Testlauf ist keine Entschuldigung

Für Neef und Schäfers ist der angebliche Testlauf keine Entschuldigung, die Systeme nicht wenigstens mit einem Passwort abzusichern: "Wir haben bei dem Mirai-Botnetz und anderen Angriffen gesehen, dass verwundbare Infrastrukturen mittlerweile automatisch nach Schwachstellen abgescannt werden und auch Angriffe automatisch erfolgen können", sagte Tim Philipp Schäfers Golem.de. Deshalb sei es nicht sehr verantwortungsvoll, Infrastruktur vorab ungeschützt zu betreiben.

Wir haben das Krankenhaus um eine Stellungnahme gebeten, welche Schritte es unternommen hat, um sicherzustellen, dass die mit dem Internet verbundenen Systeme sich während der Testphase keine Schadsoftware eingefangen haben. Auch auf diese Anfrage hat das Unternehmen leider nicht reagiert.

Die von dem Krankenhaus eingesetzte Lösung ist keine Eigenentwicklung, sondern stammt von einem Systemintegrator. Anlagen der Firma kommen der Webseite des Unternehmens zufolge in zahlreichen Einrichtungen in der Schweiz zum Einsatz, unter anderem auch in anderen Krankenhäusern und Einrichtungen der öffentlichen Verwaltung.

Auch der Hersteller schweigt

Gerne hätten wir in Erfahrung gebracht, ob das Equipment des Herstellers generell nach der Installation frei im Internet verfügbar ist - und die Absicherung immer erst direkt vor der Inbetriebnahme geschieht. Auch wüssten wir gern, ob der Integrator immer die Kunden in der Pflicht sieht, die Systeme abzusichern, oder sich selbst dafür in die Verantwortung nimmt. Leider reagierte aber auch der Hersteller des Equipments nicht auf unsere Anfrage.

Schäfers und Neef hatten in früheren Untersuchungen nicht nur Schwachstellen bei der konkreten Absicherung gefunden, sondern auch konkrete Verwundbarkeiten in der Software, die ein Angreifer ausnutzen könnte. Mittels Cross-Site-Scripting und Header Injection hätten Angreifer unter Umständen Code ausführen können. Die Schwachstellen sind gemeldet, aber noch nicht behoben.

Immerhin: Krankenakten oder andere persönliche Daten von Patienten des Krankenhauses sind über das System nicht zu erreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Schaltpläne für Spione
  1.  
  2. 1
  3. 2
  4. 3
Verwandte Artikel
artikel-bild
Ransomware
Krankenhaus zahlt 60.000 US-Dollar trotz Backups
artikel-bild
BSA-Studie
Deutschland ist favorisierter Standort für die Cloud
artikel-bild
Joint Venture
Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s
Meistgelesen
artikel-bild
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?
artikel-bild
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt
artikel-bild
Mysteriöses Start-up
Atomic Semi will Chips einfacher und günstiger herstellen
Kommentarübersicht
Re: Naja
plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

Re: Ob die das System auch sauber vom restlichen...
tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

Re: blöde Überschrift
ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

Re: Proof of Concept à la Blinkenlights
magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

Aktuell auf der Startseite von Golem.de
Nachfolger von CS GO
Counter-Strike 2 ist geleakt

Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

Nachfolger von CS GO: Counter-Strike 2 ist geleakt
Artikel
  1. SAP Event Mesh: Eventbasierte Anwendungen in der SAP-Welt
    SAP Event Mesh
    Eventbasierte Anwendungen in der SAP-Welt

    Eventbasierte Architektur in SAP-Systemen, ganz ohne Vendor Lock-in: Der Service SAP Event Mesh ist attraktiv, hat aber auch seine Grenzen.
    Ein Deep Dive von Volker Buzek

  2. Youtube: Linus Tech Tips per Session-Token-Diebstahl übernommen
    Youtube
    Linus Tech Tips per Session-Token-Diebstahl übernommen

    Linus Tech Tips ist nach einem Hack wieder online, im ersten neuen Video erklärt Linus Sebastian die Hintergründe. Die Masche macht gerade bei Youtube die Runde.

  3. KI im Programmierertest: Kann GPT-4 wirklich Code schreiben?
    KI im Programmierertest
    Kann GPT-4 wirklich Code schreiben?

    GPT-4 kann gut einfachen Code schreiben. Meine Tests mit schwierigeren Pfadfindungs- und Kollisionsalgorithmen hat es nicht bestanden. Und statt das einzugestehen, hat es lieber geraten.
    Ein Erfahrungsbericht von Tyler Glaiel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Crucial SSD 1TB/2TB (PS5) bis -50% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /