Forum: Netzwelt
Krankenhaus in Not: Computervirus legt bayerische Klinik lahm
DPA

Seit Tagen sind im Klinikum Fürstenfeldbruck Hunderte Computer unbenutzbar. Ein Computervirus, der eigentlich andere Ziele sucht, hatte die Systeme befallen.

Seite 2 von 3
peer.seus 16.11.2018, 19:42
10. Windows in solchen Umgebungen ist einfach unverantwortlich!

Windows und Adobe sind Prinzip-bedingt viel zu träge und gerade in kaputt-gesparten Infrastrukturen Angriffsvektoren, die größte Schadenshöhen erzegen können!

Es wird dringend Zeit, hier professionell-rationales Risiko-Management an de Start zu bekommen, so dass Windows und berühmt-berüchtigte Windows-Programme (Acrobat Reader) am besten sofort raus geschnmissen werden können.

Da kommt im Grunde nur Linux als Alternative in Betracht: Viele Enterprise-Anwendungen gibt es als Intranet-basierte Anwendungen und die Geräte-hersteler können mit Sicherheit in wenigen Monaten fertige Linux-Software aus der Schublade ziehen - wenn sie wissen, dass Windos für sie tot ist. Und wo es nicht anders geht, kann man Windows ja noch virtuell betreiben ..

Aber man muss doch das Risiko vermeiden, dass wegen anachronistischer Management-Entscheidungen für hinterwäldlerisches Windows Menschen sterben!

Beitrag melden Antworten / Zitieren
juba39 16.11.2018, 19:45
11. Nicht vergessen!

Irgendwie, wenn hier so heftig darüber gestritten wird, daß die IT-Sicherheit der Krhs nicht von den Kassen getragen wird, wird ganz vergessen, daß so gut wie alle Krankenhäuser Wirtschaftsunternehmen sind, die ihre Gewinne(!) an die Muttergesellschft/Kommunen abführen müssen.
Nur noch Familienunternehmen können es sich "leisten", einmal nix auszuschütten, dafür mehr zu investieren. Und wenn es in IT-Sicherheit ist.

Beitrag melden Antworten / Zitieren
ghdstz 16.11.2018, 20:25
12. Leider gibt es (noch) keine sichere IT

Die Misere liegt zum größten Teil an den Endgeräten die heute allesamt Mikroprozessoren und Betriebssysteme haben, mit Software laufen und damit auch durch Schadsoftware angreifbar sind. Mediziner sind im übrigen dazu da den Patienten zu helfen, nicht um durch Sicherheitsprozeduren am Helfen gehindert zu werden - deswegen verwendet man dort häufig gleiche Passwörter durch unterschiedliche Personen für unterschiedliche Applikationen. Ist zwar unsicher, aber im Notfall geht es schneller.

Abschotten geht nur sehr begrenzt, wenn man nicht den Betrieb völlig einstellen will. Linux würde auch nichts bringen, denn bei Linux gibt es sogar noch mehr Schwachstellen als bei Windows (sowas kann man bei der NIST Vulnerability Database leicht abfragen).

Eine hinreichend sichere IT wäre möglich, wenn man sichere Endgeräte einführt die rein hardwaregesteuert sind und kein Betriebssystem haben. Das ging früher auch (als es noch keine PC's sondern nur dumme Bildschirmgeräte gab). Und von der Funktion her waren die auch zuverlässiger ...

Beitrag melden Antworten / Zitieren
ghdstz 16.11.2018, 21:19
13. Stand der Technik ...

Zitat von dhi
... und die meisten Krankenhäuser fallen nicht unter das IT-Sicherheitsgesetz. Dann hätte zumindest ein "Stand der Technik" implementiert werden müssen. Bezahlt aber keine Krankenkasse für und ist auch in keiner Fallpauschale vorhanden. Schließlich kann ein Arzt auch mit dem Kugelschreiber leben retten. Mit IT ist's aber für Patienten und Ärzte angenehmer ;)
Krankenhäuser gehören natürlich zu den kritischen Infrastrukturen, und natürlich gibt es da reichlich Vorschriften - fragen Sie mal eine Suchmaschine Ihrer Wahl. Leider sind diese Vorschriften hinreichend schwammig und bewirken nichts. "Stand der Technik" ist eben das heute vorherrschende und ebenso unsichere wie unzuverlässige Gemenge von "good enough" - Geraffel mit dem wir uns alle herumschlagen müssen.

Es ist übrigens ein Aberglaube dass man mit mehr Geld alle Sicherheitsprobleme der heute vorherschenden IT-Strukturen lösen könne. Diese sind mittlerweile hoffnungslos vermurkst, man müsste mit dem eisernen Besen durchfegen und grundlegend neue Architekturen einführen die von Anfang an auf Sicherheit und Zuverlässig ausgelegt sind.

Beitrag melden Antworten / Zitieren
M von B 16.11.2018, 21:55
14. Realität !

Ich verkaufe IT Security Lösungen. Es ist mein tägliches Geschäft und ich komme auch in viele Kliniken.
Was soll ich sagen wenn ein Chief Security Officer einer Klinik zu mir sagt: " Die EUDSGVO geht uns nichts an".
Oder wenn jemand sagt "Dir Softwareupdates für Herzschrittmacher verschickt der Hersteller unverschlüsselt per Mail..." Ich könnte die Liste beliebig verlängern. Es ist die Realität dass selbst und vor allem Führungskräfte von Klinik Betrieben über Ihre Verantwortung keinerlei Ahnung haben. Sie wollen diese Ahnung auch nicht haben, weil es sonst Geld Kostet, welches die Shareholder der privatisierten Kliniken haben wollen. Und Wir , der Staat und die Länder haben sich schon lange aus der Verantwortung gezogen. Das Einzige was wirklich hilft sind drakonische Strafen. Ansonsten werden wir damit eben müssen dass dies auch Menschenleben kosten wird. Ich spreche hier auch nicht von der Trennung der Netze und anderen technischen Lösungen die nicht unbedingt viel Kosten verursachen. Es gehört auch zur Realität dass das IT Personal in den Kliniken unterbezahlt ist und nicht gut ausgebildet, das will sich schließlich auch niemand leisten. Jetzt bin ich noch nicht bei IoT und dass alles vernetzt ist. Die Medizingeräte haben bis heute noch keine eigenen Security. die Kameras, Zugangskontrollsysteme im Netz, haben Backdoors bis es kracht. Wen schert es ?

Beitrag melden Antworten / Zitieren
randhesse 17.11.2018, 02:37
15. @ #5 Aber nein

Sie sind offenbar leider nicht auf dem "Stand der Technik".
Krankenhausinformationssysteme sind _alle_ "Datenbankbasiert".
Die ganz große Mehrzahl dieser DB-Systeme läuft auf Unix, und dessen Derivaten (meist Linux), schon weil derart große DB-Systeme meist "ganz große Eisen" verlangen, die unter Unix/Linux "erfahrungsgemäß stabiler" laufen.
Bei vielen KIS befindet sich die "weitere Verarbeitungslogik" dann allerdings wieder auf Windows-Servern, auch das ist durchaus nicht selten.
Die "Krönung der Verwirrung" ist, wenn eine _in HTML_ geschriebene KIS-Bedienoberfläche per Citrix-Server-VM auf einem in einer Linux-VM laufenden Windows-Client "wiedergegeben" wird.
Da gilt mal wieder der alte Grundsatz: "Es wurde noch nie jemand gefeuert, weil er Microsoft-Produkte einsetzt".
Dabei gab es in der Microsoft-"EULA", also deren "AGB", noch bis ca. 2005 einen Abschnitt, der den Einsatz in "kritischen Infrastrukturen", also v. a. militärischen, in der Luftfahrt, in EVUs und Krankenhäusern schlicht _Untersagte_.
Ein "schlagender Beweis" dafür, das *niemand* je das "Kleingedruckte" liest!

Zu diesen Zeiten lief Krankenhaus-IT "in der Regel" noch unter "Expertensystemen", wie Sun Solaris, HP-UX, oder auf IBM-Host-Systemen.
Nur verlangten deren Admins auch "Experten-Saläre".
Und den BWLern in den KHs war das "Schmerzlich".
Zumal die eh' nur Windows "kannten".
Und Windows-"Experten" _weit billiger_ zu haben sind, bis heute.
Also wird vielfach mit Windows "gewurstelt", weil das, und die zugehörige Office-Software, "kennt und kann" halt _angeblich_ "jeder".

Bei den "ganz Großen" KHs,, und den meisten Uni-Kliniken ist das "Backend" meist ohnehin weiter Unix-basiert, nur die "Client-Front" oft noch Windows.
Da ist das auch "unkritisch", weil man das inzwischen mit "virtuellen Maschinen" macht, die mit ein paar Mausklicks "sauber neu aufgesetzt" sind.
Da sind "Ausfallzeiten" in _Minuten_ zu rechnen, und nicht mehr in _Tagen_.

Auch viele "kleinere" KHs haben ihre IT auf ähnliche Konstrukte, die von "Regional/Landes-Rechenzentren", oder in NRW beispielsweise von den "Landschaftsverbänden", betrieben werden, "outgesourct", weil die Komplexität dahinter von einem einzelnen Haus gar nicht mehr zu "stemmen" ist.
_Zumal_ die Kosten dafür auch oft in "Töpfen" landen, oder aus solchen kommen, die in der "Klinik-Einzelbilanz" gar nicht mehr erscheinen.
Was auf das "altbekannte Struktur-Problem" des gesamten "Gesundheitswesens" hindeutet, das für viele "Dienstleister" darin und darum weiter eine "Lizenz zum Gelddrucken" darstellt.
Für den "Rest der Welt" aber nur _komplette Intranzparenz_!
Aber das nur: "Am Rande". ;)

Nach dem, was ich nach den diversen Presse-Berichten aus den mageren Informationen "herausfiltern" konnte, handelt es sich bei dem betroffenen Haus wohl um eines, das noch alles "Solo" stemmt.
Und sich "nur" auf die "hauseigenen Windows-Experten" _verließ_.
Ja dann... *Schulterzuck*

Beitrag melden Antworten / Zitieren
MichaelundNilma 17.11.2018, 15:02
16. Nicht in Stein gehauen

Zitat von Zoloft
Linux. Klar. Die Anbieter der Krankenhausinformationssysteme setzen Windows voraus. Auch die Software fast aller Endgeräte setzt darauf. Das KH nach außen abzuschotten ist Standard. Einem Arzt aber generell den Zugriff auf moderne Info- Technik zu verweigern, wäre (Patienten) gefährdend. Zweite Infrastruktur: Ist vorgeschrieben bei KH einer gewissen Größe, ebenso ein Ausfallsszenario. Leider werden die Kosten i keiner Weise gegenfinanziert. Weder von den Ländern noch von den Krankenkassen. Letztlich passiert das aus den DRG basierenden "Gewinnen", die für Strukturmaßnahmen eigentlich nicht herangezogen werden sollten.
Das die Entwickler von Krankenhausinformationssystemen auf Windows aufsetzen ist ja nicht in Stein gehauen. Niemand verbietet es den Krankenhäusern sich für Anbieter mit anderen Betriebssysteme zu entscheiden oder gar selbst zu entwickeln. Es gibt da inzwischen eine große Anzahl von Alternativen. Man könnte auch bei SAP einkaufen bzw entwickeln lassen, was sogar Sinn macht, da viele Unternehmen, welche in der Gesundheitsbranche tätig sind, SW von SAP nutzen. Windows ist mit Sicherheit die schlechteste Wahl bezogen auf Virenanfälligkeit, Kosten und Stabilität.

Beitrag melden Antworten / Zitieren
genugistgenug 17.11.2018, 15:16
17. Ausgaben für Sicherheit sieht man halt nicht

Das ist das alte Grundproblem. Gibt man Geld für ein neues PArkhaus aus, sieht man danach etwas und kann es auch pressewirksam eröffnen, doch IT Sicherheit...... da kann kein Politiker die Bits&Bytes durch die Gegend schieben.
Dazu kommt, dass die Kostenbewilliger von der Komplexität der Materie keine Ahnung habe (wollen), aber spüren "das wird teuer". Dazu stülpen sie ihr eigenes "IT" (Un)Wissen vom PC auf das komplexere System 1:1 um. Dabei kennen Sie nicht mal den Unetrschied zwischen Kalt-Warmstart oder rufen an "wie mache ich FETT?" - was wieder zu Nachfragen führt, in welchen Programm er gerade was schreibt. Was wieder Ärger bringt, weil "das müssen Sie doch sehen?". Natürlich kennen die auch eigene Experten und man muss sich dann damit auseinandersetzen,d ass "DER" Experte spitze ist, bis man endlich rausbekommt, der ist 12 Jahre und spielt nur auf dem Windows PC. Wieder Arbeitzszeit vertan - 30 Minuten bei 6 Personen = 3 Stunden a' xxx,- €

Unser Standardbeispiel war jahrzehntelang ein defekter Systemrechner (Novell 2.x) der für 10.000,- DM wieder repariert und wegen fehlender Datensicherung komplett neu aufgesetzt werden musste. Datensicherungsbänder gab es schon, doch als das erste Band von der Maschine "gefressen" wurde, haben die Bediener es mit dem nächsten Band (Tagessicherung) versucht und am Ende das letzte Band sogar aus dem Tresor geholt. Und als alle futsch waren, haben sie geschrieen. Glücklicherweise haben sie das im Schreibtisch versteckte Band (private Wochensicherung) nicht gekannt.
Der Chef hat sich über den Preis mokiert und wollte wissen was sich nun geändert hat, denn sein PC sieht ja so aus wie vorher. Glücklicherweise hatte der Techniker die Abdeckung des eines Laufwerks falsch montiert (schwarz statt grau) und ich ließ es nicht merh ändern. So konnte ich sagen "schauen Sie, das wurde geändert" und damit war der Chef zufrieden, denn er hatte ja was gesehen.

Doch erklären Sie mal diesen Leuten, dass sie jede Zugangsbuchse absichern müssen - auch die irgendwo versteckten suchen müssen und die Sicherheit PFLEGEN müssen. Das schafft man nicht, bzw. nur nach so einem Crash und dann auch nur kurzfristig.

Beitrag melden Antworten / Zitieren
robinlott 17.11.2018, 18:24
18. Telematikinfrastrukrur

Aber die neue Telematikinfrastruktur, die vom Bundesgesundheitsministerium unter Leitung von Jens Spahn gegen den Widerstand vieler Ärzte und für sehr viel Geld erzwungen wird mit Anschlusszwang aller Praxen, Krankenhäuser und Apotheken ist bestimmt ganz, ganz sicher.

Beitrag melden Antworten / Zitieren
ghdstz 17.11.2018, 20:18
19. Man kann alles outsourcen ...

Zitat von randhesse
Nach dem, was ich nach den diversen Presse-Berichten aus den mageren Informationen "herausfiltern" konnte, handelt es sich bei dem betroffenen Haus wohl um eines, das noch alles "Solo" stemmt. Und sich "nur" auf die "hauseigenen Windows-Experten" _verließ_. Ja dann... *Schulterzuck*
Die Betreiber von kritischen Infrastrukturen können natürlich alles mögliche "outsourcen", nur eines nicht - die Verantwortung für das, was sie da betreiben. Wenn der Betrieb irgendwelchen gesetzlichen Vorschriften oder Regelungen unterliegt - und das dürfte bei kritischen Infrastrukturen meist der Fall sein - dann klebt letztendlich die Betreiberverantwortung wie zähflüssiger Teer an den Füßen der Betreiber. Und das ist auch gut so.

Es ist ja verständlich dass viele Betreiber kritischer Anwendungen von der ständig zunehmenden Komplexität und den damit auch anwachsenden Fehleranfälligkeiten und Sicherheitsrisiken des heutzutage üblichen IT-Geraffels genug haben und diese Last abschieben wollen (nach dem Motto: "Die IT ist nicht unser Kerngeschäft"). Und es ist auch richtig dass gut aufgestellte IT-Betreiber meist besser mit dem ungeliebten Bitgewurschtel zurechtkommen, und in der Regel auch weniger Sicherheitslücken übersehen. Aber deren Kerngeschäft ist eben zunächt mal der IT-Betrieb - nur wenn sie sich zusätzlich auch auf die Branche ihrer Kunden spezialisiert haben und beispielsweise die IT und die Anwendungen von 50 Krankenhäusern betreiben kann man davon ausgehen dass sie auch das Geschäft ihrer Kunden hinreichend gut verstehen - und ihn im Notfall auch unterstützen. Trotzdem basiert das alles auf Goodwill, und die Verantwortung verbleibt letztlich beim Kunden.

Wenn man sich aber auf die größen Cloudprovider verlässt, dann ist man wohl ganz verlassen. Die können einem natürlich massenhaft Infrastruktur oder auch Plattformen zu relativ niedrigen Preisen bereitstellen - das Geschäft ihrer Kunden verstehen sie aber nicht, und es interessiert sie auch nicht. Und gut versteckt im Kleingedruckten haben sie auch dafür gesorgt dass sie für nichts verantwortlich oder gar haftbar sind.

Man muss sich also wohl oder übel auch weiterhin noch mit diesem lästigen IT-Kram befassen, auch wenn man selbigen outgesourct hat ...

Beitrag melden Antworten / Zitieren
Seite 2 von 3