COMPLEX - Visus Technology Transfer GmbH
COMPLEX - Visus Technology Transfer GmbH
COMPLEX - Visus Technology Transfer GmbH
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>COMPLEX</strong> | IT-SICHERHEIT<br />
ALARM IM KLINIKNETZ Viele Systeme in einem Krankenhaus fallen<br />
wegen ihrer Funktion unter das Medizinproduktegesetz. Deshalb dürfen IT-Mitarbeiter nicht ohne<br />
Weiteres Patches aufschließen, um Sicherheitslücken zu schließen. Auswege aus diesem Dilemma<br />
bietet der neue Prozessstandard ISO/IEC 80001, der das Abdichten dieser Systeme beschreibt.<br />
InKärnten warder Wurm drin. Anfang<br />
desJahres legte das Schadprogramm<br />
Confickerzuerst Teile der<br />
Verwaltung, danach mehrere<br />
Krankenhäuser lahm. Nach Schätzungen<br />
vonExperten infizierte Conficker<br />
bis zu 3000 Computer in den Spitälern<br />
Kärntens. Dabei umging der<br />
Computerwurm offenbar die Firewall,<br />
mit der sichKliniken<br />
gegen Gefahren aus<br />
Der Wurm gelangte über dem Internet schützen.<br />
einen USB-Stick ins Ausgangspunkt der Infektion<br />
warvermutlich<br />
Kärntner Kliniknetz. Die<br />
ein USB-Stick, über<br />
krankenhauseigene den der Wurm direkt<br />
Firewall hätte ihn nicht auf einen PC gelangte.<br />
durchgelassen. Confickernutzte eine<br />
„kritische“ Sicherheitslücke<br />
in Windows aus,<br />
für die Microsoft bereits seit Herbst letzten<br />
Jahres einen außerordentlichen Software-Patchzur<br />
Verfügung stellt. Für den<br />
Softwarehersteller ist eine kritische Lückeeine<br />
„Schwachstelle, die für die Verbreitung<br />
eines Internet-Wurms ausgenützt<br />
werden kann, ohne dass hierfür<br />
spezielle Aktionen des Benutzers erforderlichsind“.<br />
Das bedeutet, dass eine Infektion<br />
ohne ein Fehlverhalten des Nutzers<br />
erfolgen kann, weil das System<br />
allein durchdas Fehlen des Patches verwundbar<br />
ist.<br />
Ein Internet-Wurm ist ein Schadprogramm,<br />
das sichmit hoher Virulenz in<br />
Netzwerken ausbreitet. Würmer wie<br />
Confickergelangen über ein Softwareleckineinen<br />
Computer,laden weiteren<br />
Code nach, replizieren sichund breiten<br />
26 EHEALTHCOM<br />
TEXT: JOCHEN KAISER<br />
sichpausenlos im Intra- und Internet<br />
aus. Für ihre Aktivitäten nutzen die<br />
Schädlinge die Systemressourcen des<br />
Wirtssystems,die oft recht schnell an ihre<br />
Grenzen stoßen und zum Ausfall des<br />
Systems führen. Hat der Wurm keine<br />
weitere Schadfunktion, kommt der Nutzer<br />
meist glimpflichdavon.<br />
Krankenhäuser und Institutionen<br />
des Gesundheitswesens sind solchen Sicherheitslückenineinem<br />
besonderen<br />
Maße ausgesetzt. Die Ursache dafür<br />
klingt paradox: Viele PCs in den Klinikensind<br />
deshalb nicht ausreichend gesichert,<br />
weil sie besonders sicher sein<br />
sollen. Denn viele Systeme in einem<br />
Krankenhaus fallen wegen ihrer Funktion<br />
unter das Medizinproduktegesetz<br />
(MPG). Das bedeutet, dass der Administrator<br />
nicht ohne Weiteres den PC mit<br />
einem Update sichern darf.<br />
EIN MEDIZINPRODUKT ist ein System,<br />
das strengen gesetzlichen Regelungen<br />
unterworfen ist und vorder Zulassung<br />
von einer unabhängigen und<br />
fachlichkompetenten Stelle in einem<br />
Konformitätsverfahren überprüft werden<br />
muss.Zudiesem Zweckwird auf<br />
das Medizinprodukt ein Risikomanagement<br />
angewendet. Dabei gehen die Ingenieure<br />
des Herstellers in der Regel<br />
von einem statischen, geschlossenen<br />
System aus,denn die Risikobewertung<br />
kann nur über eine endliche Anzahl von<br />
Faktoren stattfinden. Diese Statik hasst<br />
alles Neue. Wird ein Medizinprodukt<br />
auf einem PC eingesetzt und sind irgendwann<br />
Software-Updates für das Betriebs-<br />
system notwendig,dann muss das Gesamtsystem<br />
durchden Hersteller neu bewertet<br />
werden, um negativeEinwirkungen<br />
auf das Medizinprodukt –und damit<br />
auf die Patienten –auszuschließen.<br />
Weil dieser Prozess aufwendig ist<br />
und beim Hersteller enorme Kosten verursacht,<br />
findet diese Neubewertung nicht<br />
regelmäßig statt, sondern nur dann,<br />
wenn sie –aus Sicht des Herstellers –<br />
notwendig ist. Allerdings sehen sichnur<br />
die wenigsten Hersteller durchakute Sicherheitswarnungen<br />
veranlasst, eine<br />
Neubewertung vorzunehmen. Das hat<br />
zur Folge, dass viele Systeme nicht auf<br />
einem aktuellen Stand sind. Aufder anderen<br />
Seite haben gerade die Krankenhäuser<br />
einen großen Bedarf an Netzwerkkommunikation<br />
–vor allem dort,<br />
wo eine Kombination aus Medizinprodukt<br />
und IT-Komponente besteht. In<br />
diesem Fall kann der Wunschnacheinem<br />
statischen System nicht mehr aufrechterhalten<br />
werden. Denn das Medizinprodukt<br />
kommuniziert mit anderen<br />
Systemen, tauscht Patienten-IDs und<br />
diagnostische Daten aus.Das Medizinprodukt<br />
ist zusammen mit anderen Komponenten<br />
Teil eines Netzes,das einen unbekannten<br />
Sicherheitsstatus hat. Hier<br />
tauchen viele offene Fragen auf: Wieist<br />
der Sicherheitszustand? Sind Laptops erlaubt?<br />
Ist das Netzwerk gegenüber dem<br />
Internet abgesichert? Ist ein Virenschutz<br />
auf den Komponenten installiert?<br />
Die Forderung der IT-Abteilungen<br />
nach einer Absicherung der Systeme<br />
und einem beschleunigten Risikomanagement<br />
bei Softwareaktualisierun- FOTO: SHUTTERSTOCK