichen entsprechen. Dabei kann das Schlüsselwort jede beliebige Buchstabenfolge sein. Kolloquium Medizinische Informatik

40 Vigenère-Chiffrierung
Schlüsselwort: H A L L O H A L L O H A L Klartext: k r y p t o g r a p h i e Geheimtext: R R J A H V G C L D O I P a b c d e f g h i j k l m n o p q r s t u A B C D E F G H I J K L M N O P Q R S T U B C D E F G H I J K L M N O P Q R S T U V C D E F G H I J K L M N O P Q R S T U V W D E F G H I J K L M N O P Q R S T U V W X E F G H I J K L M N O P Q R S T U V W X Y F G H I J K L M N O P Q R S T U V W X Y Z G H I J K L M N O P Q R S T U V W X Y Z A H I J K L M N O P Q R S T U V W X Y Z A B Kolloquium Medizinische Informatik

41 Chiffrierzylinder und Rotormaschinen
Der Chiffrierzylinder hat mehrere Scheiben, auf deren Außenfläche permutierte Alphabete eingraviert sind. Beispiel: M-94 der US Army (seit 1920). Bei der Rotormaschine (seit 1920) sind auf isolierenden Walzen (Rotor) 26 Schleifkontakte angebracht, die den Buchstaben des Alphabets entsprechen. Es findet eine polyalphabetische Substitution statt. Bekanntestes Beispiel ist die Enigma, die im zweiten Weltkrieg von Engländern und Polen geknackt wurde. Kolloquium Medizinische Informatik

42 Heute Während in der Vergangenheit buchstabenbasierte Verschlüsselungssysteme dominierten, arbeiten moderne Kryptographieverfahren auf der Basis von Bits. Dabei kann die zu verschlüsselnde Nachricht aus einem Text, einem Ton- oder aber auch aus einem Bildsignal bestehen. Kolloquium Medizinische Informatik

43 Wichtig! Das Prinzip von Kerckhoffs ( ): Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen, sondern nur von der Geheimhaltung des Schlüssels. Kolloquium Medizinische Informatik

44 Definitionen Kryptographie ist die Wissenschaft von der Geheimhaltung von Nachrichten (message). Plaintext oder cleartext nennt man die ursprüngliche Nachricht. Encryption ist das Verschlüsseln einer Nachricht. Die verschlüsselte Nachricht nennt man Ciphertext. Entschlüsseln ist das Wiederherstellen der ursprünglichen Nachricht. Für Ver- und Entschlüsselung wird ein Schlüssel (key) benutzt. Kolloquium Medizinische Informatik

45 Symmetrische Verschlüsselung
Der Schlüssel wird von einem Zufallszahlengenerator erzeugt. Zur Entschlüsselung einer Nachricht ohne den richtigen Schlüssel zu haben muß eine “brute force attack” durchgeführt werden. Dies bedeutet, alle möglichen Schlüssel durchzutesten. Der Schlüssel muß dem Empfänger einer Nachricht auf einem sicheren Weg zugestellt werden. Symmetrische Verschlüsselungsverfahren sind RC4-X, RC5, DES und IDEA. Kolloquium Medizinische Informatik

46 Sichere Verbindungen nutzen Symmetrische Verschlüsselung
Kolloquium Medizinische Informatik

47 Sichere Verbindungen nutzen Symmetrische Verschlüsselung
PPTP (Point to Point Tunneling Program) L2TP (Layer 2 Tunneling Protocol) arbeitet ohne eigene Verschlüsselung. Nutzt z.B. PPTP oder IPsec. IPsec (Internet Protocol Security) OpenVPN (offenes Virtuelles Privates Netz) SSH (Secure Shell) erlaubt Aufbau von verschlüsselten Verbindungen (Tunnel Port zu Port) Kolloquium Medizinische Informatik

48 Sichere Verbindungen nutzen Symmetrische Verschlüsselung
PPTP (Point to Point Tunneling Program) nutzt z.B. single DES zur Authentifizierung Unter anderem in Österreich, Italien, Belgien, und den Niederlanden wird das PPTP-Protokoll oberhalb von PPP over ATM für DSL-Verbindungen genutzt. In Deutschland und der Schweiz wird hingegen meist PPP over Ethernet genutzt. Kolloquium Medizinische Informatik

49 Symmetrische Verschlüsselung
Der CloudCracker kann für 200 US-Dollar jeden PPTP (einfach DES) Zugang knacken. Kolloquium Medizinische Informatik

50 NSA-Manipulationen Manipulation von Software zur Erzeugung zufälliger Schlüssel sicherheitsfirma-rsa-warnt-vor-bsafe-a html generalschluessel-fuers-internet-a html

51 NSA-Manipulationen Manipulation von Hardware zur Erzeugung zufälliger Schlüssel s

52 2 Algorithmen Symmetrische (secret-key) Verschlüsselung benutzt einen Schlüssel. Asymmetrische (public- secret-key) Verschlüsselung benutzt zwei Schlüssel. Die Stärke der Verschlüsselung hängt vom verwendeten Verschlüsselungsverfahren und der Länge des Schlüssels ab. Ein asymmetrischer Schlüssel muss etwa 10 mal so lang wie ein vergleichbar starker symmetrischer Schlüssel sein. Kolloquium Medizinische Informatik

53 Asymmetrische Verschlüsselung
Ein Schlüsselpaar, ein geheimer (private) und ein öffentlicher (public) Schlüssel werden erzeugt. Zur Entschlüsselung einer Nachricht ohne den richtigen Schlüssel zu haben muß eine “brute force attack” durchgeführt werden. Dies bedeutet, alle möglichen Schlüssel durchzutesten. Der öffentliche Schlüssel muss veröffentlicht werden, damit der Sender einer Nachricht diese damit verschlüsseln kann. RSA ist das wohl bekannteste asymmetrische Verschlüsselungsverfahren. Kolloquium Medizinische Informatik

54 Was ist Standard? Ein symmetrischer Schlüssel wird erzeugt und zum Verschlüsseln der Nachricht verwendet. Dann wird der symmetrische Schlüssel mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Nachricht beigefügt. Der Empfänger kann mit seinem privatem Schlüssel den symmetrischen Schlüssel wiederherstellen, der der Nachricht beigefügt ist. Mit dem symmetrischen Schlüssel kann er dann die Nachricht entschlüsseln. Im Falle einer VPN-Verbindung wird der symmetrische Schlüssel nach dem Diffie-Hellman Verfahren berechnet und nach Benutzung vergessen. Kolloquium Medizinische Informatik

55 Wie kann ich sicher sein, wer der Besitzer eines Schlüssels ist?
Ein Schlüssel kann von einer Person meines Vertrauens gegengezeichnet sein (net of trustees (PGP)) oder er kann von einer Zertifizierungsstelle unterzeichnet sein. Dann kann der Schlüssel jederzeit gegen das Zertifikat getestet werden. Dieses hierarchische Modell wird meistens von Organisationen einschließlich Regierungen bevorzugt. Es ist in den wichtigsten Browsern wie dem Ms-explorer und dem Netscape-messenger implementiert. Kolloquium Medizinische Informatik

56 Hash Ein Hash ist eine Prüfsumme z.B. eines Textes. Bei kryptographischen Verfahren wird aus Sicherheitsgründen immer eine Einwegsfunktion (z.B. Message Digest) verwendet. Man kann daher von dem Hashwert nicht auf den Text schließen und mit einfachen Methoden einen anderen Text mit gleichem Hash-wert erstellen. Unmöglich ist das aber nicht. Kolloquium Medizinische Informatik

57 Digitale Unterschrift
Die digitale Unterschrift stellt sicher, daß eine Nachricht tatsächlich vom angegebenen Sender kommt. Die digitale Unterschrift kann auch benutzt werden, um zu bestätigen, daß ein bestimmter Schlüssel einer bestimmten Person gehört. Normalerweise wird ein Fingerabdruck der Nachricht berechnet, wobei sogenannte Quersummen (Hash) benutzt werden. Der Fingerabdruck wird dann mit dem geheimen Schlüssel des Unterschreibenden signiert. Mit dem öffentlichen Schlüssel des Senders kann der Fingerabdruck entschlüsselt und mit der Nachricht verglichen werden. Bei Übereinstimmung ist die Nachricht authentisch. Kolloquium Medizinische Informatik

58 Stärke der Schlüssel Der notwendige Rechenaufwand steigt exponentiell mit der Länge des verwendeten Schlüssels. 32 bit 4*10^9 Schritte Sekunden 40 bit 1*10^12 Schritte Tage 56 bit 7*10^16 Schritte Jahr/Sek. 64 bit 1*10^19 Schritte Jahre 128 bit 3*10^38 Schritte 3*10^16 Jahre Alle Angaben gelten nur für symmetrische Schlüssel! RSA 2048 bit ist sicher für einige Jahrzehnte. Kolloquium Medizinische Informatik

59 S/MIME Datei Kolloquium Medizinische Informatik

60 Trust-Center Erzeugung eines “CA authority certificate”, um ein Trust-Center aufzubauen (z.B. mit SSLeay). Ausgabe von Rechnerzertifikaten für WWW-Server. Ausgabe von persönlichen Zertifikaten für Personen.

61 VPN

62 WLAN für Ärzte? WEP: (Wired Equivalent Privacy) 2001 geknackt
WPA: (Wi-Fi Protected Access) 2004 geknackt WPA2: hängt vom verwendeten Passwort ab WPS: (Wi-Fi Protected Setup) einige tausend Versuche beim „External Registrar“ Feature

63 Router in der Praxis Die Firma Arcadyan hat sich ein Verfahren patentieren lassen, auf der Grundlage der MAC-Adresse des Routers ein individuelles WPA2-Passwort zu generieren. Dies ist häufig auf dem Gehäuse aufgedruckt. Dies Verfahren ist unsicher und lässt die Berechnung des Passwortes zu. Betroffen: Telekom, Vodafone, O2 (CT 2014 Heft 9) Android App: SpeedKey

64 Router in der Praxis Die Fritzbox von AVM gibt bei Aufruf manipulierter WWW-Seiten durch einen Rechner im Intranet Informationen zur Konfiguration an den Anbieter der WWW-Seite. Diese beinhalten neben der Zugangsdaten des Providers auch das Passwort der Fritzbox. Aufgefallen ist dies durch sehr hohe Telefonkosten mit kostenpflichtigen Nummern, die von geknackten DSL-Routern verursacht wurden. Nach Update ist dieser Fehler behoben.

65 Heartbleed Fehler in der openSSL library, Versionen 1.0.1 bis 1.0.1.f
Angreifer kann bei TLS Verbindung 64K Speicherinhalt beim Zielgerät auslesen. Die Wahrscheinlichkeit, dass dabei Schlüssel und Passwörter gefunden werden ist groß! Betroffen: alle Systeme die eine openSSL Version mit Heartbeat Erweiterung benutzen. Z.B. Linux, Cisco.

66 VPN für Studierende WLAN: ungesichertes Netz „bonnet-ukb“ wählen
Dann entsprechend der verwendeten Endgeräte z.B.

67 Wie schütze ich etwas? Sicherheit durch Verstecken Sicherheit durch berechenbaren Sperrmechanismus Security by obscurity

Herunterladen ppt "Medizinische Statistik und Informationsverarbeitung"

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
E-Mail.

.
Mündliche Fachprüfung

Mündliche Fachprüfung
Sicherheit in Netzwerken

Sicherheit in Netzwerken
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Asymmetrische Kryptographie

Asymmetrische Kryptographie
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.

SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Passwörter.

Passwörter.
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Grundlagen der Kryptologie

Grundlagen der Kryptologie
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme
Kryptologie Kryptoanalyse © Morten Vogt.

Kryptologie Kryptoanalyse © Morten Vogt.
Datenschutz Gustav Quade

Datenschutz Gustav Quade
Hashverfahren und digitale Signaturen

Hashverfahren und digitale Signaturen
Public-Key-Infrastruktur

Public-Key-Infrastruktur
Virtual Private Networks

Virtual Private Networks
Elektronische Signatur

Elektronische Signatur
ECDL M8 IT - Security.

ECDL M8 IT - Security.
Bewertung von Cloud-Anbietern aus Sicht eines Start-ups

Bewertung von Cloud-Anbietern aus Sicht eines Start-ups

Ähnliche Präsentationen

Google-Anzeigen