799
Passwort vergessen

Artikeldetailseite (ohne Heftzuweisung)

Interview

Spectre und Meltdown bedrohen Krankenhäuser

Spectre und Meltdown bedrohen Krankenhäuser

  • News des Tages
  • 06.02.2018

Jürgen Flemming

Jürgen Flemming, Pressereferent und Beisitzer im Vorstand KH-IT, erklärt, wie Krankenhäuser auf die Sicherheitslücken Meltdown und Spectre reagieren sollten.

 

Herr Flemming, wie groß ist die Bedrohung durch Spectre und Metdown für deutsche Kliniken? 

Spectre und Meltdown beschreiben theoretische Angriffs-Szenarien innerhalb eines Design-Fehlers für nahezu alle Intel Core-Prozessoren seit 2008 und zahlreiche Prozessoren anderer Hersteller. Die grundsätzliche Schwachstelle betrifft somit nicht nur PC und Laptops, sondern auch Smartphones, Tablets und alle anderen Systeme, die einen solchen Prozessor verwenden. Betroffen sind keineswegs nur Kliniken, sondern weltweit alle Endgeräte auf Basis der betroffenen Prozessoren.

Tatsächliche Exploits existieren Stand heute noch nicht, dürften aber sehr zeitnah ins Netz gehen. Ein etwaiger Schadcode muss aber lokal ausgeführt werden. Dies kann nur passieren, wenn ein Schadprogramm tatsächlich auf dem betroffenen Rechner laufen kann oder indem bekannte Schachstellen in Browsern ausgenutzt werden. Die kritischsten Infektionswege stellen daher Browser und Mails dar. Die potenzielle Gefährdung ist aufgrund der extremen Verbreitung des zugrunde liegenden Design-Fehlers sehr hoch. Eine tatsächliche Gefährdung besteht aber derzeit aber (noch) nicht.

Rechner gelten dann als besonders gefährdet, wenn sie mit Schadsoftware infiziert sind. Reicht es nun aus, dass Kliniken sich allein dagegen zu schützen versuchen? Betrifft dies allein Software-Installationen oder ist bereits das Surfen im Netz oder Öffnen von Mails riskant? 

Es muss auf drei Ebenen reagiert werden: 

  1. Auf Hardware-Ebene müssen Kliniken die von den Herstellern bereit zu stellenden Updates für den Microcode installieren. 
  2. Auf Ebene der Betriebssysteme müssen Kliniken die seitens der jeweiligen Hersteller zur Verfügung gestellten Updates installieren. 
  3. Auf Ebene der Anwendungen, die potenziell Schnittstellen zu Exploits haben können, müssen ebenfalls die Updates der jeweiligen Hersteller installiert werden. Auch einige der Virenscanner müssen durch Updates aktualisiert werden. 

Das BSI schreibt dazu "Die Schwachstellen sind aber insofern schwierig zu schließen, da jede betroffene Software, wie zum Beispiel Betriebssysteme, Web-Browser oder Gerätetreiber, einzeln aktualisiert werden muss, um Angriffe im eigenen Prozesskontext zu verhindern.“ 

Das Krankenhaus ist ein hochkomplexes Unternehmen mit einer extrem sensiblen IT-Infrastruktur. Die unbedachte Installation der neuesten Updates und Patches auf allen möglichen Geräten führt bekanntermaßen bereits heute zu allergrößten Problemen im Betrieb. Das Surfen im Internet ist ungeachtet der neuen Schwachstellen riskant, die größte Schwachstelle besteht aber nach wie vor im unbedachten Öffnen infizierter Mails oder deren meist als Rechnung getarnte Anhänge. Wenn zu den Aufgaben der Anwender das Öffnen und Lesen von Dokumenten aus dem Internet gehört, ist das Risiko besonders hoch - dies gilt aber völlig unabhängig von Spectre und Meltdown. Die Sensibilisierung und Schulung dieser Anwender ist daher eine der ersten und wirksamsten Maßnahmen zum Eigenschutz.

Welche Auswirkungen hat dieser Vorfall für die Klinik-IT insgesamt? 

Die Bereitstellung und Installation der Updates für Hardware, Betriebssysteme und Anwendungen bedeutet schon für die PCs der Anwender und die Server im Rechenzentrum einen enormen Aufwand. Hier ist vielen Kliniken der Bedarf zusätzlicher personeller Ressourcen für die permanente Kontrolle und Begleitung der sich stetig verändernden Sicherheitsanforderungen noch nicht wirklich klar.
Nur einem Mitarbeiter zu seinem bisherigen Fulltime-Job noch die Aufgaben eines Sicherheitsbeauftragten aufzusatteln, reicht nicht. Andererseits fehlen für die Kliniken die finanziellen Mittel für die gestiegenen Herausforderungen. Ein Teufelskreis der sich irgendwann rächen wird. 

Noch ist auch unklar, ob die wichtigsten Anwendungen im Krankenhaus, wie z.B. KIS, RIS, PACS, LIS,.. durch die anstehenden Updates beeinträchtigt werden. Völlig unklar ist weiterhin, ob und in welchem Ausmaß die mit dem Update der Betriebssysteme und der Hardwarenahen Anwendungen einhergehenden Performanceeinschränkungen sich in der Arbeit mit den Anwendungen bemerkbar machen.

Im Bereich der Medizinprodukte wird es ganz besonders spannend: Hier müssen die Medizintechnik-Hersteller für ihre Systeme alle Updates prüfen und dann im Krankenhaus installieren. Aus der Erfahrung heraus muss hierbei mit sehr schleppender Reaktion gerechnet werden. Das Risiko einer Beeinträchtigung auf diesem Kanal ist ausgesprochen hoch. Die Sicherheitslücken der Prozessoren betreffen zusätzlich auch Smartphones und Tablets, sowie Geräte der Kern-Infrastruktur wie zum Beispiel Router. Nicht überall besteht die Gefahr, dass lokal Schadcode ausgeführt werden kann. Mobile Endgeräte sind aber angreifbar und sollten daher dringend gepatcht werden, sofern sie durch das Krankenhaus zur Verfügung gestellt wurden. Und: Private Endgeräte, auch von Chefärzten oder Geschäftsführern ohne zuverlässige Sicherheitskontrolle gehören nicht ins Unternehmensnetz.

Ganz konkret: Was sollten Klinikgeschäftsführer nun tun? 

  1. Die Klinikgeschäftsführung sollte gemeinsam mit der IT-Leitung dringend eine Risiko-Analyse vornehmen und geeignete kurz- und mittelfristige Schutzmaßnahmen ergreifen. Die ISO 80001 kann als Grundlage des Vorgehens verwendet werden. 
  2. Die Maßnahmen können auch organisatorische Veränderungen erfordern, wie z.B. eine zeitlich begrenzte Internet-Sperre mit klar definierten Ausnahmen. Im schlimmsten Fall beeinträchtigen die zu ergreifenden Sicherheitsmaßnahmen den Betrieb erheblich.
  3. Der Einsatz mobiler Endgeräte ist im Rahmen der Risiko-Analyse zu überprüfen und ggf. einzuschränken. 
  4. Die Medizintechnik ist ebenfalls zu überprüfen und mit geeigneten Maßnahmen gegen Infektionen aus dem Internet zu schützen. Dazu gehört auch die Sperrung sämtlicher USB-Ports am Medizingerät, sowie der frei erreichbaren Wartungszugänge für die Hersteller.
  5. Auch die Gebäudeleittechnik (MSR-Technik: Schließanlagen, Klimatisierung, Aufzüge, Brandschutz ….) ist unbedingt zu prüfen und zu schützen.

Zusammengefasst: Mittelfristig muss die IT im Krankenhaus durch geeignete personelle und finanzielle Unterstützung in die Lage versetzt werden, die ständig wachsenden Sicherheitsanforderungen zu erfüllen. Durch die allumfassenden Schwachstellen im Prozessordesign wird deutlich, welches Risiko durch eine übereilte und unüberlegte Digitalisierung an den verschiedensten Stellen im Krankenhaus entsteht, vor allem vor dem Hintergrund zusätzlicher Risiken über die Prozessor-Thematik hinaus.

Autor

Kontakt zum Kundenservice

Rufen Sie an: 0 56 61 / 73 44-0
Mo - Fr 08:00 bis 17:00 Uhr

Senden Sie uns eine E-Mail:
info@bibliomedmanager.de

Häufige Fragen und Antworten finden Sie im Hilfe-Bereich