firestone3112
Goto Top

MS Hotfixes vs. MPG

Da meine Anleitung, welche ausschließlich Leuten helfen sollte, die sich den Conficker eingefangen haben und nicht über den Grund der Infektion diskutiert werden sollte, dies letztendlich doch ausgelöst hat, wollte ich hier gern zur Diskussion anregen.
Wie ich in der Anleitung schon schrieb, kennen die meisten Leute, welche schlau daher reden ("selber schuld, ungepatcht kommt nichts in das LAN") , die Verhältnisse in den Unternehmen gar nicht, denn...

...im Gesundheitswesen trifft man bspw. auf eine m.E. ganz besondere Situation.
Es gibt dort sehr viele Medizingeräte, welche auf Windows Betriebssystemen aufbauen. So z.B. in der Radiologie Speicherfoliengeräte wie der CR850 von Kodak, Spiro- /Ergometrie Geräte, Lungenfunktionskabinen oder in der Nuklearmedizin verwendete Nuklid-Messkammern.
Nun ist es so, dass ein ungepatchtes System mit dem Conficker bereits sämtliche Useraccounts sperrt da er via BruteForce die Passworte der Accounts zu hacken versucht. Wenn nun via GPO entsprechende Kennwortrichtlinien verteilt wurden (5 Anmeldeversuche dann 30 Minuten Account gesperrt) dann sind die Accounts eben permanent gesperrt.
Leider unterliegen Medizingeräte aber dem Medizinprodukte Gesetz (MPG). Dieses Gesetz sieht vor, dass die Betriebserlaubnis erlischt wenn der Auslieferungszustand verändert wird. Dies ist teilweise auch verständlich da es bei Medizingeräten zum Teil um Geräte geht, welche in den Menschen eingeführt werden (z.B. Endoskope) und diese bei fehlerhaften Patientenableitströmen eine Gefahr für das Leben des Patienten bedeutet.
Dies ist nun mit aufspielen eines Patches der Fall und auch jeder Techniker hat uns das Installieren von Patchen untersagt.
Das testen würde die Hersteller angeblich ein Vermögen kosten, da sie jedes Gerät vorhalten und jeden Patch testen und freigeben müssten (was nicht nur Hardware, sondern auch enorme Personalkosten verursacht) .
Die andere Seite ist aber, das alle diese Geräte ihre Messergebnisse an Subsysteme zur Auswertung, Aufbereitung oder Diagnose an diverse Subsysteme weitergeben.
Selbst wenn man nun sagt, dann weg vom Netz und die Daten via USB-Stick übertragen, wäre man, abgesehen von den fehlenden Ex- /Importfunktionen), bspw. vor dem Conficker auch nicht sicher, da dieser auch USB-Sticks befällt.
Im Grunde ist aber heut zu Tage jedes Unternehmen im Gesundheitswesen auf diese Medizingeräte angewiesen. Und gerade jetzt kann man ohne modernste IT im Gesundheitswesen nicht mehr überleben.
Wenn man nun auf eigene Faust patcht, welcher Admin weiß dann schon ob die Messungen nach einem Patch alle noch stimmen, denn wenn etwas nicht stimmt, dann gute Nacht.

Mich würde interessieren was Ihr dazu sagt, ob jemand eine Lösung für dieses Dilemma hat und hoffe, dass etwas Verständnis für solche Situationen entgegengebracht wird und nicht blind über Admins hergezogen wird, welche aus o.g. Gründen eben nicht sofort alles Patchen können.

Vielen Dank.


Beste Grüße.


Fire

Content-ID: 115698

Url: https://administrator.de/forum/ms-hotfixes-vs-mpg-115698.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

wiesi200
wiesi200 10.05.2009 um 21:32:40 Uhr
Goto Top
Ja was heist hier Lösung. Wenn da nichts Gepatcht werden darf dann wirst du wohl oder übel nichts Patchen dürfen.
Rede die Hersteller darauf an wie du dich verhalten sollst. Eftl. werden ja vereinzelt Patches frei gegeben.
Auserdem wird es noch viel mehr so Medizinische Einrichtungen geben wo man nachfragen könnte.

Das einzige was noch irgendwie helfen könnte Versuchen das System so abzuschotten das nicht's rein kommt.
Wenn Vernetzung notwendig ist dann kpl. eigenständig keine Internetanbindung.
Wenns USB gibt per Hardware Schloss sperrren usw.

ABER das alles ist von mir KEINE Empfehlung / Rat oder sonst irgendwas!

Das ist nur von einem unbeteiligten eine Sichtweise.
maretz
maretz 11.05.2009 um 07:45:18 Uhr
Goto Top
Naja - ich hab zum Glück mit den Med. Geräten nichts zu tun.

Aber: Mein Lösungsansatz wäre hier recht simpel: 2 Netzwerke. Eines nur mit den Med. Geräten - und eins für die normalen Büro-Arbeiten.

Ich denke das ist der einzige Weg ein solches Netz zu schützen (und hierbei ganz konsequent die Verwendung von externen Datenträgern verbieten - diese dürfen z.B. nur durch die EDV zwischen den beiden Netzen bewegt werden). Ich denke mal dein Endoskop oder Röntgen-Geräte brauchen eher selten den Zugriff aufs Internet (schön wenn der Arzt bei der OP noch die neuesten Artikel von heise.de lesen kann... - aber ich glaub der hat da besseres zu tun...). Und hier muss der Schutz der Patienten in jedem Fall vorrang haben.

Ich kann auch sehr gut verstehen warum die Firmen keine Patches usw. erlauben. Es sind hier schon zu oft Fehler dann passiert - die u.a. auch Menschenleben gekostet haben... So hat bei einem großen Automobil-Hersteller jemand den Beifahrer-Airbag deaktiviert indem er das Auslöse-Programm im Chip überschrieben hat. Er hat jedoch übersehen das es einen Backup-Chip gibt - und dieser hat bei einem Unfall einem Kind das Leben gekostet... Alternativ wäre da der F-16-Jäger bei dem man die Steuerung für den Auto-Piloten einfach aus einer Rakete übernommen hat. An sich ne gute Idee - zumindest solange man nicht über den Äquator fliegt... Die Rakete spart hier Speicherplatz indem man die Lenkkontrolle einfach negiert -> die Rakete fliegt halt "über Kopf" weiter. Stört die auch nich - wie rum die nu ins Ziel einschlägt intressiert keine Sau... Der Test-Pilot der F-16 fand das weniger komisch als sich sein Flieger auf den Kopf gedreht hat (zumal die Lenkklappen einer Rakete nur 0 oder 1 kennen...). Dem ist zwar so nichts passiert - aber LUSTIG fand der das bestimmt nicht...

Die Programme sind einfach zu komplex als das man ohne ausgiebige Tests heute noch einfach nen Patch in ein kritisches System einbringen darf/kann. Denn es ist nicht nur die Software die hier betroffen ist. Der Intel-Prozessor hatte z.B. mal einen Rechenfehler drin. Nehmen wir an das dein Programm zum Berechnen der Röntenstrahlung "weiss" das es bei der CPU einen Fehler gibt - und damit die Strahlung immer um 30% höher sein muss. Jetzt spielst du den Patch von MS ein - und die haben den Fehler auch bemerkt. Der Rückgabewert vom OS ist also schon 30% höher als das was die CPU auswirft... Dein Programm geht hin und addiert wieder 30%. Problem dabei: Ich vermute diese Strahlungsstärke wäre nicht direkt tötlich - und bis die Auswirkungen gesehen werden ist es vermutlich für einige dann auch schon zu spät...

Von daher kann man hier imo. nur mit zwei strikt getrennten Netzen arbeiten. Dann stehen eben beim Doc 2 Rechner auf dem Schreibtisch (mittels KVM-Switch kein so großes Problem). Z.B. 1 Thin-Client für die Medizin-Daten (anschluss an den Terminal-Server so das hier keine eigenen Datenträger lokal nötig/möglich sind) und 1 PC fürs Surfen oder Briefe schreiben... Ich persönlich denke das der Aufwand durchaus berechtigt wäre...
Firestone3112
Firestone3112 11.05.2009 um 10:25:41 Uhr
Goto Top
Hi,

Ihr habt natürlich Recht, das Problem ist nur, dass ich natürlich schon mit den Herstellern gesprochen habe und die Antwort habe ich oben schon geschrieben.
Ich finde, die Hersteller haben doch verdammt noch mal die Pflicht, wenn sie schon verkauft haben, auch dafür zu sorgen, dass diese Gertäte weiter verwendet werden können.

Ich meine auch das es gefärlich ist einfach drauf los zu patchen aber das könnte man ja mit einer Freigabe der Hersteller vermeiden. Dann müsten diese sich aber von jedem Gerät eines hinstellen und testen und das könnte ja den Profit schmälern.

Das mit den getrennten Netzen ist schon richtig nur haben diese Firmen ja Fernwartungszugänge um die Support - und damit auch die Ausfallzeiten so gering wie möglich zu halten. Diese haben wir bspw. alle nur als VPN aber wer weiß schon was im Netz einer anderen Firma rumspukt?
Und das alles abschalten und zurück in die Steinzeit der IT wegen Viren und Würmern ist doch auch hart.
Was wird einem aber übrig bleiben.

USB ist eh alles ausgeschaltet und war bei uns kein Problem.

BG

Fire
maretz
maretz 11.05.2009 um 22:00:37 Uhr
Goto Top
Moin,

für einen Fernzugriff ist eine Modem-Einwahl da ausreichend. Das geht natürlich langsamer - aber dafür ist das Netz dann auch definitiv von allen Patientendaten getrennt.

Zum Thema Support: Das Problem ist sicher nicht (nur) das die da jeweils 1 Gerät hinstellen müssten. Du musst ja auch ggf. Tests machen wie das Gerät sich in Verbindung mit anderen verhält. Es wäre ja doch etwas doof wenn dein Röntgengerät zwar gut läuft - aber wenn da jemand mit nem Mobil-Telefon auf 1m entfernung dran vorbeigeht dieses die Strahlung um 500% erhöht. Wie gesagt - ich komme nicht aus dem Bereich, aber ich gehe davon aus das ein solcher "Interaktionstest" für eine Zulassung nötig ist. Und somit muss bei einer Software-Änderung jeder einzelne Test wiederholt werden. Und DAS kostet sowohl Zeit als auch Resourcen - die hat keiner... Man stelle sich vor das man heute für jeden Patch für Windows XP solch einen Test machen muss (für jedes Gerät was in den letzten 10 jahren gebaut/verkauft wurde). 1x pro Monat bringt MS neue Patches raus -> d.h. die sind grad mal durch dann gehts von vorne los. Das wäre zwar sicher möglich - aber die Kosten würden dann entweder in den Support-Vertrag oder in den Gerätepreis mit rein müssen... Wenn du jetzt überlegst was nen Ing. so im Monat kostet - und den stellst du nur für Tests hin -> dann weisst du warum das nicht gemacht wird...
Firestone3112
Firestone3112 12.05.2009 um 20:07:06 Uhr
Goto Top
Hi,

Modemeinwahl geht aber bin ich da sicher vor dem was auf dem Rechner des Supporters ist?

Das die Kosten umgesetzt werden müssen ist klar aber wenn Du die unverschämten Kosten im Gesundheitswesen kenen würdest, dann würdest Du wahrscheinlich auch meinen, dass diese schon drei bis viermal mit drin sind.
Wieso gibt es wohl Rabatte von 40 -70% zum Listenpreis und wozu gibt es bei diesen Rabattspannen überhaupt noch einen Listenpreis?
Das ist schon nicht mehr Gewinnmaximierung sondern grenzt an Betrug, denn kleinere Arztpraxen zahlen dabei drauf.
Wenn ein HP StandardPC statt 800 Euro gleich mal 4500 Euro kostet nur weil er von dem Medizintechnikunternehmen zu einem Medizingerät mitgeliefert wird und wenn man sie direkt nebeneinander stehen hat und vergleicht und man nicht den geringsten Unterschied in der Hardware erkennen kann (auch keine A oder B Ware) dann sollte ein wenig "Ing." schon mit drin sein...
maretz
maretz 12.05.2009 um 23:16:43 Uhr
Goto Top
Moin,

was auf den Rechnern des Supporters ist brauch dich primär nicht intressieren. Denn wenn das Gerät eben an keinem Netz ist und nur vom Support der Virus o. whatever reinkommen konnte (dafür gibts ja dann ne Doku usw.) dann ist das DEREN Problem wie die das wieder grade biegen...

Das mit dem PC-Preis ist nichts sooo ungewöhnliches -> dafür brauchst du nicht in die Medizin zu gehen... Kauf dir mal einen PC von deinem Telefonanlagen-Hersteller. Dieser hat nen Aufkleber "Zertifiziert" irgendwo (wenn du glück hast) und ist ansonsten nen normaler 08/15-PC. ABER kostet dafür so um Faktor 2-4...

Das die Preisgestaltung sicher manchmal Merkwürdig ist -> gar keine Frage. Auch dafür brauchst du nicht in die Medizin zu gehen. ABER: Du darfst eines auch nicht vergessen: Du siehst hier die Kosten für das Gerät & ggf. den Test für die Auslieferung. Was ist mit den Entwicklungskosten? Nehmen wir heute mal an ich habe im Traum den Einfall für ein Gerät welches auf Knopfdruck dir ne neue Niere wachsen lässt (ich hab am WE Star-Trek "Zurück in die Gegenwart" gesehen - ich gebs ja zu ;)). Dann ist das Gerät aber ja noch nicht gleich da -> ich muss mir überlegen wie ich das baue, muss das ganze gerät bauen, testen, nachbessern, wieder testen, abnehmen lassen und kann es ggf. danach verkaufen. Grad bei Med. Geräten gehe ich davon aus das dieser Zyklus nicht nur 14 Tage dauert - sondern auch mal nen paar Monate/Jahre in Anspruch nimmt. Hier verdiene ich noch keinen Euro an dem Gerät. Jetzt hab ich das Gerät endlich fertig -> und der Typ vom TüV sagt mir: Nö! Das Gerät darf aufgrund Vorschrift 08/15a nicht so gemacht werden -> ich stehe ohne 1 Euro verdient zu haben wieder bei 0... Oder: Ich habe das Gerät soweit das ich das Testen möchte - und der vom TÜV sagt mir das eine andere Firma das Gerät grad letzte Woche hat patentieren lassen... Ich stehe wieder bei 0 da. Möglciherweise ist aber auch mit meinem Gerät gleichzeitig (oder 2-3 Wochen später) ein sehr ähnliches Teil aus China oder von einer anderen Firma auf dem Markt - für den halben Preis (weil die ja bei der Entwicklung jetzt nen Vorbild hatten...).

Diese Kosten musst du auch mit einrechnen - und eben das ich ja nicht nur Gerät 1 bauen/verkaufen möchte -> das was ich damit einnehme muss auch reichen um Gerät 2 zu entwickeln, bauen & zu verkaufen. Und natürlich möchte ich auch noch nen Haus, nen dicken Daimler usw....

Sicher ist das nicht immer fair wie die Verkäufer mit den Preisen umgehen. ABER: Der Kunde hat die Preise nicht zu entscheiden. Und wenn du 50% Rabatt bekommst - dann wird dieser Rabatt ja bereits mit einkalkuliert (bei 10% der Kunden is 50% Rabatt, bei 30% gibts noch 40% Rabatt o.ä.). Wobei dir grad aktuell bei dem Kauf von Geräten sicher auch eine Wirtschaftskriese in die Hände spielt -> da aktuell die Händler froh sind wenn die Bargeld in der Hand halten und das Gerät aus dem Lager is... Also lieber mit geringem Gewinn verkaufen und Geld in der Flosse haben als mit viel Verlust im Lager stehen haben... Dies ist auch kein Phänomän der Medizin - sondern gilt auch sonst... Wenn ich richtig in Laune bin dann kann ich auch handeln so das jeder Schotte mich wegen Geizes des Landes verweisen würde... andersrum handele ich oftmals auch gar nicht weil ich weiss das auch der Support Geld kostet. Und wenn man nur bis aufs Blut handelt dann muss man damit Rechnen das man bei ner Support-Anfrage auch eher weiter hinten liegt...
Firestone3112
Firestone3112 13.05.2009 um 20:12:18 Uhr
Goto Top
Hi maretz,

warum braucht mich das, was auf dem Rechner des Supporters ist, nicht interessieren?
Alle Medizingeräte sind in einem eigenen aber doch gleichen Subnetz im LAN und das muss auch so sein wie ich schon schrieb. Also kann doch ein PC eines Medizingerätes einen anderen infizieren und schon wäre das Kerngeschäft einer Klink platt.

Was die Telefon- o.ä. Hersteller betrifft, na ja, man kann sich natürlich immer ein Beispiel an einem noch höheren Haufen Sch... nehmen face-wink (Entschuldigung) aber es gibt z.B. auch Hersteller, die Ihre Produkte kostenlos hergeben und den Gewinn ausschließlich beim Support machen ohne unverschämt zu werden.
Da hast Du, glaube ich, mit "noch einem Haus und noch einem Daimler" eher vollkommen Recht.

Ich glaube aber trotzdem, dass Medizinprodukte oder allgemein das Gesundheitswesen etwas spezieller ist.
Die PCs sind ja dort oft nur notwendiges Beiwerk. Die Entwicklungskosten entstehen ja am eigentlichen Medizingerät und an der Software, nicht aber am zugekauften Beiwerk und da wird genau wie auf die Rechner aufgeschlagen (was wie Du richtig erklärt hasst, an den eigentlichen Medizingeräten auch legitim ist).
Aber mal abgesehen davon, bei einem Telefon gehe ich zum Nächsten wenn mir etwas nicht passt. Das ist bei Med.Produkten nicht so einfach und der Patient hat eh keine Lobby.

Die Krise ist in den Kliniken i.ü. scheinbar nicht angekommen oder eigentlich doch, durch das Konjunkturpaket habe Kliniken gleich mal einen richtigen Zuschuss bekommen und die Patientenzahlen (und damit der Gewinn) gehen auch hoch, da mehr Menschen krank werden (also wirklich krank werden, nicht spielen).

Aber laß uns beim Thema bleiben face-wink

BG

Fire