Monatsarchiv: Oktober 2012

„Deutsche bekommen den gefährlichsten Spam“ und „Arbeitgeber lassen Mitarbeiter beim Thema IT-Sicherheit allein“

Deutsche bekommen den gefährlichsten Spam

Heise Security veröffentlichte heute auf einen traurigen , deutschen Rekord.
„Deutsche Internet-Nutzer fanden im September weltweit die meisten schädlichen Anhänge und Links in ihren Postfächern vor und lösten damit die USA an der Spitze ab. Das stellt Kaspersky in seinem Spam-Bericht für September fest. Neben dem höheren Aufkommen an gefährlichem Spam haben sich die Methoden verändert: Die Absender geben sich politischer.


Knapp 14 Prozent der weltweit von Kaspersky entdeckten schädlichen Anhänge und Links in Spam-E-Mails tauchten im September in Deutschland auf; dies bedeutet einen Zuwachs von 6 Prozent gegenüber dem Vormonat. Im Vergleich: Insgesamt nur 3,4 Prozent aller weltweit verschickten Mails enthielten in diesem Zeitraum schädliche Links und Anhänge. Auffallend ist dabei die steigende Zahl der Trojaner und Backdoor-Programme, die zum einen à la BKA-Trojanerdas Betriebssystem sperren und zum anderen Schadsoftware wie Spam-Bots nachladen können. Der Anteil an Phishing-Mails hat sich im Vergleich zu August verdreifacht und lag bei 0,03 Prozent des gesamten E-Mail-Aufkommens. Das beliebteste Angriffsziel für Phishing waren soziale Netzwerke.“

Und wie gehen die Email-Nutzer mit dieser Gefahr um? Ich glaube, dass es immer noch zu wenig Sicherheitsbewusstsein in Bezug auf die eigenen oder die Unternehmensdaten gibt. Es ist zum Teil sogar zu beobachten, dass Mitarbeiter im Unternehmen eher mal auf eine Spam-Mail klicken als daheim. Denn schließlich wird die IT-Abteilung ja dafür gesorgt haben, dass nur ungefährliche, elektronische Post zugestellt wird – so oft das Denken.

Und was macht das Management?

Laut einer Pressemitteilung der BITKOM– (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V) aus der letzten Woche (http://www.it-security-magazin.de), lassen die Arbeitgeber ihre Mitarbeiter bei diesem Thema oft allein.“

Danach sagt ein Fünftel (21 Prozent) der Beschäftigten, dass ihr Arbeitgeber keinerlei Vorgaben zur Verhinderung von Computerkriminalität macht. Das können zum Beispiel Regeln für die Benutzung von Passwörtern oder den Umgang mit externen Datenträgern wie USB-Sticks sein. Ein weiteres Fünftel (19 Prozent) gibt an, dass ihnen entsprechende Regeln nicht bekannt sind. “Vier von zehn Beschäftigten bekommen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihren Arbeitgebern”, sagte BITKOM-Präsident Prof. Dieter Kempf zum Start der IT-Sicherheitsmesse it-sa in Nürnberg. “Vor allem viele kleine und mittelständische Unternehmen unterschätzen die Risiken durch Computer- und Internetkriminalität.” Der richtige Umgang der Mitarbeiter mit Computern, mobilen Geräten und Internet sei eine zentrale Voraussetzung, um die Gefahren für die Unternehmen einzudämmen.

Arbeitgeber vernachlässigen IT-Sicherheit

Laut der Umfrage sagt nur jeder zweite Erwerbstätige, dass es in seinem Betrieb Richtlinien für die Benutzung von Passwörtern gibt. 41 Prozent der Unternehmen verfügen über Vorgaben für den Umgang mit externen Datenträgern. Dazu zählen insbesondere USB-Sticks, die besonders gefährlich sein können. “USB-Sticks sind ein beliebtes Werbegeschenk und dienen häufig als Träger von Viren oder anderen Schadprogrammen”, sagte Kempf. Bei vier von zehn Erwerbstätigen gibt es Vorgaben zum Surfen im Internet inklusive der Nutzung sozialer Medien, ein Drittel (35 Prozent) hat Richtlinien zum Umgang mit Spam-E-Mails bekommen. Spam-Mails enthalten häufig infizierte Dateianhänge oder führen über Links zu Webseiten mit Schadsoftware. Nur ein Drittel (31 Prozent) der befragten Erwerbstätigen erhält von seinem Arbeitgeber Regeln für den Umgang mit mobilen Endgeräten wie Smartphones, Notebooks oder Tablet Computern. “Ein Großteil der sensiblen Daten befindet sich heute auf mobilen Geräten”, sagte Kempf. “Zum Schutz von mobilen Geräten ist eine eigene Sicherheitsstrategie notwendig.”“

Und eine solche Sicherheitsstrategie besteht in vielen Kliniken nicht oder nur teilweise. Dabei wird die IT-Sicherheitslage für die Kliniken in der Zukunft nicht entspannter. Durch die zunehmende Einbindung der Medizintechnik werden die Konsequenzen von Angriffen immer gefährlicher für die Patienten. Es ist ja nicht so, dass man die IT-Sicherheit in den Kliniken nicht erhöhen könnte. Es muss aber ein eindeutiges Ziel des Managements sein und aktiv unterstützt werden. Sicherheit kostet immer – ein Image-Schaden aber noch viel mehr…!

So wird das knacken von Passwörtern zum Kinderspiel

Dazu passt noch der Bericht der cnet.com vom 23.10.12 „ ‚Jesus,‘ ‚welcome‘ join list of worst passwords“. Leider werden immer noch viel zu unsichere Passwörter von den Anwendern benutzt. Und diese lassen sich in Sekundenschnelle knacken und missbrauchen. Hier die aktuelle amerikanische „list of worst passwords“ (ist Ihr Passwort auch dabei 🙂 ?):

  1. password (unchanged)
  2. 123456 (unchanged)
  3. 12345678 (unchanged)
  4. abc123 (up 1)
  5. qwerty (down 1)
  6. monkey (unchanged)
  7. letmein (up 1)
  8. dragon (up 2)
  9. 111111 (up 3)
  10. baseball (up 1)
  11. iloveyou (up 2)
  12. trustno1 (down 3)
  13. 1234567 (down 6)
  14. sunshine (up 1)
  15. master (down 1)
  16. 123123 (up 4)
  17. welcome (new)
  18. shadow (up 1)
  19. ashley (down 3)
  20. football (up 5)
  21. Jesus (new)
  22. michael (up 2)
  23. ninja (new)
  24. mustang (new)
  25. password1 (new)
Advertisements

++ Event-Tipp: Medizintechnik und Informationstechnologie – Workshop „MITea-Time“ ++ 7.11.12 ++ Stuttgart ++

  • Was können die Kliniken heute schon tun, um den neuen, komplexen Anforderungen in der Schnittfläche „Medizintechnik und Informationstechnologie“ gerecht zu werden?
  • Welche Anforderungen haben Hersteller, Betreiber, Fachabteilungen und Nutzer von Medizintechnik und Informationstechnologie, um den Prozess von der Planung, über die Beschaffung bis zum sicheren Betrieb, gemeinsam umzusetzen?
  • Mit welchen  Strategien und Tools können die Kliniken die zunehmende Verschmelzung von Medizintechnik und Informationstechnologie zukünftig effizient managen?
  • Welche Potentiale und Herausforderungen bringt die zunehmende Konvergenz von Medizintechnik und Informationstechnologie mit sich?
  • Praxisbeispiel: Unser PDMS ist (k)ein Medizinprodukt – Was bedeutet das für uns?

Diese und viele andere Fragen und die entsprechenden Antworten stehen im Mittelpunkt unseres Workshops „MITea-Time“  am 7.11.2012 in Stuttgart.

Es sind noch einige wenige kostenlose Plätze frei!

Alle Infos + Anmeldung hier!

Und das dürfen Sie erwarten:

  • Sie treffen Hersteller, Betreiber, Experten und Nutzer zu hochaktuellen Themen und können Ihr berufliches Netzwerk erweitern.
  • Sie erhalten Informationen, Anregungen und  Praxis-Knowhow von unterschiedlichsten Akteuren aus Medizintechnik und Informationstechnologie
  • In einer original, englischen „Tea-Time“ am Ende des Workshops, findet der Austausch einen entspannten und genüsslichen Ausklang.
  • Der Workshop ist für Sie kostenlos!

PS: Aktuell sind nur noch 8 Plätze frei! Alle Infos + Anmeldung hier!

EKG-Analyse übers Internet – ohne Arztbesuch

Die Welt.de berichtete jüngst über einen neuen Telemedizin-Anbieter aus Köln:
„Die vor etwa fünf Jahren gegründete Telexiom beschäftigt sich mit dem Marktsegment Telemedizin. Karimi erläutert, warum ihn dieser Markt so reizt. „Im Internet gibt es bereits alles Mögliche, aber noch keine medizinischen Dienste.“ Dabei alterten die Gesellschaften in vielen Ländern und die Kosten der Gesundheitssysteme stiegen dementsprechend rapide an.

„Wir werden unsere Dienste weltweit über das Internet anbieten und enorme Kosten einsparen können, sowohl für die Patienten als auch die Krankenkassen“, sagt Karimi. Fernziel sei eine Art Internet-Krankenhaus, in dem jeder Patient ein eigenes Portal habe.
Eine erste Version des Systems hat Telexiom bereits entwickelt. Mithilfe eines Brustgurtes und eines marktgängigen Smartphones des Anwenders werden Daten zu Elektrokardiogrammen (EKG), Herz- und Atmungsfrequenz an das sogenannte „Medical Operation und Analysis Center“ des Unternehmens übertragen.

Dort werden alle Daten während der Übertragung analysiert und bewertet. Basierend auf dieser Bewertung erhält der Anwender sofort eine Rückmeldung, wenn etwa Unregelmäßigkeiten aufgetreten sind.

In jedem Fall erhält der angeschlossene Teilnehmer über sein Smartphone eine Ferndiagnose beziehungsweise Hinweise zum weiteren Verhalten. Möglicherweise eine Mitteilung, sich umgehend medizinisch beraten zu lassen. Und auch der Hausarzt oder Verwandte des Patienten können entsprechend informiert werden.“
Entsprechende Apps für Smartphones stehen laut dem Artikel auch schon zur Verfügung.
http://tinyurl.com/8tvmnaq

Tod durch gehackte Spritzenpumpe?

Die „OÖNachrichten“ berichten aktuell von mehreren tragischen Fällen in Österreich, bei denen sogar ein junger Patient verstarb.

Demnach wurden zwei junge Männer (17 und 22 Jahre)  im Linzer AKH mit Opiaten in Schmerzpumpen versorgt. Diese Pumpen ermöglichen es dem Patienten, bei starken Schmerzen einen Knopf zu drücken und sich so eine ausreichende Menge Schmerzmittel zu applizieren. Um Überdosierungen und Missbrauch zu verhindern, ist die Zufuhr jedoch technisch begrenzt.
Dennoch zeigten die jungen Männer nach kurzer Zeit Symptome einer Überdosierung. Beide mussten über Tage auf der Intensivstation behandelt und teilweise beatmet werden.
Als ein Notebook der Beiden näher überprüft wurde, stellte sich heraus, dass die Jugendlichen gezielt im Internet nach dem Sicherheitscode für die Schmerzpumpen gesucht hatten. Ausgerechnet auf der Homepage des Herstellers wurden sie in Schulungsunterlagen zur Pumpe fündig und konnten so das Gerät selbst hacken.

Wie weiter berichtet wurde, starb 2010 bereits ein 19-Jähriger in Salzburg an einem Atemstillstand während einer Schmerzpumpen-Behandlung. Ging man damals von einem Pumpenfehler aus, prüft man nun, ob dort ein ähnlicher Hack die Ursache war.

Quelle:http://www.nachrichten.at/oberoesterreich/art4,988285

Nexus AG übernimmt E&L

„Der deutsche eHealth-Spezialist Nexus AG hat am … Freitag die Übernahme der E&L medical systems GmbH bekannt gegeben. E&L ist ein Softwarehaus und ebenfalls im Bereich eHealth tätig.

Insgesamt 95 Prozent der Anteile an der E&L medical systems GmbH hat die Nexus AG (WKN: 522090) erworben. E&L entwickelt Befundungssoftware für den deutschen Markt. Das Unternehmen beschäftigt 70 Mitarbeiter und erwirtschaftete im vergangenen Jahr einen bilanziellen Jahresüberschuss von 722.000 Euro bei einem Umsatz von fünf Mio. Euro. Die von E&L entwickelte Software nutzen insgesamt 400 Krankenhäuser in Deutschland. Mit der Übernahme will die Nexus AG sein Portfolio an diagnostischen Informationssystemen im deutschen Gesundheitswesen ausweiten.“

Quelle: http://tinyurl.com/96ypzrv

eGovernment, eHealth und heftiger Widerstand — Österreich verordnet sich Ende 2013 die elektronische Gesundheitsakte

Noch vor wenigen Tagen hörte man ähnliche Meldungen aus der Schweiz. Nun stellen sich wohl auch Ärzte in Österreich gegen das eHealth-Projekt.
Wie http://www.egovernment-computing.de aktuell berichtet, steht die ELGA aktuell im Vorzeigeland in der Kritik.
„Den Österreichern geht es mit der elektronischen Gesundheitsakte (ELGA), wie den Deutschen mit der elektronischen Gesundheitskarte: Die Politik treibt an, die Projekte dümpeln, (fast) keiner will sie, die Datenschützer haben Bedenken – aber unsere Nachbarn sind schon ein Schrittchen weiter.“
http://www.egovernment-computing.de/fachanwendungen/articles/381088/

WLAN-Hacking in Krankenhäuser

Auch in den Kliniken findet sich der allgemeine, technische Trend zum WLAN wieder. Ermöglicht es doch Daten dort zu erfassen und zu nutzen, wo sie entstehen bzw. gebraucht werden. Dadurch lassen sich Prozesse beschleunigen und die Versorgungsqualität steigern. So werden auch immer mehr Medizingeräte mit einer WLAN-Schnittstelle ausgerüstet. Doch mit der Vernetzung solcher einst autarker Systeme, eröffnet sich ein ganz neues Gefahrenpotential. Es besteht nicht nur eine Gefährdung für die Datenintegrität und die Verfügbarkeit der medizinischen Geräte, sondern auch für Leib und Leben der Patienten.

Aber was sollte einen Hacker bewegen, ein Krankenhaus-WLAN anzugreifen?
Dafür gebe es die verschiedensten Gründe:

  • Datendiebstahl  – Über das Kliniknetzwerk werden eine Vielzahl unterschiedlicher Daten bewegt. Allein das Abfangen von Daten mittels eines Man-in-the-Middle-Angriffs, kann vertrauliche Informationen der Patienten an den Hacker liefern. Aber auch durch unerlaubten Zugriff auf Server oder Workstations können vertrauliche Daten, zum Beispiel von prominenten Patienten, entwendet werden.
  • Überlastung von Server und Medizingeräten – Durch Denial of Service-Angriffe kann das Netzwerk, Server oder Medizingeräte so stark mit  Anfragen überlastet werden, dass diese schließlich ihren Dienst verweigern.
  • Infektion mit Schadsoftware- Durch einen unbefugten Zugang zum Netzwerk kann der Angreifer Viren, Trojaner oder Malware einbringen, die zu multiplen Schäden führen können.

Ein Angreifer muss sich heute nicht einmal mehr in der Nähe des WLAN-Netzes befinden. Moderne WLAN-Antennen ermöglichen es, aus mehreren Kilometern Entfernung zu agieren.

Eine 100%ige Sicherheit kann es schon aufgrund der technischen Konzeption des WLAN-Standards nicht geben. Dennoch lassen sich die Gefahren durch eine Vielzahl von einzelnen Maßnahmen vertretbar reduzieren. Im Rahmen des Risikomanagements (n. DIN EN 80001-1) und einem MIT-Sicherheitskonzepts sollten mögliche Schwachstellen aufgedeckt und wirksam geändert werden.