Executive Summary – In dieser Episode erfahren Sie:
- Warum Open-Source-Abhängigkeiten ein unterschätztes Risiko in modernen Softwareprojekten sind.
- Weshalb CI/CD-Prozesse, Software Bill of Materials und Schwachstellenabgleiche für Kliniksoftware relevant sind.
- Wie bekannte Schwachstellen, Zero Days und veraltete Bibliotheken im laufenden Betrieb adressiert werden können.
- Welche Anforderungen Betreiber bereits in Verträgen und Entwicklungsprozessen verankern sollten.
- Warum Pentesting mit Quellcode-Audit über klassische Netzwerktests hinausgeht.
Inhalt
- Softwareentwicklung im Gesundheitswesen
- Risiken in der Software-Supply-Chain
- Open Source, Abhängigkeiten und Vertrauen
- CI/CD und Software Bill of Materials
- Schwachstellen-Datenbanken und laufende Prüfung
- Zero Days und Reaktionsfähigkeit
- Vertragsanforderungen an Softwarelieferanten
- Pentesting als Blick in die Lieferkette
Key Takeaways für Führungskräfte
- Definieren Sie, welche Softwarekomponenten, Bibliotheken und Abhängigkeiten in Ihren kritischen Anwendungen tatsächlich eingesetzt werden.
- Stellen Sie sicher, dass eine Software Bill of Materials Bestandteil Ihrer Entwicklungs-, Beschaffungs- und Prüfprozesse ist.
- Verankern Sie, dass Lieferanten bekannte Schwachstellen laufend überwachen, bewerten und zeitnah Maßnahmen vorschlagen.
- Prüfen Sie, ob veraltete oder kaum gewartete Bibliotheken in sicherheitskritischen Anwendungen verwendet werden.
- Planen Sie, dass Cybersecurity nicht nur vor dem Go-live, sondern während des gesamten Lebenszyklus einer Anwendung geführt werden muss.
Über den Gast
Jonas Heschl ist Penetrationtester in Österreich. Nach Teilnahmen an internationalen Hacking-Europa- und Weltmeisterschaften sowie dem Sieg bei der Deutschen Hacking-Staatsmeisterschaft überträgt er Methoden aus der Wettkampfszene in praxisnahe Security-Audits. Dabei untersucht er Anwendungen mit dem Mindset realer Angreifer, um tiefgehende Logikfehler und Sicherheitslücken aufzudecken, die automatisierte Verfahren häufig übersehen. (pwnd.at)
Über die Gastgeber
Thomas Prinz ist Krisenexperte, Trainer und Berater mit über 30 Jahren Praxis im Notfall- und Krisenmanagement – mit klarem Fokus auf Human Factor und Führung unter Druck. Er begleitet Organisationen dabei, in Ausnahmesituationen strukturell und menschlich handlungsfähig zu bleiben.
Franz Hoheiser-Pförtner ist Cybersecurity- und Informationssicherheits-Experte mit Schwerpunkt Gesundheitswesen sowie Vorstandsmitglied von Cyber Security Austria. Sein Fokus liegt auf umsetzbarer Cyber-Resilience (Recovery/BCM) sowie Anforderungen rund um NISG/NIS2 und HealthCERT.
Beide sind als Fachhochschul-Lektoren tätig.
Sie erreichen uns unter edv-anstalt@krisenmeisterei.com
