|
Viren und Hacks gefährden Praxis und Patientendaten!
Sollte Ihnen bis heute nicht bewusst sein, welche Gefahren in Ihrer Praxis ihre und die Existenz Ihrer Patienten gefährden? Erhalten Sie hier wohl das erste Mal eine Übersicht mit Gefahrenbeschreibung über mögliche Datenschutzgefahren die alle Deutschen Arztpraxen betreffen.
Um Missverständnisse zu vermeiden, haben wir die Gefahren für Praxen mit und sogar noch ohne Online-Abrechnung, Fernwartung, Heimanbindung, Zweig- sowie Geschäftsstellen hier aufgeführt. Wir können heute schon garantieren das fast 94% der Deutschen Arztpraxen diese Risiken bieten. Aber zuerst mal zu den bestehenden Gefahren wie Viren und Hacks.
Viren – Gefahrenart und Beschreibung
1.Bootsektorviren - Blockieren den Systemstart - Hohe Praxisgefahr.
Hohe Gefahr für Datenverlust, aber relativ einfach zu entfernen. System startet nicht mehr - Wird oft auch als Time for Service von Geldgeilen Serviceanbieter schon bei der Auslieferung oder letzten Reparatur aufgespielt. Legt nach bestimmte Zeit (Monate) ihr System lahm um Techniker notwendig zu machen.
2.Dateiviren - Blockieren Programme und Daten und werden beim Start eines Programms ausgeführt. - Hohe Praxisgefahr
Hohe Gefahr für Datenverlust. Anderes siehe Bootsektorviren oft in Kombination genutzt,
3.Makroviren - Zerstören Dateien - Hohe Kostengefahr
Meist nur geringen Schaden anrichten. Wenn ständig akuelle Sicherung vorhanden und der Technikerservice billig wäre.
4.Trojaner - Spionieren ihre Daten aus - Allerhöchste Praxisgefahr
Erlauben einen Remote-Zugriff (direkten Zugriff auf ihr Praxisnetz, den Server und ihre Daten) auf ein System. Höchste Gefahr für Daten und Programme.
Funktionieren mit und auch ohne Internet in der Praxis von jedem Datenträger von Diskette/CD/DVD und alle externen Anschlüsse in der Praxis wie USB/Bluetooth/usw.
5.Würmer - Verseuchen Daten - Hohe Kostengefahr
Verbreiten sich schnell über ein Netzwerk, richten dabei meist nur geringen Schaden an.
6.Polymorphe Viren - Können alles siehe 1.2.3.4. - Allerhöchste Praxis- und Kostengefahr
Viren, die ihre Eigenschaften selbstständig ändern können (können alles siehe Viren 1.bis 5.) . Schwer zu erkennen.
7.Hoaxes - Falschmeldungen. Kein Schaden.Wird oft auch als Time for Service von Geldgeilen Serviceanbieter schon bei der Auslieferung oder letzten Reparatur aufgespielt. Legt nach bestimmte Zeit (Monate) ihr System lahm um Techniker notwendig zu machen.
Hacks – Gefahrenart und Beschreibung
1.IP-Spoofing - Allerhöchste Praxisgefahr
Dabei wird die Source-Adresse in IP-Datagrammen gefälscht. Hacker können somit in ein System eindringen bzw. eine falsche Identität vortäuschen.
2.Smurfing - Allerhöchste Praxisgefahr
Eine klassische Methode für DOS-Attacken (Denial of Service). Dabei werden ICMP-Pakete mit gefälschter Source-Adresse an eine Broadcast-Adresse gesendet.
Alternative: Die Empfänger senden Antworten an ihre Opfer.
3.Ping to Death - Allerhöchste Praxisgefahr
Systemabsturz durch Speicherüberlauf: Dabei sendet der Hacker eine ICMP Echo Request mit mehr als 65.510 Bytes. Dies wird während des Transports fragmentiert und beim Opfer (Empfänger) wieder zusammengesetzt. Eine IP-*Datagrammlänge mit mehr als 64 KB führt dann zum Absturz. Hohe Servicetechnikerkosten
4.Flooding - Allerhöchste Praxisgefahr
Eine Methode für DOS-Attacken (Denial of Service). Der Verbindungsaufbau wird dabei unterbrochen.
5.TCP-Spoofing - Allerhöchste Praxisgefahr
Dabei wird der TCP-Source-Port gefälscht. Hacker können somit in ein System eindringen bzw. eine falsche Identität vortäuschen.
6.Hijacking - Allerhöchste Praxisgefahr
Dabei übernimmt der Hacker die Kontrolle über den Opfer-PC. So kann beispielsweise der Kernel geändert werden.
Alternative: Der Hacker übernimmt die bestehenden TCP-Verbindungen und ihr gesamtes Netzwerk mit Server.
7.UDP-Flooding - Allerhöchste Praxisgefahr
Wie Punkt 4, nur über UDP. Router und Endknoten werden dabei bombardiert, weil UDP nicht verbindungsorientiert arbeitet und keine Flusskontrolle besteht.
8.DNS-Spoofing - Allerhöchste Praxisgefahr
Der Domain Name Server wird manipuliert und mit einer anderen IP-Adresse versehen. Alternativ dazu könnte auch ein zweiter DNS-Server eingerichtet werden, der schneller antwortet. Höchste Gefahr für Datendiebstahl und –manipulation.
9.FTP-Attacken (falls eingerichtet) - Allerhöchste Praxisgefahr
Sofern der FTP-Zugang auch einen „anonymous“ Benutzer zulässt, sind bei Schreibzugriffen Datenmanipulationen möglich.
10. Router-Hack
Eine Schwachstelle ist die generelle Architektur des VPN. Wir unterscheiden drei Arten: End-to-End, End-to-Side, Side-to-Side. Werden zwei Netzwerke verbunden und auf beiden Seiten steht ein VPN-Gateway über den die Clients gehen, spricht man von einem Site-to-Site Tunnel. Nachteil bei einer Side-to-Side Verbindung oder einer Verbindung, bei der der Tunnelendpunkt nicht am Client liegt, sondern an einem Router wäre zum Beispiel, dass die Übertragung von Daten hinter dem Gateway bzw. dem Router ungesichert abläuft, dass VPN also erst greift, wenn sie den Router/Gateway passiert haben.
Funktionelle Schwachstellen gibt es, wenn ein VPN-Client hinter einem Router/Gateway steht, der NAT ausführt (Network Address Translation) aber kein IPSec unterstützt.
Generell wäre eine bestehende VPN-Verbindung, egal wie sie aussieht und wie stark sie verschlüsselt ist, relativ sicher, da sie, nachdem der Tunnel aufgebaut ist, von außen nicht erkennbar ist.
Zu bemängelnde Angriffspunkt sind mit Sicherheit der VPN-Server - bei mangelnden Authentisierungsmechanismen - Token oder Smartcarts aber auch das die meisten Praxisrouter durch Dritte Administrierbar und so als heimlicher Praxiszugang genutzt werden können. Ganz besonders wenn das gesamte Praxisnetzwerk ohne Firewall daran hängt.
Unsere Bitte:
Lassen Sie bitte auch Ihre Praxis so notwendig sicher wie möglich machen. Da die möglichen Schäden Ihnen und Ihren Patienten die Zukunft existenziell vernichten kann. Im Fall eines Datenschutzfalles wird Ihnen keiner helfen statt dessen werden Sie von jedem alleingelassen und verschmäht. Die Rechtsstreitkosten übersteigen Grenzen, die auch Ihre Existenz zerstören können. Ihre Patienten werden Ihnen dankbar sein, wenn sie weiterhin ihre Arbeitsstelle behalten könnten, deren Versicherungen die Rechnung übernehmen würden und Banken sowie Versicherungen ihnen weiterhin Kredit bewilligen!
INFO: Innerhalb eines IV-Stufenplans müssen wir die Öffentlichkeit von den bestehenden Datenschutzgefahren in Arztpraxen informieren!
Wir hoffen das:
Wir bis Sommer 2010 fast alle deutschen Praxen als "notwendig sicher" deklarieren können. Bei der Bezeichnung notwendig sicher geht es nicht um eine ähnliche sichere Einrichtung wie die des Fort Knox (Kentucky) sondern um eine notwendig mögliche Sicherheit (gesetzlich vorgeschrieben) um Praxis- und Patientendaten vor Dritten zu schützen.
Der gemeinnützige FuSION e. V. informiert und berät alle Praxisbeitreiber neben der notwendigen Sicherheit gleichzeitig über mögliche finanzielle Vorteile, die erst dadurch möglich werden! Sodass erst gar nicht der Eindruck vom oft üblichen Abkassieren bei den Ärzten entstehen kann!
Weitere Fragen, Informationen und Beratung erhalten Sie innerhalb unserer Geschäftszeiten:
Telefonisch - Mittwoch und Freitag von 15:00 bis 17:00 – 0209 7850-66
Per Mail - Montag bis Freitag von 10:00 - 19:30 – info@fusionev.de
Direkt per Mail hier: FuSION e. V. gem. Sicherheitsberatung
Mit herzlichem und kollegialem Gruß und Dank für Ihre Aufmerksamkeit.
Ihr gemeinnütziger FuSION e. V.
I. V. Ralf Kern
|
|
 |
