Infektion eines Krankenhausnetzwerks mit einem Internetwurm
Die Infektion eines Krankenhausnetzwerks mit einem Internet-Schädling ist kein Problem, welches man auf die lange Bank schieben kann. Durch den Zugriff auf personenbezogene Daten, kritische Anwendungen und Medizinprodukte die bei einer Fehlfunktion die Gesundheit und das Leben von Patienten gefährden können, sind sofort Maßnahmen zu treffen.
Da diese Infektionen durchaus häufiger vorkommen, ist es sinnvoll ein abgestuftes Reaktionskonzept zu erstellen. Nicht jede Infektion muss als Krise angesehen werden. Gleich bleibt jedoch eine erforderliche schnelle Reaktionszeit. Denn die Ausbreitung eines netzbasierten Schädlings nimmt mit der verstrichenen Zeit zu.
Andererseits muss nicht jedesmal - auch bei einer örtlich begrenzten Infektion - die gesamte IT sich mit der Entfernung der Schädlinge aktiviert werden.
Die technischen Voraussetzungen zur Erkennung von Infektionen müssen erfüllt sein. Es sind folgende Alternativen möglich, die auch parallel betrieben werden können.
Tabelle Reaktion auf massive Infektion mit Computer-Schädling
Folgende Liste hilft mir bei der Einteilung der Schwere eines Vorfalls.
Diese
Einteilung muss natürlich an das jeweilige Krankenhaus angepasst werden.
Maßnahme |
Verteilung des Schädlings |
Scope |
Typische Vorgehensweise |
Incident handling |
< 10 systems in |
Information IT-Administratoren |
Entfernung des Schädlings |
Outbreak management |
< 100 systems in |
information of CIO; malware handling gets high prio for IT |
Eindämmung durch netzseitige Maßnahmen Adaption Virenschutzeinstellungen |
epidemic management |
> 100 systems in |
information of CIO and CEO; malware handling gets highest prio for IT; Empfehlung interner K-Fall |
netzseitige
Maßnahmen, Virenscanner Dauerbetrieb; medizintechnische Nutzungsverbote ausgedehnte Quarantäne- maßnahmen |
Schwierig wird es immer dann, wenn medizinische Systeme betroffen sind.
Die "typischen Aktionen" sind technische Maßnahmen, die von der Entfernung des Schädlings.
Grundsätzlich gliedern sich die Aktivitäten beim Entfernen der infizierten Systeme in folgende Hauptbereiche:
Hauptbereich 1: Information
Hauptbereich 2: Kommunikation und Verhandlung
Hauptbereich 3: Kontrolle und Steuerung
Auch die IT-Abteilung muss ihren Part leisten: