Ohne_Titel

Infektion eines Krankenhausnetzwerks mit einem Internetwurm

Die Infektion eines Krankenhausnetzwerks mit einem Internet-Schädling ist kein Problem, welches man auf die lange Bank schieben kann. Durch den Zugriff auf personenbezogene Daten, kritische Anwendungen und Medizinprodukte die bei einer Fehlfunktion die Gesundheit und das Leben von Patienten gefährden können, sind sofort Maßnahmen zu treffen.

Da diese Infektionen durchaus häufiger vorkommen, ist es sinnvoll ein abgestuftes Reaktionskonzept zu erstellen. Nicht jede Infektion muss als Krise angesehen werden. Gleich bleibt jedoch eine erforderliche schnelle Reaktionszeit. Denn die Ausbreitung eines netzbasierten Schädlings nimmt mit der verstrichenen Zeit zu.

Andererseits muss nicht jedesmal - auch bei einer örtlich begrenzten Infektion - die gesamte IT sich mit der Entfernung der Schädlinge aktiviert werden.

Die technischen Voraussetzungen zur Erkennung von Infektionen müssen erfüllt sein. Es sind folgende Alternativen möglich, die auch parallel betrieben werden können.

Netzseitige Erkennung von netzbasierten Schädlingen durch IDS/IPS
Eigene Scripten / Regeln zur Erkennung von netzbasierten Schädlingen
Honeypots im Netzwerk
Informationen vom Virenschutzmanagementsystem

Tabelle Reaktion auf massive Infektion mit Computer-Schädling

Folgende Liste hilft mir bei der Einteilung der Schwere eines Vorfalls.
Diese Einteilung muss natürlich an das jeweilige Krankenhaus angepasst werden.

Maßnahme	Verteilung des Schädlings	Scope	Typische Vorgehensweise
Incident handling	< 10 systems in < 3 network segments	Information IT-Administratoren	Entfernung des Schädlings
Outbreak management	< 100 systems in > 3 segments	information of CIO; malware handling gets high prio for IT	Eindämmung durch netzseitige Maßnahmen Adaption Virenschutzeinstellungen
epidemic management	> 100 systems in > 1/4 of all network segments	information of CIO and CEO; malware handling gets highest prio for IT; Empfehlung interner K-Fall	netzseitige Maßnahmen, Virenscanner Dauerbetrieb; medizintechnische Nutzungsverbote ausgedehnte Quarantäne- maßnahmen

Schwierig wird es immer dann, wenn medizinische Systeme betroffen sind.

Die "typischen Aktionen" sind technische Maßnahmen, die von der Entfernung des Schädlings.

Grundsätzlich gliedern sich die Aktivitäten beim Entfernen der infizierten Systeme in folgende Hauptbereiche:

Hauptbereich 1: Information

Sichtung der Infektons-Situation
Überprüfung der vertraglichen/rechtlichen Situation der Medizinprodukte
IT-Leitung informieren
Periodische Erfassung der infizierten Systeme(kurze Zyklen); Erstellen einer Liste der infizierten Systeme
Anwender informieren

Hauptbereich 2: Kommunikation und Verhandlung

Mit den Firmen der MP-Hersteller über die Entfernung der Schädlinge sprechen

Hauptbereich 3: Kontrolle und Steuerung

Festlegung von Tageszielen
(d.h. so viele Systeme müssen zu diesem Zeitpunkt 'Malware-frei' werden)
konsequente Abarbeitung der Infektionslisten (etwaig abschnittsweise)
Überprüfung der Einhaltung der Ziele
Bericht an CIO / Leitungsebene

Auch die IT-Abteilung muss ihren Part leisten:

Bereitstellen der Systeme zur Erfassung der infizierten PCs und Medizinprodukte
Bereitstellung der Ressourcen zur Entfernung der Schädlinge
Kooperationsfähigkeit mit dem IT-Sicherheitsbeauftragten