Executive Summary – In dieser Episode erfahren Sie:
- Warum Kliniken durch öffentliche Zugänglichkeit, weitläufige Gebäude und komplexe Netzwerke besondere Angriffsflächen bieten.
- Weshalb OT und Medizintechnik – etwa MRT, Röntgensysteme oder OP-unterstützende Systeme – im Risikomanagement besonders kritisch sind.
- Was Blackbox-, Greybox- und Whitebox-Penetrationstests unterscheidet – und warum Whitebox oft den höheren Erkenntnisgewinn liefert.
- Wie ein professioneller Pentest vorbereitet wird: rechtliche Klärung, Scope, Permission to Attack, NDA und Systemverständnis.
- Warum Software-Supply-Chain-Risiken und Open-Source-Abhängigkeiten für Gesundheitsorganisationen strategisch relevant werden.
Inhalt
- Warum Kliniken besondere Angriffsflächen haben
- IT, OT und Medizintechnik als gemeinsames Risikofeld
- Blackbox, Greybox, Whitebox: Was passt zur Klinik?
- Vom Scope zum Pentest: Recht, Zugang, Priorisierung
- Schwachstellen erkennen: Scans, Erfahrung und Kontext
- Regulatorischer Druck durch NIS2 und DORA
- Supply Chain Security und Open-Source-Risiken
Key Takeaways für Führungskräfte
- Definieren Sie den Scope eines Penetrationstests klar: Internet-exponierte Systeme, interne Netze, Patientenzugänge und medizintechnische Schnittstellen müssen bewusst abgegrenzt werden.
- Stellen Sie sicher, dass IT und OT gemeinsam betrachtet werden – getrennte Zuständigkeiten dürfen keine blinden Flecken in der Patientensicherheit erzeugen.
- Nutzen Sie internes Wissen aktiv: Ihre Fachabteilungen wissen oft sehr genau, wo technische Altlasten, unklare Schnittstellen oder Schwachstellen vermutet werden.
- Prüfen Sie Ihre Software-Lieferketten: Sicherheitsrisiken entstehen nicht nur im eigenen Code, sondern auch durch Bibliotheken, Frameworks und Abhängigkeiten.
- Verankern Sie Pentests im Risikomanagement – nicht als einmalige technische Prüfung, sondern als Führungsinstrument für Resilienz, BCM und Patientensicherheit.
Über den Gast
Jonas Heschl ist Penetrationtester in Österreich. Nach Teilnahmen an internationalen Hacking-Europa- und Weltmeisterschaften sowie dem Sieg bei der Deutschen Hacking-Staatsmeisterschaft überträgt er Methoden aus der Wettkampfszene in praxisnahe Security-Audits. Dabei untersucht er Anwendungen mit dem Mindset realer Angreifer, um tiefgehende Logikfehler und Sicherheitslücken aufzudecken, die automatisierte Verfahren häufig übersehen. (pwnd.at)
Über die Gastgeber
Thomas Prinz ist Krisenexperte, Trainer und Berater mit über 30 Jahren Praxis im Notfall- und Krisenmanagement – mit klarem Fokus auf Human Factor und Führung unter Druck. Er begleitet Organisationen dabei, in Ausnahmesituationen strukturell und menschlich handlungsfähig zu bleiben.
Franz Hoheiser-Pförtner ist Cybersecurity- und Informationssicherheits-Experte mit Schwerpunkt Gesundheitswesen sowie Vorstandsmitglied von Cyber Security Austria. Sein Fokus liegt auf umsetzbarer Cyber-Resilience (Recovery/BCM) sowie Anforderungen rund um NISG/NIS2 und HealthCERT.
Beide sind als Fachhochschul-Lektoren tätig.
Sie erreichen uns unter edv-anstalt@krisenmeisterei.com
