mysticfoxde
Goto Top

Kritische Sicherheitslücken in der medizinischen Infrastruktur!

Moin Zusammen,

das folgende Video von Jean Pereira sollte sich jeder mal ansehen.

https://www.youtube.com/watch?v=JpZFBp1WGgU
๐Ÿ˜”

https://www.linkedin.com/posts/jeanpereira00_in-diesem-video-spreche-ich ...
jens pereira

Gruss Alex

Content-Key: 1314838854

Url: https://administrator.de/contentid/1314838854

Printed on: February 21, 2024 at 05:02 o'clock

Member: chillb3rt
chillb3rt Feb 07, 2024 at 22:00:57 (UTC)
Goto Top
Werde den Artikel bei LinkedIn teilen, da das Thema zu wichtig ist.
Member: MysticFoxDE
MysticFoxDE Feb 07, 2024 at 22:05:30 (UTC)
Goto Top
Moin @chillb3rt,

Werde den Artikel bei LinkedIn teilen, da das Thema zu wichtig ist.

๐Ÿ‘๐Ÿ‘๐Ÿ‘ und Danke.

Gruss Alex
Member: em-pie
em-pie Feb 07, 2024 at 22:12:05 (UTC)
Goto Top
Gruselig…

Weniger, dass es Lücken gibt, denn die wird es immer geben. Viel schlimmer, wie Hersteller und „Vorsteher“ mit den Infos um das bestehen von Sicherheitslücken umgehen…
Member: MysticFoxDE
MysticFoxDE Feb 07, 2024 updated at 22:28:10 (UTC)
Goto Top
Moin @em-pie,

Weniger, dass es Lücken gibt, denn die wird es immer geben. Viel schlimmer, wie Hersteller und „Vorsteher“ mit den Infos um das bestehen von Sicherheitslücken umgehen…

das Schlimme ist, dass das was der Jean da anspricht, so eigentlich für so gut wie alles gilt wo "IT/Digitaltechnik" drinsteckt und diese vor allem auch noch eine Möglichkeit hat nach aussen zu kommuniziert und oder von aussen, per LAN/WLAN/Bluetooth oder was auch immer angesprochen werden kann. ๐Ÿ˜”

Industrieanlagen, Autos, Verkehrssteuerung, die Liste ist leider mittlerweile fast schon unendlich und wird auch täglich zunehmend immer länger. ๐Ÿ˜ญ

Und auch das Vorgehen sowohl der vom Jean angesprochenen Experten, die vorher nichts gefunden haben oder der Hersteller die nur zögerlich oder gar nicht auf die Lücken reagieren, ist so auch in anderen Branchen, mittlerweile leider fast schon alltäglich. ๐Ÿ˜”

Für mich stellt sich in Anbetracht der aktuellen Entwicklung mittlerweile nicht mehr die Frage, ob das Ganze mal kräftig in die Luft fliegen könnte, sondern eher, wann es geschehen wird.

Gruss Alex
Member: em-pie
em-pie Feb 07, 2024 updated at 22:46:26 (UTC)
Goto Top
Und auch das Vorgehen sowohl der vom Jean angesprochenen Experten, die vorher nichts gefunden haben oder der Hersteller die nur zögerlich oder gar nicht auf die Lücken reagieren, ist so auch in anderen Branchen, mittlerweile leider fast schon alltäglich. ๐Ÿ˜”
Und dabei wäre es für die Experten, dank der Hersteller, ja eine Gelddruckmaschine…

Aber neben den Experten sehe ich es auch nicht selten, dass den Verantwortlichen (damit meine ich nicht die operativ agierenden IT-Mitarbeiter) Sicherheit wichtig ist, solange sie nicht unkomfortabel oder gar kostspielig wird…
Da kannste als ITler beraten/ meckern wie du willst, wenn es von oben weggewunken wird, weil der Passwort-Manager unbequem in der Bedienung ist oder Missachtung von Betriebsvereinbarungen „übersehen“ werden. Da muss man sich auch nicht wundern.
Aber das ist bei dem obigen Artikel ja nicht überall gegeben. Als Unsachkundiger (Krankenhaus) holt man sich vermeintliches fachkundiges Personal, haut teuer Geld raus und hätte es auch lassen können…

Grrrrr
Member: commodity
commodity Feb 07, 2024 at 22:48:43 (UTC)
Goto Top
Na ja, das ist für mich eher Marketing. Die medizinische Infrastruktur ist, wie jeder Insider weiß, eine einzige Sicherheitslücke. Da juckt ein angreifbarer Herzschrittmacher auch nicht mehr.

Die Threads über den Umgang mit Passwörtern, Updates und Datensicherheit generell in der Medizin hatten wir hier ja nun schon zur Genüge.

Vor gerade einer Woche hat sich der Chefsupporter eines Praxissoftwareherstellers im Gespräch bei mir beklagt, dass ich mir anmaße, die Passwörter und Pins für Konnektor und Kartenterminals individuell (je Praxis) festzulegen. Ich hab ihm gesagt, dass ich das gruselig finde, dass ich bundesweit in eine beliebige Arztpraxis gehen kann und bei faktisch jedem Hersteller/Systempartner auf gleiche PW stoße. Die TI kostet das Gesundheitssystem (als angeblich total sicheres Netz) Milliarden und alle haben die gleichen Passwörter? Anwort: Alles andere macht dem Support zu viel Arbeit face-big-smile

Von PVS- oder den Rechner-Logins selbst ganz zu schweigen. Ein bisschen was hat sich softwareseitig im letzten Jahr bewegt - Der Zwangswechsel von Passwörtern wurde bei einigen PVS und bei den Konnektoren eingeführt. Ein Unsinn, der noch nie für Sicherheit sorgte und von dem sich selbst MS, die das lange favorisiert hatten, vor einigen Jahren verabschiedet hat. Der Sicherheit schadet das in der Praxis eher. MS (und das NIST) geben es auf, die deutsche Medizininformatik führt es ein. Klar. Wie immer eben. Wir hinken 10 Jahre hinterher. Da ist das Wissen eben noch nicht angekommen.

Wenn es nachweislich Tote gibt, gibt es auch Haftungsfolgen und dann - erst dann - ändert sich da was.

Viele Grüße, commodity
Member: StefanKittel
StefanKittel Feb 07, 2024 updated at 23:38:09 (UTC)
Goto Top
Hallo,

Danke an Jean für seine Arbeit und Offenheit.
Gleich mal seinen Kanal aboniert, das Video gelikt und Links dazu verteilt.

Man weiß ja immer gar nicht wo man anfangen soll.

Stichwort der Konnektoren.
Anfang 2020 war mit bei mehreren Zahnärzten aufgefallen, dass im Konnektor der Benutzer wbadmin und das fast gleiche Kennwort eingerichtet war. Kannte man eines, kannte man alle.
Ich hatte damals mit Martin Tschirsich hin und her geschrieben und danach die Telematik, die BKZV und CGM informiert. Antwort: Totenstille. Kurz danach wurde die regelmäßige Kennwortänderung eingeführt. Ein Schelm wer böses dabei denkt. Kann natürlich auch zeitlicher Zufall gewesen sein face-smile

Immer wenn man irgendwo mit dem Finger drauf zeigt und sagt "Hier, schaut doch mal. Das ist schlecht umgesetzt und könnte ein Problem sein oder werden" kommt als Antwort "Oh neee. Der nun wieder.".

Als wenn es darum geht denen den Tag vorsätzlich zu versauen. Dabei haben die es doch verbockt und man versucht nur zu helfen.

Und ja, natürlich ist es nervig. Wenn Jemand irgendwo 1-2 Tage in der Entwicklung eingespart hat, kann es halt passieren, dass man zu 10.000 Geräten bundesweit hinfahren muss um ein Update einzuspielen.
Kann man so machen, ist aber sch....

Stefan
Member: Vision2015
Vision2015 Feb 08, 2024 at 05:08:07 (UTC)
Goto Top
Moin...
Zitat von @commodity:

Vor gerade einer Woche hat sich der Chefsupporter eines Praxissoftwareherstellers im Gespräch bei mir beklagt, dass ich mir anmaße, die Passwörter und Pins für Konnektor und Kartenterminals individuell (je Praxis) festzulegen.
ach, das gespräch hatte ich auch face-smile
Ich hab ihm gesagt, dass ich das gruselig finde, dass ich bundesweit in eine beliebige Arztpraxis gehen kann und bei faktisch jedem Hersteller/Systempartner auf gleiche PW stoße.
ja... das habe ich so ähnlich gesagt, mir wurde dann gesagt, dass muss so, wegen einheitlichen support bla bla bla...

Die TI kostet das Gesundheitssystem (als angeblich total sicheres Netz) Milliarden und alle haben die gleichen Passwörter? Anwort: Alles andere macht dem Support zu viel Arbeit face-big-smile
ich sag nur HANNOVER face-smile


Viele Grüße, commodity

Frank
Member: Visucius
Visucius Feb 08, 2024 updated at 05:27:37 (UTC)
Goto Top
Naja, nach dem „You had one job“-Bitlocker-Thema gestern wundert einen doch eigentlich nix mehr.

Bei vielen Themen fehlen mir da mittlerweile die Worte. Haften tut da am Ende eh niemand für irgendwas, weil das Mantra gilt: „Software-Fehler seien unvermeidbar“
(bzw. Softwarefehler erhöhen (und vergolden) die Kundenbindung)
Member: radiogugu
radiogugu Feb 08, 2024 at 06:02:45 (UTC)
Goto Top
Moin.

Zitat von @community:
Wenn es nachweislich Tote gibt, gibt es auch Haftungsfolgen und dann - erst dann - ändert sich da was.

Und das, liebe Leute, kann es wirklich nicht sein.

Dieses Sparen um des Sparens willen ist einfach erbärmlich.
Generell sind das absolut kranke Gegebenheiten, egal in welchem Sektor.

Gruß
Marc
Member: Vision2015
Vision2015 Feb 08, 2024 at 06:39:41 (UTC)
Goto Top
Moin...

ich glaube irgendwie Jean Pereira kein Wort!
wenn der Junge Mann wirklich in einem KH Geräte auf Sicherheit überprüft hat, und Mängel gefunden hat / hätte, auch wenn diese von ihm gefixt worden sind- hat er aber dazu eine Verschwiegenheitspflicht!
mit etwas Glück wird Jean Pereira Krankenhäuse und Praxen nur noch als Patient betreten, oder in der IT keinen Job bekommen!
Sorry, sowas geht überhaubt nicht, das ist Sensationsjournalismus!
das es überall Sicherheitslücken gibt, ist echt kein geheimnis mehr- natürlich müssen diese lücken behoben werden.

Frank
Member: em-pie
em-pie Feb 08, 2024 updated at 07:20:23 (UTC)
Goto Top
ich glaube irgendwie Jean Pereira kein Wort!

Dinge zu Hinterfragen ist heutzutage wichtiger denn je, jedoch glaube ich schon daran, dass die Aussagen hier korrekt sind.
Er hat allen Beteiligten (nach eigener Aussage) ja hinreichend Zeit gegeben, Stellung zu nehmen bzw. Sich der Sache anzunehmen.
Ein halbes Jahr später hat er das erst publik gemacht.
Und das „nur“, um darauf Aufmerksam zumachen und die Hersteller in Zugzwang zu bringen.

Was hätte er sonst tun sollen?
Gut, sich ans BSI, die zuständigen Landesdatenschutzbeauftragten oder Heise Investigativ wenden vielleicht. Ob die ersten beiden genannten aber wirklich aktiv geworden wären.
Oder vielleicht hat er das bereits getan, mit entsprechendem Erfolg.

Der Typ macht mir aber nicht den Eindruck, als wolle er wie die meisten Influencer einfach nur im Rampenlicht stehen…
Member: nachgefragt
nachgefragt Feb 08, 2024 updated at 13:31:31 (UTC)
Goto Top
Zitat von @Vision2015:
Sorry, sowas geht überhaubt nicht, das ist Sensationsjournalismus!
Schön das jemand noch konstruktiv über den Tellerrand hinausblicken kann! Die Mediengewalt nimmt zunehmend Einfluss auf jeden Lesenden, nicht selten nur in die vorgekaute Richtung.

Das es gravierende Mängel im Gesundheitssystem gibt ist nicht neu, überhaupt gar nicht neu, nur hobelt nur die Schlagzeilen entsprechend um*. Das sich Unternehmen nicht an TOMs halten auch klar, trifft auch hier zu. Gewohnheit, Komfort, Cloud,... alles kritische Faktoren.

Wer mit dem Thema "Digitalisierung im Gesundheitswesen" bzw. "Telematikinfrastruktur" konfrontiert ist hat das sicherlich noch mehr im Auge.

*EDIT
Der Klassiker an Weihnachten wenn "die Awareness" für Armut und Hunger auf der Welt aufgerufen wird, natürlich mit Spendenaufruf. Auch das ein 24/7/365 Thema, seit Dekaden.
Member: Th0mKa
Th0mKa Feb 08, 2024 at 07:37:57 (UTC)
Goto Top
Zitat von @em-pie:

ich glaube irgendwie Jean Pereira kein Wort!

Dinge zu Hinterfragen ist heutzutage wichtiger denn je, jedoch glaube ich schon daran, dass die Aussagen hier korrekt sind.
Er hat allen Beteiligten (nach eigener Aussage) ja hinreichend Zeit gegeben, Stellung zu nehmen bzw. Sich der Sache anzunehmen.
Ein halbes Jahr später hat er das erst publik gemacht.
Und das „nur“, um darauf Aufmerksam zumachen und die Hersteller in Zugzwang zu bringen.

Moin,

normalerweise würde ich dir hier recht geben, aber bei Jean Pereira bin ich grundsätzlich skeptisch.
https://youtu.be/3FeAAQlUSJ4?si=id4xL4ib1ZpcKZi5

/Thomas
Member: Xaero1982
Xaero1982 Feb 08, 2024 at 07:47:35 (UTC)
Goto Top
Mal unabhängig vom Vorhandensein:

Er postest es vor 10 Monaten bei LinkedIn. Er hat - laut Video - die Entwickler am 30.07.2023 kontaktiert. Er hat es also schon lange vor Kontaktaufnahme veröffentlicht und schreibt aber bei LinkedIn, dass er sie kontaktiert habe, sie aber nicht reagieren würden.

Nun wird man sehen, ob es durch die Medien wandert, wenn Golem es veröffentlichen sollte und die Hersteller so zum Handeln gezwungen werden.

Hier sollte es massive Geldstrafen geben, wenn nachweislich bekannt war, dass die Geräte Sicherheitslücken aufweisen.
Member: Boomercringe
Boomercringe Feb 08, 2024 at 08:59:47 (UTC)
Goto Top
Interessant und beunruhigend...
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 updated at 09:03:17 (UTC)
Goto Top
Moin @Th0mKa,

normalerweise würde ich dir hier recht geben, aber bei Jean Pereira bin ich grundsätzlich skeptisch.
https://youtu.be/3FeAAQlUSJ4?si=id4xL4ib1ZpcKZi5

Jean Pereira und LiveOverflow sind zwei fast komplett unterschiedliche Charakter und daher beisseln die sich wahrscheinlich auch so gerne.

Ausserdem mach Jean Pereira ja auch kein Geheimnis um die Hersteller und die Lücken die er im KK gefunden hat.

https://docs.google.com/spreadsheets/d/19Mik8W8m1Nqmen05mZdAvBauR4bFTso4 ...

Und ich finde diese durchaus sehr plausibel.

Zudem, wenn an der Geschichte nichts dran währe, dann hätte der eine oder andere Hersteller schon längst die Anwälte auf Jean Pereira losgeschickt und hätte per einstweiliger Verfügung auch schon längst das Posten darüber unterbunden.

Von meiner eigenen Seite kann ich nur so viel dazu sagen.
In einem der letzten Hotels wo ich übernachtet habe, habe ich keine 5 Minuten benötigt um durch den vom Hotel bereitgestellten Hotspot, an deren Haussteuerung zu kommen. ๐Ÿ™ƒ

Bei einem meiner letzten besuche in einem Krankenhaus, habe ich in einer Nische im Flur welche öffentlich zugänglich war, mal wieder einen Rittal Netzwerkverteiler entdeckt und habe der Neugierde halber gleich mal den standard Rittal Schlüssel den ich immer am Schlüsselbund mit dabei habe, mal kurz an diesem ausprobiert und schon war der Schrank offen und das war bereits schon das Xte Krankenhaus, wo dieser banale Trick leider funktioniert hat. ๐Ÿ˜”

Und auch das Thema mit dem IT-Chaos bei Kommunen und Bildungseinrichtungen ist auch nicht wirklich aus der Luft gegriffen. Siehe aktuelle Meldungen über die immer häufigeren und auch grössere "Einschläge". ๐Ÿ˜”

Sprich, ganz abgesehen von der Aufbereitung, ist an dem Thema das Jean Pereira mit seinem Beitrag ansprechen möchte, auf jeden Fall sehr viel Wahrheit dran.

Gruss Alex
Member: Tobi-2001
Tobi-2001 Feb 08, 2024 at 09:17:45 (UTC)
Goto Top
Kannst Du zu denen Kommenen Excel Datei auch den Link zu der Google Seite posten, würde mir gerne das genauer anschauen. Danke!

Zitat von @MysticFoxDE:

Und auch das Thema mit dem IT-Chaos bei Kommunen und Bildungseinrichtungen ist auch nicht wirklich aus der Luft gegriffen. Siehe aktuelle Meldungen über die immer häufigeren und auch grössere "Einschläge". ๐Ÿ˜”

Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 09:20:09 (UTC)
Goto Top
Moin @em-pie,

Was hätte er sonst tun sollen?
Gut, sich ans BSI, die zuständigen Landesdatenschutzbeauftragten oder Heise Investigativ wenden vielleicht. Ob die ersten beiden genannten aber wirklich aktiv geworden wären.
Oder vielleicht hat er das bereits getan, mit entsprechendem Erfolg.

Der BSI könnte sich beim Krankenhaus Thema wahrscheinlich schon mit einklinken, aber spätestens was das Thema Kommunen und Bildungseinrichtungen angeht, hat der BSI, weil Bundesbehörde, leider so gut wie überhaupt nichts zu sagen. ๐Ÿ˜”

Und was Heise und die Landesdatenschutzbeauftragten angeht, die kannst man bei solchen Geschichten leider knicken.

@4472
Ja, mir steckt die Geschichte mit QNAP und auch die mit ASV-BW, ASV-BY u.s.w. noch etwas im Hals, sorry.

@bdsb & LDSB's
Für euch gilt das mit dem ASV-BW, ASV-BY und dem einem oder andern weiteren ASV übrigens auch.

Der Typ macht mir aber nicht den Eindruck, als wolle er wie die meisten Influencer einfach nur im Rampenlicht stehen…

So sehe ich das auch, ja er überdreht manchmal etwas, aber die Basis ist meiner Ansicht nach durchaus weitestgehend stimmig.

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 09:22:51 (UTC)
Goto Top
Moin @Tobi-2001,

Kannst Du zu denen Kommenen Excel Datei auch den Link zu der Google Seite posten, würde mir gerne das genauer anschauen. Danke!

meinst du diesen hier ...
https://docs.google.com/spreadsheets/d/1ODtm1aYArf_8dEjgVgevTf-QZxsQhHTq ...

Gruss Alex
Mitglied: 3063370895
3063370895 Feb 08, 2024 at 09:23:21 (UTC)
Goto Top
Jean Pereira und LiveOverflow sind zwei fast komplett unterschiedliche Charakter und daher beisseln die sich wahrscheinlich auch so gerne.

Genau, Jean Pereira ist ein Möchtegern-Hacker, LiveOverflow (der übrigens auch mit stacksmashing/Thomas kooperiert) hingegen nicht.
Member: Tobi-2001
Tobi-2001 Feb 08, 2024 at 09:41:37 (UTC)
Goto Top
Ja, Danke!

Okay, hier scheinen die meisten der Lücken schon behoben zu sein, habe gedacht es gibt noch eine Excel Datei wo die Kommunen noch schlafen :D

Zitat von @MysticFoxDE:

Kannst Du zu denen Kommenen Excel Datei auch den Link zu der Google Seite posten, würde mir gerne das genauer anschauen. Danke!

meinst du diesen hier ...
https://docs.google.com/spreadsheets/d/1ODtm1aYArf_8dEjgVgevTf-QZxsQhHTq ...
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 09:50:15 (UTC)
Goto Top
Moin @3063370895,

Genau, Jean Pereira ist ein Möchtegern-Hacker, LiveOverflow (der übrigens auch mit stacksmashing/Thomas kooperiert) hingegen nicht.

das mag schon sein und dennoch finde ich das Video von LiveOverflow eher das gefährlichere, weil er damit unter dem Strich, ein durchaus sehr präsentes Problem, nur unnötig verharmlost anstelle mit seinen Möglichkeiten selber aktiv auf dieses hinzuweisen. ๐Ÿ˜”

Ich bin mir sehr sicher, dass wenn sich beide mal gemeinsam in einem Krankenhaus zu einer Analyse treffen würden, sie auch beide im Anschluss, vielleicht bei einem versöhnenden Bierchen, mehr als Genug an von beiden Seiten gefunden und wahrscheinlich sehr unterschiedlichen Problemen zu besprechen hätten. ๐Ÿ˜‰

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 updated at 09:57:18 (UTC)
Goto Top
Moin @Tobi-2001,

Okay, hier scheinen die meisten der Lücken schon behoben zu sein, habe gedacht es gibt noch eine Excel Datei wo die Kommunen noch schlafen :D

ich habe mal eine ähnliche Aktion gemacht und trotz dessen, dass ich damals den BSI mit im Boot hatte, dauerte es bei einigen Kommunen zum Teil mehrere Monate, bis die entsprechenden Lücken dann vollends geschlossen waren. ๐Ÿ˜”

Gruss Alex
Member: PeterGyger
PeterGyger Feb 08, 2024 at 10:06:06 (UTC)
Goto Top
Hallo

Bitte "Hold your Horses".

Ich habe in den letzten Jahren im Third Level Support eines grösseren Spitals gearbeitet.
Daher kann ich mit Erfahrungen aus erster Hand sprechen.

Die Situation dort ist sehr komplex und die Netz Verantwortlichen sind sich sehr wohl bewusst, dass der Cyberterrorismus auch vor zivilen Infrastrukturen nicht zurück schreckt. "Geld", "Politik", "Prestige" jeder Fachabteilung ist das eine.

Das andere kennt man auch aus anderen Branchen. Ein Lieferant hat ein quasi Monopol für einen Apparat. Leider kann dieser nur über SMB V1 kommunizieren. Soll man den Patienten mitteilen, dass man aus IT Sicherheitsgründen die Behandlung nicht durchführen kann, weil der Apparat keine aktuell als sicher geltenden Protokolle verwendet? Oder ein Forscher, der in Medizin / Pharmazie führend ist, jedoch weder Zeit noch Geld für IT hat und daher seine Lösung auf einem WinXP SP1 PC anbietet...

Ihr dürft gerne Alarm schlagen und grosse mediale Wellen produzieren. Aus das Ihr Euch dann ev. besser fühlt, wird niemandem geholfen. Nur meine ganz persönliche Meinung / Erfahrung. "Up to you".

Beste Grüsse
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 10:19:54 (UTC)
Goto Top
Moin @PeterGyger,

Oder ein Forscher, der in Medizin / Pharmazie führend ist, jedoch weder Zeit noch Geld für IT hat und daher seine Lösung auf einem WinXP SP1 PC anbietet...

ähm, also das mit "führend" + "Pharmazie" + "jedoch weder Zeit noch Geld für IT hat" ist jetzt aber hoffentlich nur als Witz gedacht. ๐Ÿคจ

Gruss Alex
Mitglied: 3063370895
3063370895 Feb 08, 2024 at 10:23:37 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @PeterGyger,

Oder ein Forscher, der in Medizin / Pharmazie führend ist, jedoch weder Zeit noch Geld für IT hat und daher seine Lösung auf einem WinXP SP1 PC anbietet...

ähm, also das mit "führend" + "Pharmazie" + "jedoch weder Zeit noch Geld für IT hat" ist jetzt aber hoffentlich nur als Witz gedacht. ๐Ÿคจ

Gruss Alex

So ist nun mal die Praxis, aus der Sicht der C-Ebene verdienen IT und Security erstmal kein Geld, also wird dort nur das Nötigste gemacht. Das ist ein ganz großes Problem, vor allem hier in DE, aber auch überall anders.

Es muss immer erst etwas passieren, bevor diese Themen ernst genommen werden.

-Thomas
Member: Visucius
Visucius Feb 08, 2024 updated at 10:46:38 (UTC)
Goto Top
Eigentlich ne Frechheit, dass das Problem immer wieder beim "Endkunden" abgeladen wird! Wieder so ne Chimäre. Der Kunde kauft ne Funktionalität in HW und SW und die muss gefälligst in sich inhärent sicher sein. Punkt!

Als wenn BMW Dir erklärt: "Fahren Sie einfach vorsichtiger, dann fällt Ihnen das Rad auch nicht ab".

Wie das läuft ist doch spätestens seit Intel bekannt: Im Prinzip ein Billion-Produktiv-Schaden bei den Kunden, weil mehrere Generationen an HW mit dem Patch bis zu 30%(?) langsamer liefen.

Kein Aufschrei, keine Klagen, nicht mal Wiedergutmachung in irgendeiner Hinsicht! Einfach Business as usual weil nächstes Jahr schieben Sie uns Ihr Geld eh wieder in den Rachen! God bless America!
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 11:07:05 (UTC)
Goto Top
Moin @PeterGyger,

Soll man den Patienten mitteilen, dass man aus IT Sicherheitsgründen die Behandlung nicht durchführen kann, weil der Apparat keine aktuell als sicher geltenden Protokolle verwendet?

wenn diese Sicherheitslücken in irgend einer Weise bei der Behandlung ein Risiko für den Patienten darstellen, ist das Informieren des Patienten darüber, ganz sicher keine Sache von soll sondern eher eine von muss und zwar sowohl nach BGB und auch AMG und auch TPG und auch HWG und auch PatG!

Gruss Alex
Member: Visucius
Visucius Feb 08, 2024 at 11:12:51 (UTC)
Goto Top
Dann wird der Aufklärungsbogen halt noch um einen Punkt erweitert. Als wenn das irgendwas an der Situation grundlegend ändern würde ๐Ÿ˜
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 11:26:34 (UTC)
Goto Top
Moin @3063370895,

Es muss immer erst etwas passieren, bevor diese Themen ernst genommen werden.

Was bitte muss den noch alles geschehen ...

https://web.archive.org/web/20240129063107/https://forumwk.de/wp-content ...

... damit die entsprechenden Entscheider aus ihren manchmal komplett an der Realität vorbeigehenden Träumen ...

IT-Planungsrat - Umsetzung NIS-2-Richtlinie - Absolutes Armutszeugnis

... am besten jetzt und nicht erst morgen aufwachen, wenn es vielleicht schon zu spät ist?

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 11:35:08 (UTC)
Goto Top
Moin @Visucius,

Dann wird der Aufklärungsbogen halt noch um einen Punkt erweitert. Als wenn das irgendwas an der Situation grundlegend ändern würde ๐Ÿ˜

na ja, bei mein Hausdrachen auf jeden Fall, denn wenn dieser auf einem Aufklärungsbogen irgendetwas von einem Risiko für ihr Leib und Leben durch die bei der Behandlung verwendete "IT" lesen würde, ist er garantiert schneller weg wie du gucken kannst und kommt auch nicht so schnell wieder. ๐Ÿคช

Gruss Alex
Member: em-pie
em-pie Feb 08, 2024 updated at 11:37:31 (UTC)
Goto Top
Das andere kennt man auch aus anderen Branchen. Ein Lieferant hat ein quasi Monopol für einen Apparat. Leider kann dieser nur über SMB V1 kommunizieren. Soll man den Patienten mitteilen, dass man aus IT Sicherheitsgründen die Behandlung nicht durchführen kann, weil der Apparat keine aktuell als sicher geltenden Protokolle verwendet? Oder ein Forscher, der in Medizin / Pharmazie führend ist, jedoch weder Zeit noch Geld für IT hat und daher seine Lösung auf einem WinXP SP1 PC anbietet...

Das ist im übrigen nciht nur ein Punkt, den man in der MEdizin finden kann.
In der Industrie häufig nichts anderes.
Da hat man vor 20 Jahren eine Maschine für ein paar Millionen eingekauft, die damals mit Windows XP auf "Stand-der-Technik" war und rödelt weiterhin gewinnbringend vor sich hin.

Man kauft ja nicht alle 7 Jahre eine Neue, nur weil der OS-Hersteller keine Updates mehr bereitstellt.
Man kann aber durchaus "erwarten", dass man vor die ganze Maschine eine kleine Appliance hängt, die quasi das interne Maschinen-/ Geräte-Netz vom Netz des Kunden abschottet. Dann käme schon mal
a) nicht jeder dran
b) lassen sich Reverse Proxies einbinden, um so Themen wie TLS1.0, SMBv1 abzufedern oder auch DoS-Angriffe zu kompensieren (ja, da gibt es noch drülfzig andere Vektoren für Angriffe, aber,...).
Und so eine Appliance kann man eher auf Stand halten/ tauschen denn eine ganze Maschine.

Gut, vor 20 Jahren waren die Zahl der vernetzten Systeme bzw. den einhergehenden Gefahren noch nicht in der Masse da, wie sie es heute sind....


Edit:
Zitat von @MysticFoxDE:

Moin @Visucius,

Dann wird der Aufklärungsbogen halt noch um einen Punkt erweitert. Als wenn das irgendwas an der Situation grundlegend ändern würde ๐Ÿ˜

na ja, bei mein Hausdrachen auf jeden Fall, denn wenn dieser auf einem Aufklärungsbogen irgendetwas von einem Risiko für ihr Leib und Leben durch die bei der Behandlung verwendete "IT" lesen würde, ist er garantiert schneller weg wie du gucken kannst und kommt auch nicht so schnell wieder. ๐Ÿคช
Fördert dann die Reduktion der KV-Beiträge - am Ende also beinahe eine Win-Win-Situation face-big-smile


Und wie Jean Pierre (oder auch andere) jetzt nun die Themen publiziert, sei mal zweitrangig, denke ich. Wichtig ist, dass die Gefahren mal "ausgesprochen" werden. Wie soll denn sonst auf beratungsresistente Hersteller, Betreiber oder Politik eingewirkt werden, wenn nicht durch die Öffentlichkeit (und damit ans Image gehend)?
Heise/ CCC hat mit der ganzen Zertifikatsgeschichte in der Telematik ja nichts anderes gemacht. Die Hersteller/ Politik wollte nicht, also ist man an die Öffentlichkeit gegangen und hat auf dem Weg Druck "ausgeübt"...
Mitglied: 3063370895
3063370895 Feb 08, 2024 updated at 12:01:14 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @3063370895,

Es muss immer erst etwas passieren, bevor diese Themen ernst genommen werden.

Was bitte muss den noch alles geschehen ...

https://web.archive.org/web/20240129063107/https://forumwk.de/wp-content ...

... damit die entsprechenden Entscheider aus ihren manchmal komplett an der Realität vorbeigehenden Träumen ...

IT-Planungsrat - Umsetzung NIS-2-Richtlinie - Absolutes Armutszeugnis

... am besten jetzt und nicht erst morgen aufwachen, wenn es vielleicht schon zu spät ist?

Gruss Alex

Ganz einfach, wenn bei der S-IT was passiert, wird sich danach bei der S-IT was ändern. Bei anderen wird dann kurz aufgehorcht, vielleicht ne kleine Welle geschlagen und dann ist es wieder vergessen.

Ich arbeite selbst mit kommunalen Rechenzentren zusammen und bekomme das von da mit.

-Thomas
Mitglied: 3063370895
3063370895 Feb 08, 2024 updated at 12:05:56 (UTC)
Goto Top
Danke für den Link zum Bericht, sehr interessant. Amüsant, dass dieser augenscheinlich versehentlich veröffentlicht wurde.


Es wurde festgestellt, dass das Kennwort
des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt
in entschlüsselbarer Textform hinterlegt war. Durch diese Konfiguration kann prinzipiell jeder Angreifer
mit validen Domänen-Zugangsdaten das Kennwort auslesen.

Autsch!
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 12:12:18 (UTC)
Goto Top
Moin @em-pie,

Fördert dann die Reduktion der KV-Beiträge - am Ende also beinahe eine Win-Win-Situation face-big-smile

nee, das schätzt du leider falsch ein, die rennt direkt zum nächsten Arzt der ihr ein geringeres Risiko offeriert und dem Vorherigen entgeht eine menge Asche, da mein Hausdrachen privat versichert ist.

Ich habe meinen Hausdrachen übrigens gerade direkt gefragt ob sie sich behandeln lassen würde, wenn im Aufklärungsbogen irgendetwas von einem Risiko durch die verwendete IT stehen würde und dieser fauchte sofort mit einem "nein, ganz sicher nicht" zurück. ๐Ÿ˜‰

Und wie Jean Pierre (oder auch andere) jetzt nun die Themen publiziert, sei mal zweitrangig, denke ich. Wichtig ist, dass die Gefahren mal "ausgesprochen" werden. Wie soll denn sonst auf beratungsresistente Hersteller, Betreiber oder Politik eingewirkt werden, wenn nicht durch die Öffentlichkeit (und damit ans Image gehend)?

๐Ÿ‘๐Ÿ‘๐Ÿ‘

Gruss Alex
Mitglied: 3063370895
3063370895 Feb 08, 2024 updated at 12:39:43 (UTC)
Goto Top
Tatsächlich gibt es noch eine Version des Berichtes:

https://notfallseite.sit.nrw/fileadmin/user_upload/SIT_Incident_Response ...

dieser ist hier öffentlich erhältlich:

https://notfallseite.sit.nrw/?tx_news_pi1%5Baction%5D=detail&tx_news ...

Es wurden ein paar IP-Adressen und Servernamen geschwärzt, die im 0.15 Bericht übersehen wurden.
Unterschiede:

https://draftable.com/compare/VCcwlCPoKSTy

-Thomas
Member: radiogugu
radiogugu Feb 08, 2024 updated at 12:33:50 (UTC)
Goto Top
Und wie Jean Pierre (oder auch andere) jetzt nun die Themen publiziert, sei mal zweitrangig, denke ich. Wichtig ist, dass die Gefahren mal "ausgesprochen" werden. Wie soll denn sonst auf beratungsresistente Hersteller, Betreiber oder Politik eingewirkt werden, wenn nicht durch die Öffentlichkeit (und damit ans Image gehend)?

+1

Darum geht es doch im Kern. Wenn die ansprechenden Kolleg*innen vielleicht nicht jedem schmecken, so wollen wir als IT-Verantwortliche doch die Sichtbarkeit dieser Mißstände genauso erhöhen.

Wenn man das in seinem Unternehmen nur schafft, wenn etwas passiert oder mit Haftungsausschlüssen für die IT-Abteilung, dann ist das eine absolut desolate Situation. Das zu akzeptieren würde für mich persönlich nicht in Frage kommen.
Da würde ich eher die Segel streichen und die GF mit Anderen versuchen lassen das fortzuführen.

Die Brisanz im Bereich Kommune oder medizinische Versorgung sollte eigentlich selbstverständlich für entsprechendes Handeln sorgen. Dass die Realität diese Annahme lügen straft ist mehr als fragwürdig.

Gruß
Marc
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 updated at 12:42:04 (UTC)
Goto Top
Moin @3063370895,

Danke für den Link zum Bericht, sehr interessant. Amüsant, dass dieser augenscheinlich versehentlich veröffentlicht wurde.


Es wurde festgestellt, dass das Kennwort
des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt
in entschlüsselbarer Textform hinterlegt war. Durch diese Konfiguration kann prinzipiell jeder Angreifer
mit validen Domänen-Zugangsdaten das Kennwort auslesen.

Autsch!

das ist aber nur eines der Probleme und ich glaub auch nicht, dass das der Auslöser des Übels der SIT ist. Denn um das Kennwort aus dem SYSVOL auszulesen, benötigt man auch Zugriff auf dieses und genau hier beginnt meiner Ansicht nach auch das eigentliche Problem. Denn bevor die Angreifer das Admin Kennwort erwischt haben, haben die schon längst das VPN durchbrochen gehabt und das ganz sicher nicht wegen der CISCO Lücke, sondern wegen den zu flapsig konfigurierten Passwortrichtlinien und oder einem unvorsichtigen User.

Wären bei der SIT die banalsten Dinge, wie z.B. Passwortrichtlinien, 2FA, Netzsegmentierung, die eigentlich und vor allem bei so kritischen Umgebungen schon seit längerem implementiert sein müssten, umgesetzt worden, dann währe dieser Angriff so eigentlich nicht wirklich möglich gewesen. ๐Ÿ˜”

Und die SIT ist da leider auch nicht das einzige Negativbeispiel ...
https://www.ostsee-zeitung.de/lokales/vorpommern-ruegen/stralsund/vorpom ...
... ๐Ÿ˜ญ

Gruss Alex
Mitglied: 3063370895
3063370895 Feb 08, 2024 updated at 12:43:01 (UTC)
Goto Top
Zitat von @MysticFoxDE:
das ist aber nur eines der Probleme und ich glaub auch nicht das das der Auslöser des Übels ist, denn um das Kennwort aus dem SYSVOL auszulesen, benötigt man auch Zugriff auf dieses

Definitiv nicht der Auslöser, allerdings war die Privilegieneskalation dadurch deutlich vereinfacht, wenn man das Password des Standard-Domänenadministrators auf dem Silberteller serviert bekommt und dieser auch nicht deaktiviert ist.

-Thomas
Member: MysticFoxDE
MysticFoxDE Feb 08, 2024 at 14:13:03 (UTC)
Goto Top
Moin Thomas,

Definitiv nicht der Auslöser, allerdings war die Privilegieneskalation dadurch deutlich vereinfacht, wenn man das Password des Standard-Domänenadministrators auf dem Silberteller serviert bekommt und dieser auch nicht deaktiviert ist.

was ist den eigentlich mit deinem Profil passiert?

Und ja, die GPO hat den Angriff eventuell vereinfacht, auf der anderen Seite ist es nicht bewiesen, dass die Angreifer auch wirklich so an die Zugangsdaten gekommen sind.
Und so wie die IT-Security bei der SIT bisher anscheinend gelebt wurde, hätten die Angreifer die SIT auch ohne diese GPO wahrscheinlich ratz fatz hops genommen. ๐Ÿ˜”

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Feb 09, 2024 at 09:10:44 (UTC)
Goto Top
Member: StefanKittel
StefanKittel Feb 09, 2024 at 09:14:55 (UTC)
Goto Top
Moin,
vieleicht wäre es doch einfacher den Datenschutz vollständig abzuschaffen und ALLE Informationen in öffentlich verfügbaren Datenbanken abzulegen. Das wäre viel einfacher und nur wenig unsicherer. Einfach eine CRUD-API und fertig.
Stefan
Member: MysticFoxDE
MysticFoxDE Feb 09, 2024 at 09:28:28 (UTC)
Goto Top
Moin Zusammen,


ich wollte vorhin eigentlich noch das folgende dazuschreiben "mal sehen wie lange es dauert, bis dasselbe bei uns geschieht".

https://www.csoonline.com/de/a/hacker-erbeuten-daten-von-gesundheits-it- ...
"Die im Darknet angebotene Datenbank soll mehr als eine Million Datensätze enthalten."
๐Ÿ˜ญ ๐Ÿคข๐Ÿคฎ

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Feb 09, 2024 at 09:34:05 (UTC)
Goto Top
Moin @StefanKittel,

vieleicht wäre es doch einfacher den Datenschutz vollständig abzuschaffen und ALLE Informationen in öffentlich verfügbaren Datenbanken abzulegen.

oder wir leben den Datenschutz/IT-Sicherheit einfach richtig und nicht nur oberflächlich, so wie es heute oft der Fall ist. ๐Ÿ˜”
Und mit richtig meine ich keinesfalls komplizierter, sondern eher besser und korrekter Dosiert und vor allem an der richtigen Stelle, sprich, wir benötigen hier mehr wirkliche/wirkende Sicherheit und weniger unnütze Bürokratie.

Gruss Alex