1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nordrhein-Westfalen: Mehrere…

IT-'Verantwortlichen': Fristlos kündigen.

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. IT-'Verantwortlichen': Fristlos kündigen.

    Autor: Tuxianer 16.02.16 - 14:15

    Ärzte sind, so hofft man, kompetent in Angelegenheiten der Medizin. Genauer: In ihrem hochkomplexen, sehr spezialisierten Teilgebiet. Ärzte in Krankenhäusern leisten in aller Regel Wechselschichten, haben oft viel zu lange Schichtzeiten, und dennoch erwartet man von ihnen allzeit volle Konzentration und Aktualität ihres Fachwissens und Könnens. Das geht, wenn überhaupt, nur dann, wenn sie sich wirklich nur darauf konzentrieren können. Und nicht Ihre Zeit und Konzentration auf Zeugs verschwenden müssen, um das sich andere Personen im Haus zu kümmern haben.

    Sollen sich Ärzte beschäftigen müssen mit Firmware-Updates der Telefonanlage - die danach meistens irgendwen irgendwohin verbindet, nur nicht mehr zuverlässig funktioniert?

    Sollen sie sich beschäftigen müssen mit Lösungen von Induktionsproblemen ihrer sensibelsten elektrischen Messgeräte (z. B. zur Messung von Nervenleitleistungen), weil hinter der Gipswand dummerweise nach der Renovierung ein großer Kabelbaum liegt, an dem nicht entstörte Großverbraucher wie die neue Lüftungsanlage angeschlossen sind?

    Sollen sie sich auskennen müssen mit Skripten in Anhängen von E-Mails ???

    Nein. Für diese Dinge gibt es Personal, und von dem darf man erwarten, dass es seine Aufgabe kompetent erledigt.

    Und in diesem Fall hätte dieses Personal seine Aufgabe gleich auf mehreren Ebenen und effektiv erledigen können.

    Für E-Mails von Absendern außerhalb des Krankenhauses gilt:
    - E-Mails von nicht verifizierbaren Absendern: Annahme generell ablehnen.
    - E-Mails mit ausführbaren Skripten: Annahme generell ablehnen.
    - E-Mails mit ausführbaren Anhängen: Annahme generell ablehnen.
    - E-Mails mit Datendatei-Anhängen, in denen ausführbare Programme oder Skripte enthalten sind: Annahme generell ablehnen.
    - E-Mails mit verschlüsselten Datei-Anhängen: Annahme generell ablehnen.
    - Verschlüsselte E-Mails von unbekannten oder nicht verifizierbaren Absendern: Annahme generell ablehnen.

    Für im Haus versandte E-Mails oder für solche, die von bekannten und verifizierbaren Absendern stammen, muss man etwas anders vorgehen:
    - Fall 1: Eine externe Firma, die der Krankenhaus-Verwaltung bekannt ist, sendet Aktualisierungen ihrer Programme per verschlüsselter E-Mail an ihre Kunden, also auch an dieses Krankenhaus. Der IT-Bereichsleiter hat den Schlüssel vorliegen, kann die E-Mail entschlüsseln, den Absender verifizieren und dann mit der betroffenen Abteilung einen Termin vereinbaren, wann die Aktualisierungen eingespielt oder besser testhalber eingespielt werden können. Stichwort: Backup!

    - Fall 2: Die Kommunikation zwischen Krankenhaus, Krankenversicherungen, Ärztehaus-Abrechnungsstellen o. Ä. wird irgendwann nicht nur digitalisiert, sondern endlich auch abgesichert: Die Daten werden verschlüsselt übermittelt. Auch in diesem Fall ist das Ver- und Entschlüsseln Aufgabe der IT-Abteilung, nicht der einzelnen Behandlungsstationen im Haus. Ein IT-ler, der nicht das Vertrauen der Krankenhaus-Leitung genießt, solche personenbezogenen Akten nicht missbräuchlich zu verwenden, darf dort nicht arbeiten; wenn da jemand kriminelle Absichten hat, kann er eh die Bildschirme und Tastaturen der entsprechenden Rechner ausspionieren, und auf den Datenbestand, sprich: den Server (Nur dorthin gehören Datendateien!), kann er eh zugreifen, weil er das zur Erfüllung seiner Aufgaben ganz einfach tun können muss.

    - Fall 3: E-Mails innerhalb des Hauses: Hier können ggf. Skripte enthalten sein, z. B. in einer Präsentation, die die PR-Abteilung erstellt und die man in der Radiologie für eine Besucher-Veranstaltung braucht. Hier ist also das Zustellen erlaubt; eine Prüfung der aktiven Inhalte auf potentielle Schadprogramme aber dennoch angesagt!

    Weiter: Auf den lokalen Maschinen sollten USB-Schnittstellen oder Speicherkarten-Einheiten entweder nicht vorhanden oder nicht zugänglich oder zumindest deren Nutzung den Anwendern untersagt und dem Administrator vorbehalten sein. So kann weder jemand Daten per Datenträger (USB-Stift oder -Festplatte oder Speicherkarte von der Kamera) aus dem Haus noch (versehentlich) verseuchte Daten ins Haus bringen.

    Weiter nun auf den einzelnen Systemen, also Schutz-Ebene 2: Lebenserhaltende oder diesem Zweck nahekommende Systeme sind ausfallsicher zu realisieren. Also: Virtualisierung auf technischer Ebene (Der Host arbeitet mit einem anderen Betriebssystem als die virtualisierten Clients mit ihren Programmen). Das den Anwendern sichtbare (virtualisierte) Betriebssystem und seine Programme mögen auf den lokalen Maschinen in solchen virtualisierten Client-Umgebungen (als Images, die der Host verwaltet) vorliegen, dann aber schreibgeschützt. Anwender-Daten werden nur auf dem Server / den Servern gespeichert und verwaltet. Wenn eine Client-Umgebung nicht mehr reagiert oder wenn dort nicht zulässige Prozesse starten oder wenn zulässige Prozesse Aktivitäten zu veranlassen versuchen, die nicht zugelassen sind (wie die Veränderung von Schreibrechten, Veränderungen am Betriebssystem oder an den installierten Programmen) - alles Dinge, die das Host-Programm feststellen kann -, wird sie unverzüglich abgeschossen und die Kontrolle an eine schlafende bereitliegende Klon-Kopie desselben Clients (in zulässigem Zustand!) übergeben. Auf dem Server / den Servern kann jeder Schreib- oder Löschversuch auf Kopien der Datendateien umgeleitet werden, so dass auch Verschlüsselungstrojaner, die von den Schutz- und Desinfektions-Programmen noch nicht entdeckt wurden, keine irreversiblen Schäden anrichten können. Änderungen am virtuellen Betriebssystem oder an den dort installierten Programmen darf nur der Administrator durchführen, und er verwendet auch nicht die aktuell laufende Client-Umgebung (die schlimmstenfalls doch unbemerkt infiziert ist), sondern eine, die er direkt nach ihrer Erstellung auf den Server und dort in einen Anwendern unsichtbaren und unzugänglichen Bereich übertragen hat. Vom Server kopiert der Administrator diesen virtuellen und nie von den lokalen Anwendern benutzten Client, aktualisiert diesen und speichert ihn lokal als neue Version, davon mehrere Kopien (für den reibungslosen Wechsel bei Problemen mit einer Inkarnation) und eine Kopie dieser neuen Version wiederum auf seinem Server. Nach seiner Abmeldung ist diese Kopie für die Anwender auf dem System nicht mehr sichtbar; sie arbeiten mit ihrer lokalen Kopie. Noch zur Netzwerk-Kommunikation: Client-Rechner haben keinen ungefilterten Zugang zum internen und schon gar nicht zum externen Netzwerk: Welche Maschinen welche anderen überhaupt sehen, kann und sollte restriktiv gehandhabt werden, um potentiell erfolgreiche Angriffe auf die lokalen Hosts (schwierig, aber nicht unmöglich) an ihrer Ausbreitung zu hindern. Und die Host-Umgebungen kann der Administrator auch in gewissen Abständen, z. B. wenn er diese aktualisiert, in gleicher Weise behandeln: Lokalen Host beenden, eine Kopie des Host-Images vom Server kopieren und die lokale Kopie "hart" ersetzen, dann die (hoffentlich saubere) lokale Kopie starten, aktualisieren und wieder beenden, um eine saubere Kopie von ihr auf dem Server zu sichern. Weiter sollte die Kommunikation nach außen (für die Hosts wie für die Clients) auf sehr wenige und überwachbare Protokolle und zumindest im lokalen Client (evtl. auch im Host) auf sehr wenige lokale Programme beschränkt werden.

    Dass man in solchen Umgebungen Schutzprogramme gegen Schadprogramme a) sehr aktuell halten und b) im Idealfall auch von anderen Betriebssystemen aus ausführen soll, steht sowieso außer Frage.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Fachinformatiker (m/w/d) IT Support
    Bank of America/Military Banking Overseas Division, Mainz-Kastel
  2. Service Manager (m/w/d) Datenbanksysteme
    operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg
  3. Manufacturing Digitalization Expert (m/f/d)
    Heraeus Quarzglas GmbH & Co. KG, Kleinostheim
  4. Mitarbeiter (m/w/d) für den IT First Level Support
    Diakonie Hasenbergl e.V., München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Thermaltake Level 20 RS ARGB für 99,90€ inkl. Versand statt ca. 160€ im Vergleich)
  2. 19,90€ + 5,99€ Versand bei Vorkasse (Vergleichspreis 29,99€)
  3. (u. a. Horizon Zero Dawn - Complete Edition [PC Version] für 18,49€, NBA 2K22 - NBA 75th...


Haben wir etwas übersehen?

E-Mail an news@golem.de