Das Dilemma mit dem Microsoft Security Patch
Als während der Vorlesung am Freitag auf einmal alle Rechner heruntergefahren werden, ist sofort klar: es gibt einen neuen Windows Security Patch – und zwar einen, den Microsoft als kritisch einstuft. Dabei definiert Microsoft eine kritische Schwachstelle als eine, „die für die Verbreitung eines Internet-Wurms ausgenützt werden kann, ohne dass hierfür spezielle Aktionen des Benutzers erforderlich sind“.
Einen Patch auf den Rechnern einer Hochschule automatisiert einspielen zu lassen, mag sinnvoll sein. Das gleiche auf Systemen zu tun, die als Medizinprodukt klassifiziert sind, kann schlicht unzulässig sein. Es zu unterlassen u.U. ebenfalls. Eine logische Zwickmühle, eine echte „catch-22“ Situation.
Bitte Patch nicht sofort aufspielen!?
Ein Medizinprodukt ist ein durch Qualitätssicherungsprozesse “zertifiziertes” System. Die Hersteller gewährleisten nur dann, dass Ihre Systeme die „grundlegenden Anforderungen“ einhalten, wenn die Anwender an diesen Systemen keine Änderungen vornehmen. Das Aufspielen eines Windows-Patches, der vom Hersteller nicht auf seine Auswirkung auf das System geprüft wurde, stellt eine solche Änderung dar.
Bitte Patch sofort aufspielen!?
Andererseits zeigt die Erfahrung nicht nur deutscher Kliniken, dass die medizinischen Informationssysteme durch Würmer bereits stillgelegt wurden: Die Schadsoftware hatte soviel Netzwerklast verursacht, dass die Röntgengeräte nicht mehr mit dem RIS und das KIS nicht mehr mit dem LIS kommunizieren konnten. Welche Folgen ein Monitoring-System hat, das aufgrund von Netzwerküberlastung keine Alarme mehr übertragen bekommt, kann sich jeder selbst ausmalen.
Was tun?
Wir empfehlen zumindest das Folgende:
- schützen Sie Ihre Infrastruktur durch geeignete Maßnahmen wie Firewalls, Antivirus-Software (muss bei Medizinprodukten mit dem Hersteller abgesprochen sein) und Verfahrensanweisungen für Anwender, IT und Medizintechnik. Auch eine Aufteilung der Netze in verschiedene Risikoklassen – so wie in einer der früheren Entwürfe zur IEC 80001 gefordert – kann eine geeignete Maßnahme sein.
- prüfen Sie die Dokumentation Ihrer Medizinprodukte auf Hinweise, wie im Fall eines (Notfall-) Patches verfahren werden soll. Kommunizieren und schulen Sie diese Maßnahmen. Sie finden keine Hinweise dazu? Dann
- verpflichten Sie Ihren Hersteller auf ein definiertes Vorgehen und legen Sie Verantwortlichkeiten vertraglich fest: In welcher Zeit muss wer welche Maßnahme ergriffen haben? Wer ist autorisiert, Patches aufzuspielen und wie viele Zeit wird dafür gewährt? Dieser Vertrag muss auch das Thema Haftung adressieren.
- dokumentieren Sie Ihre komplette Netzwerk- und Medizingeräte-Infrastruktur. Identifizieren Sie mögliche Risiken. Bestimmen Sie eine Person – den Risikomanager – der diese Analyse und mögliche Maßnahmen kontinuierlich aktualisiert.
- definieren Sie einen Eskalationsplan. Auch ein sehr gut abgesichertes Netzwerk ist gegen Schadsoftware nicht immun. Selbst andere Gründe können dazu führen, dass Teile Ihrer Infrastruktur nicht mehr verfügbar sind. Also regeln Sie:
- Wie soll verfahren werden?
- Wer übernimmt welche Aufgaben?
- Was sind die Verantwortlichkeiten von Medizintechnik und IT?
- In welcher Reihenfolge sind welche Systeme wieder herzustellen?
- Wann und wie wird der Hersteller eingebunden?
- Muss das BfArM informiert werden?
All diese Schritte zu planen und auch zu üben(!), ist aufwendig. Das stimmt. Im Krisenfall in unkoordinierte Panik zu verfallen, ist aber unprofessionell und stellt keine Alternative dar. Die Koordination sollte einem IT-Sicherheitsbeauftragten übertragen werden, also einem Experten in Sachen IT-Sicherheit. Leider haben nur die wenigsten Kliniken einen solchen Spezialisten und müssen sich notfalls externe Hilfe herbeiholen.
Herzliche Grüße, Ihr Christian Johner
11. November 2008 um 23:19
[...] kommt es mir vor, als hätte jemand eine Ergänzung zu meinem Blogbeitrag über den Security Patch schreiben wollen: In der aktuellen c’t (24/2008, S. 10) berichtet ein Leser über einen [...]