Umgang mit Sicherheitslücken in Deutschland

Hi @all,

wer gestern abend nicht in Plusminus über diesen Beitrag gestolpert ist, hier kurz der für eine Woche verfügbare Link aus der Mediathek:
(natürlich nur für GEZ Zahler legal)

https://pdvideosdaserste-a.akamaihd.net/int/2020/01/23/0593c0c3-748e-4fec-9570-c523dfca6aac/1280-1_597495.mp4

Ab 3:33 wird eine Sicherheitslücke in einem Herzschrittmacher aufgezeigt,
hat mich nicht verwundert, zumindest wenn man weiss wieviel PC´s im Krankenhaus noch als Basis Win95 verwenden.

Richtig interessant wird allerdings die anscheinend gelebte Praxis damit:
ab 5:14
MuddyWaters !!,
mir fiel die Kinnlade herunter, ich konnte es nicht fassen!!

und so ist der gesetzliche Rahmen dafür in Deutschland
ab 6:14

Ich ahne, was auf den „Whistle-Blower“ zukommen wird !

Wird interessant wie die Politik mit diesem Thema umgehen wird, dringendster Handlungsbedarf wäre da!

mfg

BerndJ

Wow, buhh das ist schon krass!

Danke für’s teilen!

Gruß
Heiko

Das ist Das was rauskommt…Umsatzsteuerkarussell ist auch schon länger an 400V~ und ? haben Die schon mal den Saft abgedreht.
Trotzdem… nicht depressiv werden :wink:
Gruß Helmut

Danke für den Link.:slight_smile:
Die Sendung hatte ich verpasst.

Erschreckend, wie sich unsere Welt mit Internet entwickelt. Dazu noch ein korruptes Regierungssystem.:eek:

Das würde ich mal in den Bereich „Fake News“ einordnen!

Aber grundsätzlich ist es gerade im Security Umfeld leider so, dass „die Hersteller“ aufgrund von Zeit- und Resourcenmangel oft keine „vollständig sichere“ Lösung erarbeiten oder manchmal auch das Know How fehlt. Der Herzschrittmacher-Hersteller hat vermutlich nie darüber nachgedacht, dass jemand sein Gerät hacken könnte.

Da inzwischen „alles“ (z.B. Herzschrittmacher, aber auch Energieversorgung, Autos, …) im weitesten Sinne „viel Software“ ist und Security by Design auch Zeit und Geld kostet, wird ein Produkt mit „Sicherheitsproblemen“ auf den Markt gebracht bzw. nie vollständig sicher sein.

Das konnte man auch in den letzten Tagen im heise-Ticker lesen. Fehlkonfigurationen, leichtsinniger Umgang, etc., z.B. Buchbinder, Microsoft Service und andere.

Das gilt auch für Symcon Nutzer, einmal bei Shodan nach symcon suchen und es finden sich immer wieder komplett offene Systeme im Internet. Und das kann „der Hersteller“ absolut nicht verhindern, da muss „der Nutzer“ ausreichendes Verständnis und Sensibilität haben.

Wer über „Security“ im IT und OT Umfeld sprechen möchte, ich freue mich in Lübeck angespprochen zu werden ;).

Da ist falsch rübergekommen. Ich spreche nicht über unser System.
Bitte, bitte keine Diskussion darüber, hakt das bitte ab.

Solange es große Firmen gibt, die ohne DRUCK der Endkunden, Standardpasswörter einsetzen, wird es Lücken oder auch Einbrüche geben, die auf solche banale „Lücken“ zurückzuführen sind…

Ich habe mal in einer IT-Abteilung gearbeitet, die mehrere Krankenhäuser mit betreut hat (Kommunale Geschichte :D),
Im Klinik umfeld gibt es was die Patientensoftware angeht, nur wenige Global Player. Einer davon Siemens (made in Germany).
Da gibt es dann Standardpasswörter der Software als solches, und die Datenbank „sysdba“ (vergleichbar mit SQL „sa“) Passwörter für alle Endkunden gleich ist. Eine Veränderung ist vertraglich untersagt, da ansonsten der Wartungs/Supportvertrag gekündigt wird…

Das heißt es wird ein leichtes sein, dass standard Passwörter für diese Siemens Software herauszufinden und dies dann auszunutzen.
Ich nenne den Softwarenamen bewusst nicht… :slight_smile:

Hier gehts nun nur um Patientendaten - aber wer weiss, was man mit den Daten anstellen kann.
Und wenn es nur die Prestige Kliniken sind, in denen A-Promis/POlitiker ein und ausgehen :smiley:

P.S. in den knapp 20 Jahren IT-Administration habe ich diverse Standard Passwörter der Firmen dokumentiert.
Die überall gleich sind. Und das ist beschämend.
Auch die Qualität der Installationen ist oft unter aller Sau.
Gerade in meinem Datenbankumfeld, wollen die Firmen immer „sa“ und „sysadmin“ Rechte. Und das geben die teilweise an die Enduser so weiter… Da muss ich dann regelmässig dazwischen gehen und selbst analysieren, was die User tatsächlich für Rechte benötigen… die Hersteller wisssen es selbst nicht… und dafür werden Preise aufgerufen, die frech sind…

Und heute geht es auch weiter:
Angreifer könnten medizinische Geräte von GE Healthcare kontrollieren

Und wie ja hier schon gesagt, unsicheren Standardeinstellungen und veralteter Software mit Sicherheitslücken.