1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Backup-Strategie: Krankenhaus konnte…

Wer findet die Fehler?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Wer findet die Fehler?

    Autor: Tuxianer 08.11.16 - 14:35

    "Offenbar hatte eine Krankenschwester im Papworth-Krankenhaus gegen 23 Uhr Ortszeit auf ein E-Mail-Attachment geklickt und damit versehentlich die Infektion ausgelöst."

    Irrelevantes raus, dann bleibt: "eine Krankenschwester hat ... die [Rasomware-]Infektion ausgelöst."

    Hat also die phöse, thumpe Krankentussi mal wieder gemistbockt? Nein.

    Fehler 1: Die Krankenschwester hatte Admin-Rechte auf Ihrem System.

    Fehler 2: Das Schadprogramm konnte aber offenkundig auch weitere Bereiche befallen, nicht nur einen Stations-Computer, auf dem eh nur Kopien von Daten zu liegen haben. Also hatte [jemand oder eine Software] von diesem Stations-Computer aus auch Schreibrechte in anderen Bereichen.

    "ein E-Mail-Attachment"

    Fehler 3: Die E-Mail-Filterung versagte komplett und grundlegend.

    Ob diese Fehler nun einer inkompetenten IT-Abteilung oder der obigen solchen Bockmist fordernden Geschäftsleitung zuzurechnen sind, ist erst mal egal. Wichtig ist:

    Alle drei Kapitalfehler sind leicht zu verhindern.

    Erstens hat eine Person in einem Bereich, in dem es um Gesundheit und Leben (oder um sicherheitsrelevante Anlagen wie in Kraftwerken o. Ä.) geht, grundsätzlich keine Admin-Rechte zu haben, nicht an der lokalen Maschine und erst recht nicht von dort aus auf andere Systeme übergreifend! Und zwar ganz einfach deswegen, weil diese Person solche Rechte nie braucht! Die Krankenschwester kann mit Gast-Account arbeiten, weil sie a) nur auf lokale Kopien ganz bestimmter Daten zugreifen muss, b) nie andere als die vorinstallierten Programme nutzen darf (und auch nie zu nutzen braucht), und c) ansonsten auf dem Rechner rein gar nichts zu tun und zu basteln und zu installieren und zu konfigurieren hat.

    Zweitens hat ein Rechner x außerhalb des zentralen IT-Bereiches grundsätzlich nie Rechte zu haben, auf andere als auf die auf diesem Rechner x lokal gespiegelten Kopien von Datensätzen schreibend zugreifen zu können. Diese Datensätze auf diesen Rechner x zu transferieren oder die dort geänderten unter Validierung! wieder ins Hauptsystem aufzunehmen, ist Aufgabe der zentralen IT-Infrastruktur. "Ich, Server, verteile und hole ab." statt "ich, Server-Diener, lasse mich unkontrolliert beschreiben."!

    Drittens hat ein E-Mail-Filter grundsätzlich jede eingehende wie ausgehende E-Mail, der ein ausführbarer Anhang beiliegt, in ein nur den für die IT-Sicherheit verantwortlichen Personen zugängliches Postfach eines Dummy-Benutzer-Accounts zu verschieben; eines Dummys, der in virtueller Box und als Gast ohne jegliche Schreibrechte läuft, am besten in einem komplett anderen als dem Betriebssystem des Host-Rechners. Was macht ein IT-Verantwortlicher nun?
    a) E-Mail anschauen: Legaler Absender, z. B. Hersteller eines medizinischen Geräts, das im Haus läuft? Ansonsten. E-Mail löschen, Löschung protokollieren und der Geschäftsleitung melden. Keine Zustell- oder gar Lesebestätigung.
    b) Anhang prüfen: ein Hash der Datei, wie sie sein sollte, muss beim Hersteller zu finden oder zu erfragen sein.
    c) Anhang prüfen, die zweite: Es könnte ja sein, dass Computer des Herstellers dieses Geräts bzw. seiner Software selbst Opfer von Schadsoftware wurden und daher die Software schon bei Abgabe versaut ist, der Hash aber leider zur versauten Version passt. Also mal aktuelle Scanner über die Software laufen lassen. Wenn die Scanner motzen: Rückmeldung an die Firma, Meldung an die eigene Geschäftsleitung. Und ansonsten bleibt die E-Mail in Quarantäne!

    Wenn alle drei Schritte erfolgreich waren, dann, und nur dann, die E-Mail an die zuständige Stelle im Haus weiterleiten. Bei ausgehenden E-Mails mit ausführbaren Anhängen auch gerne man fragen, wer da was wohin senden wollte - und warum. Ein behandelnder Arzt wird sich kaum die Mühe machen (es sollte eigentlich auch nicht möglich sein, dass er statt des IT-lers das tut!), ein Firmware-Backup aus einem Beatmungs-Medikamentierungs-Gerät (Intensiv-Station) zu holen, um es "testhalber" an die Firma zu senden, von der das Gerät stammt ... und wozu sollte er das auch tun? Solches sind Aufgaben der IT-Verantwortlichen. Und nur ihre. Sonst kann man die Abteilung ja schließen ...

    Also wieder mal eine Summe von Fehlern, die zum Glück glimpflich aufgefangen werden konnten. Was leider den Druck nicht erhöht, aus den konzeptionellen IT-Fehlern zu lernen; ein echter Daten-Gau mit mehrtätigem Stillstand, erfolgreicher Erpressung und entsprechender öffentlicher Absacke wären wesentlich druckvoller.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  2. Re: Wer findet die Fehler?

    Autor: tha_specializt 06.01.17 - 12:39

    Jo, das kommt eben dabei raus wenn man Studenten direkt auf Verantwortungsvolle Positionen setzt, Hobby-Frickler einstellt und sich nichtmal nen feuchten Kehricht um "das Computerzeugs da" kümmert weil "die Nerds das schon machen werden" ... sowas kommt u.A. auch dabei raus wenn man ausschließlich und explizit nach Schulzeugnissen einstellt - die besten Schüler sind meist die unfähigsten Fachmenschen mit gefährlichem Halbwissen ...



    1 mal bearbeitet, zuletzt am 06.01.17 12:39 durch tha_specializt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Technische Referenten (m/w/d) - Abteilung Informationsfreiheitsgesetz, Technologischer Datenschutz, ... (m/w/d)
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Bonn
  2. Mitarbeiter:in für Digitalisierung & Prozessoptimierung (m/w/d)
    MANDARIN IT, Schwerin, Rostock
  3. Sachbearbeiterin / Sachbearbeiter (w/m/d) im Referat KM 15 Produkte und Systeme für Verschlusssachen ... (m/w/d)
    Bundesamt für Sicherheit in der Informationstechnik, Bonn
  4. Systemadministrator (w/m/d) Applikationsbetrieb
    Oberfinanzdirektion Karlsruhe, Karlsruhe

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de