![\"Gesundheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" "\\"Gesundheit\\"")
Heute mal eine Frage an die Blog-Leserschaft, die im Bereich Gesundheitswesen, Kliniken, Arzt-Praxen oder auch in der Entwicklung von Medizin-Software unterwegs ist. Wie aktuell und sicher ist unsere Software in der Medizintechnik bzw. im Gesundheitswesen? Ist da alles paletti, oder schieben wir einen riesigen Berg an Sicherheitsproblemen der eingesetzten Software vor uns her?<\/p>\n
<\/p>\n
Der Hintergrund ist recht einfach. Aktuell stehe ich im Austausch mit einem Datenschutzbeauftragten eines Bundeslandes, weil mir ein ziemlicher Klopper in einer Software \"zugespielt wurde\". Das, was ich so erfahre, deutet darauf hin, dass der Hersteller nassforsch alles abstreitet und insgeheim wohl nachbessert. Ich lasse es noch ein wenig weiter laufen, bevor ich ein full disclosure hier im Blog einstelle.<\/p>\n
![\"Arzt\"](\"https:\/\/borncity.com\/senioren\/wp-content\/uploads\/2023\/05\/J3cUMGL.jpg\" "\\"Arzt\\"")
\n(Quelle: Pexels\/Pixabay CC0 Lizenz)<\/p>\n
Bei der Suche nach der Korrespondenz zu diesem Fall bin ich in meinem \"Mail-Store\" auf einige \u00e4ltere \"Leser-Mails\" gesto\u00dfen, wo mir Stilbl\u00fcten bei Software aus dem Gesundheitsbereich gemeldet wurden.<\/p>\n
Nachfolgend ein kleiner Abriss, was vor drei, vier Jahren noch Sache war. Die Meldungen stammen von Blog-Lesern, und lassen die Anbieter von Medizinger\u00e4ten und -systemen in keinem guten Licht erscheinen.<\/p>\n
Ger\u00e4te lassen sich ggf. per Netzwerk mit Rechnern koppeln, um Daten per Filetransfer auf Festplatte der Rechner abzulegen. Das geschieht in der Microsoft-Welt \u00fcber das SMB-Protokoll.<\/p>\n
Das SMB-Protokoll, oder Server Message Block,\u00a0ist ein Netzwerkprotokoll, das f\u00fcr die gemeinsame Nutzung von Dateien, Druckern und anderen Ressourcen in einem Netzwerk verwendet wird.\u00a0Es erm\u00f6glicht eine Client-Server-Kommunikation, um Daten zwischen verschiedenen Systemen auszutauschen.\u00a0SMB ist weit verbreitet, besonders in Windows-Netzwerken, und wird auch in Linux-Systemen durch das Samba-Projekt implementiert.<\/p>\n
Aber es gibt das SMBv1-Problem:\u00a0Die Version 1 (SMBv1) des vor \u00fcber 35 Jahren entworfenen Netzwerkprotokolls und speziell die Microsoft-Implementierung, gilt als sehr fehleranf\u00e4llig und sicherheitskritisch. Zwischenzeitlich gibt es SMBv2 und SMBv3, so dass die Verwendung von SMBv1 in Windows-Netzwerken nicht mehr unbedingt erforderlich ist.<\/p>\n
Microsoft hat daher bereits im September 2017 den Beitrag\u00a0Stop using SMB1<\/a> ver\u00f6ffentlicht, in dem von der Verwendung von SMBv1 abgeraten wird. Es sei unsicher und den modernen Anforderungen nicht mehr gewachsen. Zudem sei SMBv1 nicht mehr erforderlich, so die Microsoft Lesart. Lag 2017 und teilweise noch im Jahr 2025 weit neben der \"Lebensrealit\u00e4t\". Denn es wurde in dieser Einsch\u00e4tzung das Problem verkannt, dass in vielen Firmen immer noch Ger\u00e4te wie Multifunktionsger\u00e4te (Drucker mit Scan-Einheiten) stehen, die \u00fcber SMBv1 Dateien auf Freigaben speichern. Die lassen sich nicht umstellen, weil die Ger\u00e4te-Entwickler bzw. Hersteller keine Firmware-Updates bereitstellt, die diese auf SMBv2 oder SMBv3 ert\u00fcchtigen.<\/p>\n Ich hatte im Blog-Beitrag Windows 10: Aus f\u00fcr SMBv1 ab Herbst 2017<\/a> darauf hingewiesen, dass Microsoft vor vielen Jahren damit begann, SMBv1 in Windows 10 schrittweise abzuschalten. Am Artikelende finden sich einige Links auf Beitr\u00e4ge hier im Blog, die bereits vor Jahren das Problem verdeutlichten – der Beitrag Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren<\/a> ist aus 2020. Aber auch noch 2024 hing uns das Thema nach – wie aus Artikeln hervorgeht.<\/p>\n Zeitsprung ins Jahr 2021 – aus dem April des Jahres liegt mir eine Leser-Mail vor, die eine SMBv1-Stilbl\u00fcte thematisiert. Eine\u00a0Medizinger\u00e4te-Dienstleistungsfirma stellt in Arztpraxis ein fahrbares Ultraschallger\u00e4t auf. Damals feierten Windows 8.x und Windows 10 auf den Rechnern der Praxen noch fr\u00f6hliche Urst\u00e4nde.<\/p>\n Das fahrbare Ultraschallger\u00e4t sollte per Netzwerk an die PCs in der Praxis angeschlossen werden, um die Daten auf eine Festplatte transferieren zu k\u00f6nnen. Der Blog-Leser, der als IT-Dienstleister unterwegs ist, schrieb, dass die Firma die Arbeiten in der Praxis mit der Begr\u00fcndung abbrach, dass Windows 8.x\/10 kein SMBv1 mehr unterst\u00fctze. Das gelieferte Ultraschallger\u00e4t konnte nur einen Dateitransfer per SMBv1 – ein Problem, was man auch heute noch kennen d\u00fcrfte.<\/p>\n Der Leser rief bei der Firma an und beklagte sich \u00fcber den Sachverhalt. Daraus entspann sich ein interessanter Dialog, der ziemlich kaputte Zust\u00e4nde skizziert.<\/p>\n IT-Dienstleister: \"Warum m\u00fcssen wir kleinen Dienstleister ein IT-Sicherheitskonzept haben, w\u00e4hrend einige Medizinger\u00e4tehersteller (wir reden von systemrelevanter Infrastruktur) die Endkunden zwingen, endlich geschlossene Sicherheitsl\u00fccken wieder zu \u00f6ffnen; sprich SMBv1 zu reaktivieren?<\/em>\"<\/p>\n Antwort der Firma: \"Unsere IT-Abteilung will nicht daf\u00fcr haften.<\/em>\"<\/p>\n IT-Dienstleister: \"Ach so, der \u00f6rtliche IT-Betreuer der Praxis soll also daf\u00fcr haften? Warum ver\u00f6ffentlicht der Ultraschall-Ger\u00e4terhersteller keine Ger\u00e4te oder Firmwareupdates, die SMBv2-f\u00e4hig sind?\"<\/em><\/p>\n Antwort der Firma: \"Weil das Ger\u00e4t sonst wieder durch ein neues Audit (IT-Medizin-Ger\u00e4tesicherheitsgesetz xy) muss und das ist teuer und die B\u00fcrokratie langwierig<\/em>\".<\/p>\n Der Leser zog damals das Fazit: \"Die Arztpraxis muss also SMBv1 an einigen Windows 10-Clients reaktiveren, um das Ultraschallger\u00e4t betreiben zu k\u00f6nnen. Im aktuellen Fall war es ein Ultraschallger\u00e4t f\u00fcr eine Tierarztpraxis. Aber der Leser meinte seinerzeit: \"Ich k\u00f6nnte aber drauf wetten, dass es solche F\u00e4lle auch bei Ger\u00e4ten in der Humanmedizin geben k\u00f6nnte.\"<\/p>\n Der zweite Fall, den mir der Leser 2021 schilderte, hatte auch ein besonderes Geschm\u00e4ckle. Der Leser betreute seinerzeit auch eine Zahnarztpraxis. Dort erlebte er, dass die Supporthotline des Zahnarztprogramms die Benutzerkontensteuerung unter Windows 10 mal eben schnell f\u00fcr die Clients der Zahnarztpraxis auf \"komplett deaktiviert\" umgeschaltet hat. Grund: Im Jahre 2021 lie\u00df sich eine bestimmte Software (es war Neukauf!) nicht installieren bzw. an manchen Rechnern nicht korrekt starten.<\/p>\n Nur mal angemerkt: Das Konzept der Benutzerkontensteuerung gibt es seit Windows Vista – also so irgendwo 2007. Wie schrieb der Leser damals (TM): Soweit zu einer kurzen Bestandsaufnahme \"Systemh\u00e4user\/\u00f6rtliche IT-Dienstleister im Kampf gegen tr\u00e4ge Ger\u00e4te- und Branchensoftware-Hersteller\".<\/p>\n Ich hatte ja 2024 hier im Blog \u00fcber den Hack das Fernwartungsanbieters AnyDesk berichtet. Die \"unendliche Geschichte der AnyDesk\" (TM) startet mit dem Beitrag AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1 und wurde bis Teil 12 fortgesetzt. Am Ende der Artikelreihe war klar, dass alle AnyDesk-Kunden zumindest den AnyDesk-Client \"pronto austauschen m\u00fcssen\", weil alte Versionen als kompromittiert galten und mir auch Zugriffsversuche von unbefugten Dritten gemeldet worden waren.<\/p>\n Beim St\u00f6bern im eigenen Mail-Store ist mich dann bei der Suche nach CGM eine Nachricht vom Februar 2024 \"angesprungen\". Die Mail stammt von einem Leser, der f\u00fcr ein herstellerunabh\u00e4ngiges Systemhaus arbeitet, das seit 15 Jahren im Bereich Medizin aktiv ist.\u00a0Mit Kollegen hatte er seinerzeit bez\u00fcglich der bei Kundensystemen mitgelieferten Anydesk-Clients gesprochen. O-Ton der Mail: \"Ich wollte noch folgende Details weitergeben:\"<\/p>\n Die in den CGM (Medistar) ausgelieferten Anydesk Versionen sind alle (ich habe mal 3 unabh\u00e4ngige Installationen untersucht) noch auf Versionsstand 7.<\/p>\n Signiert sind die Dateien von Anydesk\/Philandro selbst mit einem recht alten Zertifikat, das aber laut Digicert (noch) nicht widerrufen wurde. Bemerkenswert ist, dass die EXE lediglich eine sha1 Signatur bekommen hat \u2013 die gilt nicht nur als unsicher, sondern ist wohl auch kaum mehr notwendig, da Windows XP meines Wissens das letzte Microsoft OS war, das ausschlie\u00dflich sha1 f\u00fcr die Signatur von Binaries beherrschte. Allerdings ist es wohl auch nichts au\u00dfergew\u00f6hnliches, dass Softwareanbieter noch zu dieser veralteten Signaturmethode greifen. Das kommt mir leider \u00f6fter unter die Augen.<\/p><\/blockquote>\n Das Zertifikat war bis zum 5.1.2022 g\u00fcltig – die Software h\u00e4tte wegen der Kompromittierung des Herstellers l\u00e4ngst ausgetauscht geh\u00f6rt. Interessierte aber den Anbieter der Zahnarzt-Software seinerzeit nicht.<\/p>\n Gut, sind jetzt alles olle Kamellen Anno 2021 und 2024, und 2020 hatten wir Corona, da blieb vieles liegen. Bestimmt ist alles inzwischen besser – wir beerdigen im Oktober 2025 dieses \"alte\" Windows 10 und migrieren endlich auf das super sichere Windows 11 mit AI on Bord. Endlich kommt flotter Wind in die Arztpraxen – und wir freuen uns, wie das alles mit der TI, KIM, sowie den PVS samt deren ePA-, eRezept-, eAU-Anbindung und der Integration von Medizin-Ger\u00e4ten harmoniert.<\/p>\n Beim St\u00f6bern im Mail-Store bin ich dann noch auf eine Pressemitteilung eines Anbieters von Praxisverwaltungssoftware gesto\u00dfen, der die Einf\u00fchrung der ePA Anfang des Jahres als Meilenstein der Medizin-IT feiert, alles modern, sicher und flott unterwegs (ich erspare mir die Widergabe des Pressetexts).<\/p>\n Best\u00e4tigt mir bitte, dass meine obigen Aussagen mit \"dem flotten Wind in den Arztpraxen\" samt Migration zu Windows 11 auf einem guten, stabilen und sicheren Weg ist – und das die obigen Stilbl\u00fcten im Jahr 2025 endlich pass\u00e9 sind. Ok, wenn jemand (noch) andere Beobachtungen hat, immer her damit.<\/p>\n \u00c4hnliche Artikel:<\/strong> Heute mal eine Frage an die Blog-Leserschaft, die im Bereich Gesundheitswesen, Kliniken, Arzt-Praxen oder auch in der Entwicklung von Medizin-Software unterwegs ist. Wie aktuell und sicher ist unsere Software in der Medizintechnik bzw. im Gesundheitswesen? Ist da alles paletti, oder … Weiterlesen Stilbl\u00fcte 2: Support deaktiviert UAC in Windows 10<\/h3>\n
CGM und AnyDesk im Februar 2024<\/h3>\n
![\"Eigenschaften](\"https:\/\/i.postimg.cc\/HkLHnRR4\/image002.png\")
<\/a><\/p>\nWie sieht die Situation 2025 aus?<\/h2>\n
\nSMBv1-FAQ und Windows-Netzwerke<\/a>
\nWindows 10: Aus f\u00fcr SMBv1 ab Herbst 2017<\/a>
\nSMBv1-Abschaltung bei Windows 10 Enterprise ab 9.6.2017<\/a>
\nWindows 10: SMBv1-Klippen in Version 1803<\/a>
\nSamba 4.11 deaktiviert SMBv1 und unterst\u00fctzt SMBv2<\/a>
\nMicrosoft empfiehlt SMBv1 bei Exchange zu deaktivieren<\/a>
\nWindows: SMB-Signing wird (bald) f\u00fcr alle Versionen erzwungen<\/a>
\nWindows 11\/Server 2024 SMB Security-Hardening<\/a>
\nWindows 11 24H2 kann Probleme mit SMB-NAS-Anbindung machen<\/a>
\nWindows 11 Home: SMB1 wird deaktiviert und k\u00fcnftig entfernt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"