Antwort an „Raketenglaskugelputztuchaufrauher“ verfassen

Glaskugelputztücher dürfen ruhig etwas rauh sein:

Das neue 2. IT-Sicherheitsgesetz legt fest, dass das BSI Einfluss auf kritische Infrastrukturen (dabei Krankenhäuser) nehmen kann (Zwangsberatung)

... damit sie funktionieren.

Im Übrigen war „Krankenhaus“ erratbar: „hunderte“ Angestellte und „Anwesenheitsbereitschaft“ ab 23:00 Uhr nebst dem Zeitpunkt des Auftretens des Problems sind brauchbare Indizien wenn man sich ein wenig für die Zeit und Gesellschaft, in der man schließlich lebt, interessiert. Das ist auch keine Raketenwissenschaft - man muss nur „1, 1 und nochwas“ zusammenzählen.

Die dienstlich genutzten „Rechner“ (auch die in Geräten, IoT, Infrastruktur...) des Krankenhauses werden (im Rahmen des Möglichen, hoffentlich) sehr sorgfältig geschützt. Immerhin sind da auch teilweise Geräte dabei, deren eigene Sicherheit aufgrund fehlender Kommunikationsverschlüsselung und mangelhafter Authentifizierung nicht mehr „fragwürdig“ ist sondern faktisch bei 0 liegt.

Durch die Rückmeldung von Hans hat sich nunmehr auch die Möglichkeit erledigt, via VPN die heimische Fritzbox zu nutzen und ich gehe davon aus, dass ein SSH-Tunnel auch nicht geht oder, falls der via Port 443 auf dem Zielrechner realisiert werden kann, durch ein IDS wahrscheinlich detektiert und unterbunden wird. Denn auch https-Verbindungen werden in einem solchen Rahmen wohl vom Proxy nicht einfach durchgeleitet sondern entschlüsselt, auf Erlaubtheit und Angriffszenarien geprüft, sodann für die Auslieferung an die Clients mit einem eigenen, via PKI auf die teilnehmenden Rechner gebrachten Root-Zertifikat neu verschlüsselt.

Lösung:

Der Rechner im Bereitschaftsraum oder die Rechner im Bereitschaftsraum müssten vom Rest des Krankenhauses komplett isoliert werden und eine eigene Internet-Verbindung haben.

Das ist durch zweierlei geboten:

  • Maximum an Sicherheit für das Krankenhausnetz
  • Eine erlaubte private Kommunikation darf aus Gründen des Datenschutzes nicht entschlüsselt und geloggt, gar durchsucht werden. Nur durch die Neo-Stasi (BKA, 16 LKA, Bundes + 16x Landesverfassungschutz, MAD, Zoll, ..., Postboten und befreundete Geheimdienste) dürfen das.

Ich glaube nicht recht daran, dass jemand in einem zentralem Rechenzentrum einen Router oder einen Proxy zur Verfügung stellt und das Zeug über das Netzwerk des Krankenhauses laufen lässt. Das ist nämlich ein ziemlich „großer Hut“.

Ansprechpartner wäre hier tatsächlich der Betriebsrat, denn eine echte Flatrate (die wäre hier notwendig) mit LTE ist nicht billig.

Wer es nicht glaubt: https://www.heise.de/security/.

freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar

Ihre Identität in einem Cookie zu speichern erlaubt es Ihnen, Ihre Beiträge zu editieren. Außerdem müssen Sie dann bei neuen Beiträgen nicht mehr die Felder Name, E-Mail und Homepage ausfüllen.

abbrechen