Bei Confidential Computing handelt es sich um eine Technologie, die Daten in sogenannten „Trusted Execution Environments“ (TEEs) schützt und eine isolierte Verarbeitung der Daten auf nicht vertrauenswürdigen Computersystemen ermöglicht.

Wenn für die sichere Datenverwaltung die in der Regel aufwendig herzustellende Infrastruktur fehlt, kann eine Alternative dazu die Speicherung der Daten in der Cloud sein. Aber auch hier müssen u.a. Security-Aspekte beachtet werden, damit Cloud-Betreiber nicht mitlesen und gar ein Dritter auf die besonders schützenswerten Daten zugreifen kann.

_fbeta hat hierfür durch die Kombination aus SMART on FHIR in Azure und Confidential Computing Confidential eine Lösung gefunden. Der Vorteil ist, dass sich die Angriffsfläche im Vergleich zu bisheriger Datenverarbeitung enorm reduziert und somit zu einem höheren Sicherheitsgewinn führt. Damit sind auch Machine-Learning-Gesundheitsanwendungen in einer Cloud umsetzbar.

Gerne erläutern wir Ihnen in einem ersten Gespräch, wie Sie diese Lösung auch in ihrem System bzw. in ihrer App anwenden können.

Insbesondere zur Aufrechterhaltung der Business Continuity nimmt die Gewährleistung der Informationssicherheit durch die Sicherstellung der Verfügbarkeit und Vertraulichkeit von Daten bei der Datenverarbeitung eine wichtige Rolle ein. Vor allem die Netzwerksicherheit bei der Nutzung Cloud-basierter Applikationen sollte sichergestellt werden.

Der Schutz von IT-Systemen und Daten ist eng mit der Entwicklung einer IT-Architektur verbunden und verlangt daher, dass Maßnahmen und Kontrollen zum Datenschutz von Anfang an mitgedacht werden.

_fbeta unterstützt Sie dabei, Schwachstellen aufzudecken und individuell angepasste Schutzmechanismen zu implementieren.

• Risikomanagement, Programmanalyse und Klärung des Schutzbedarfs
• Zugriffskontrolle, Berechtigungsmanagement und Standardisierung
• Prüfung der Fire Security, Proof of Concepts
• Schnittstellendesign & Open API
• Unterstützung beim Produktdesign: Privacy by Design

Die Informationssicherheit entwickelt mit der zunehmenden Digitalisierung und Technologisierung von Prozessen eine zentrale Fragestellung, die idealerweise von Anfang an bei der Entwicklung einer IT-Strategie mitgedacht wird, um so auch einen Beitrag zum Unternehmenserfolg zu leisten. So können Barrieren bei der Datenverarbeitung vermieden und Geschäftsprozesse ungestört ausgeführt werden.

Wir helfen Ihnen dabei, das maximale Potenzial aus Ihrer Digitalisierungsstrategie zu schöpfen, indem wir die Vereinbarkeit mit IT-Security und Datensicherheitskonzepten prüfen und auf gezielte Anpassungen hin beraten als auch deren Umsetzung durchführen.

• Basis Auditierung
• Risikominimierung
• Datenschutzschulung/Sensibilisierung
• Datenschutzfolgeabschätzung

Krankenkassen | Mit dem Inkrafttreten des Digitalgesetzes im März 2024 werden alle gesetzlichen Krankenkassen in Deutschland verpflichtet, bei Beauftragung Dritter durch geeignete vertragliche Vereinbarungen sicherzustellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards B3S GKV/PV durch den Dritten gewährleistet ist. Regelungen, die bis Ende 2023 nur für wenige große Krankenkassen gemäß Kritisverordnung anzuwenden waren, gelten seitdem für alle gesetzlichen Krankenversicherungen. Dies stellt Krankenkassen vor die Herausforderung, ihre Verträge und die Praktiken ihrer Dienstleister umfassend zu überprüfen und anzupassen. 

Unser Beratungs- und Unterstützungsangebot ermöglicht es Krankenkassen, die IT-Sicherheit ihrer Dienstleister effektiv zu managen und die Einhaltung der neuen IT-Sicherheitsvorgaben zu gewährleisten. 

Unser IT-Security Check verbessert das Risikomanagement, minimiert potenzielle Sicherheitsvorfälle und unterstützt Krankenkassen dabei, gesetzliche Anforderungen zu erfüllen. Durch eine detaillierte Analyse und Risikoeinschätzung werden Schwachstellen identifiziert und durch gezielte Handlungsempfehlungen adressiert. Dies schafft ein höheres Maß an Sicherheit für die Daten der Versicherten und stärkt das Vertrauen in die digitale Infrastruktur der Kassen. 

Modul 1. Compliance-Prüfung: Identifizieren der Dienstleisterlandschaft und Analyse der Verträge 

Dieses Modul ermöglicht eine gründliche Überprüfung und Analyse aller bestehenden Verträge mit Dienstleistern. Es beinhaltet die Identifizierung aller Dienstleister, die Verarbeitung von Versichertendaten durchführen, sowie die Prüfung der Vertragsinhalte und der technisch-organisatorischen Maßnahmen (TOMs). 

Leistungen: 

• Identifikation aller relevanten Dienstleister, die in irgendeiner Form Versichertendaten verarbeiten. 
• Überprüfung und Analyse der bestehenden Verträge auf Übereinstimmung mit aktuellen gesetzlichen Anforderungen. 
• Prüfung der technisch-organisatorischen Maßnahmen (TOMs), die im Vertrag vereinbart wurden. 
• Diskussionen und Vertragsüberarbeitungen mit Dienstleistern zur Sicherstellung der Compliance. 

Ziel: Sicherstellen, dass alle Verträge den aktuellen gesetzlichen Anforderungen entsprechen und alle notwendigen Sicherheitsmaßnahmen umfassen. 

Sie erhalten: Einen detaillierten Bericht über ihre Dienstleisterlandschaft, der eine Bewertung der Vertragskonformität jedes Dienstleisters enthält. Dieser Bericht wird auch Empfehlungen für notwendige Änderungen in den Verträgen umfassen, um vollständige Compliance sicherzustellen. 

Modul 2. Business-Impact-Analyse: Risikoeinschätzung der Verträge (nach BSI-Kriterien) 

Auf der Grundlage der detaillierten Vertragsanalyse erfolgt eine Risikobewertung jedes einzelnen Dienstleisters. Dieses Modul verwendet BSI-Kriterien, um das Risiko zu klassifizieren und eine Kritikalitäts-Einstufung vorzunehmen. Die Ergebnisse werden in einer Risikomatrix dargestellt, die die Krankenkasse dabei unterstützt, Prioritäten für weitere Maßnahmen zu setzen. 

Leistungen: 

• Durchführung einer detaillierten Risikoanalyse jedes Dienstleisters basierend auf den Ergebnissen von Modul 1. 
• Klassifizierung des Risikos jedes Vertrages unter Verwendung von BSI-Kriterien. 
• Erstellung einer Risikomatrix, die den potenziellen Schaden und die Wahrscheinlichkeit eines Sicherheitsvorfalls darstellt. 

Ziel: Entscheidungsgrundlage für weitere Maßnahmen auf Basis der jeweiligen Risikopotenziale zu erhalten: Das Sicherheitsrisiko, das von jedem Dienstleister ausgeht, wird quantifiziert und klassifiziert, um eine Priorisierung der Sicherheitsinitiativen zu ermöglichen. 

Sie erhalten: Eine Risikomatrix, die eine visuelle Darstellung der Risikoeinschätzung aller Dienstleister bietet. Diese Matrix hilft Ihnen, kritische Risikobereiche zu identifizieren und Ihre Aufmerksamkeit auf die dringendsten Sicherheitslücken zu richten. 

Modul 3. Aktionsplan: Handlungsempfehlungen auf der Grundlage der individuellen Risikoeinschätzung 

Basierend auf der Risikoeinschätzung werden spezifische Handlungsempfehlungen für jeden Dienstleister ausgearbeitet. Dies kann die Notwendigkeit von Vertragsanpassungen, die Implementierung zusätzlicher Sicherheitsmaßnahmen oder die Durchführung von Audits umfassen. 

Leistungen: 

• Erarbeitung von Handlungsempfehlungen für jeden Dienstleister basierend auf der Risikoklassifizierung. 
• Beratung bei der Implementierung von Sicherheitsmaßnahmen und gegebenenfalls bei der Durchführung von Audits. 
• Unterstützung bei der Anpassung der Verträge zur Integration von erforderlichen Sicherheitsklauseln und Auditrechten. 

Ziel: Sicherheitsstandards kontinuierlich zu verbessern und die Compliance mit dem neuen Gesetz sicherzustellen. 

Sie erhalten: Einen Aktionsplan, der detaillierte Schritte zur Verbesserung der Sicherheit umfasst, einschließlich der vorgeschlagenen Vertragsanpassungen und der Planung von Sicherheitsaudits. Dieser Plan wird speziell auf die Bedürfnisse und Risikoprofile der einzelnen Dienstleister abgestimmt sein. 

Im Ergebnis begleiten wir eine Veränderung der Art, wie über IT-Sicherheit, Business Continuity und Auftragsverarbeitung im Unternehmen nachgedacht wird.