zurück zur Übersicht

Ungesunde Krankenhaus-IT

Blister package of supplementsDer Bedarf nach Informationstechnologie ist inzwischen allgegenwärtig. Damit wächst natürlich auch die Nachfrage nach IT-Sicherheitstechnologie. Nach dem kritischsten Anwendungsfall von IT befragt, werden die meisten Menschen antworten: Bereiche, in denen Menschenleben auf dem Spiel stehen. Direkt oder indirekt. Indirekt in Form von Produktionsanlagen und Kontrollsystemen. Direkt in Form von Ampeln und in der Steuerungssoftware von Flugzeugen. Noch kritischer sind allerdings die Anforderungen in dem Bereich, der der menschlichen Gesundheit nicht näher sein könnte: dem Gesundheitssystem.

Die Untersuchung von elektronischen Implantaten auf Sicherheitslücken ist nicht neu. Herzschrittmacher, deren Wartungsschnittstelle sich unter Umständen für Angriffe eignet, sind dafür eines der prominentesten Beispiele. Inzwischen hat sich jedoch herausgestellt, dass ein so tiefer Einblick in spezielle, medizinische Technologie gar nicht nötig ist: Krankenhausumgebungen bieten auch so genügend Einfallstore für mehr oder weniger versierte Angreifer, wie Wissenschaftler von der Johns Hopkins University in Maryland herausgefunden haben. Auf der ersten Usenix Enigma-Sicherheitskonferenz in San Francisco stellten sie ihre Ergebnisse vor.

Ihre Untersuchungen ergaben Zustände, die in einem so kritischen Umfeld undenkbar scheinen. So umgehen einige Krankenhausmitarbeiter die automatische Sperrung des Nutzeraccounts unter Windows aus Bequemlichkeit und ermöglichen so freien Zugriff auf das Krankenhausnetzwerk, insbesondere dann, wenn sie sich länger von ihren Arbeitsplätzen entfernen. An einigen Krankenhäusern entfällt das grundlegende Rechtemanagement für kritische Daten komplett, es werden Computer zum Arbeiten verwendet, die von den eigenen Kindern zum Spielen genutzt werden, und es tauchten eine ganze Reihe Rechner mit dem Betriebssystem Windows XP auf, die seit ihrer Installation vor Jahren nicht ein einziges Mal gepatcht wurden. Besonders interessant ist der Fund eines Windows-95-Systems, das zur Steuerung eines Kernspintomographen verwendet wurde – die für das Gerät benötigte Software läuft nur unter Windows 95, für modernere Software müsste man einen neuen Tomographen anschaffen.

Die Ausspähung und Manipulation von höchst vertraulichen Patientendaten, Vertuschung von Behandlungsfehlern bis hin zu vorsätzlicher Schädigung – ein Alptraumszenario, das uns genau dort trifft, wo jeder Einzelne von uns am verwundbarsten ist.

Konsequentes Patch Management wäre für diese Problematik nur eine der essenziellen Maßnahmen. Security Awareness-Trainings sind mindestens ebenso wichtig, um Angestellten die Bedeutung von Datensicherheit bei der Arbeit immer wieder vor Augen zu führen und sie zu befähigen, die vorgeschlagenen Maßnahmen auch im hektischen Berufsalltag nicht einfach über Bord zu werfen.

Die iT-CUBE bietet Trainings und Security Awareness Building für Ihre Mitarbeiter an. Sprechen Sie uns an und informieren Sie sich ganz unverbindlich über unser Angebot!


 

Untersuchung von Herzschrittmachern: http://www.aerzteblatt.de/archiv/61230
Untersuchung von Herzschrittmachern (aktuell): http://www.heise.de/developer/artikel/32C3-Debuggen-am-offenen-Herzen-3057301.html
Hauptquelle: http://www.theregister.co.uk/2016/01/25/the_worst_industry_for_keeping_it_systems_clean_medicine/
BSI Risikoanalyse Krankenhaus-IT: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/RisikoanalyseKrankenhausIT_Leitfaden_pdf.html

Bild: ©istockphoto.com/GlobalStock/Blister package of supplements

Schreibe einen Kommentar