Bürokratie verhindert die Reinigung virenverseuchter medizinischer Computer
Vom Conficker-Virus befallene Medizincomputer in US-Kliniken konnten aufgrund staatlicher Vorschriften nicht unverzüglich von der Schadsoftware befreit werden. Der Fall heizt die Diskussion um die Cybersicherheit-Initiative der US-Regierung weiter an.
Vom Conficker-Virus befallene Rechner im medizinischen Einsatz in verschiedenen US-Kliniken konnten aufgrund staatlicher Vorschriften nicht unverzüglich von der Schadsoftware befreit werden. Der Fall heizt die Diskussion um das von der US-Regierung forcierte Programm für mehr Cybersicherheit weiter an.
Wie Rodney Joffe, einer der Gründer der Conficker Working Group, gegenüber dem Nachrichtensender CBS erklärte, seien die betroffenen Computer unter anderem für die Berechnung und Analyse von Bildern in der Magnet-Resonanz-Tomografie (MRT) verwendet worden. Speziell für das Gesundheitswesen ausgearbeitete Vorschriften, die eigentlich dem Schutz von Patienten und Ärzten gelten, hielten die Krankenhäuser jedoch davon ab, die infizierten Rechner zu reinigen – in derartigen Fällen gelten Wartefristen von bis zu 90 Tagen, bevor die Systeme "manipuliert" werden dürften.
Den Behörden teilte Joffe mit, seine Organisation habe in den vergangenen drei Wochen über 300 kritische medizinische Systeme ausgemacht, die allesamt infiziert seien und alle vom gleichen Hersteller stammten. Die Rechner seien zudem vielfach nicht nur in unmittelbarer Nähe oder sogar direkt auf Intensivstationen der Kliniken im Einsatz, sondern außerdem über lokale Netzwerke mit dem Internet verbunden. Derart kritische Systeme dürften keinesfalls an das Internet gekoppelt werden, warnte Joffe.
Joffe lehnte in diesem Zusammenhang auch die Pläne der Obama-Regierung für ein neues US-Stromnetz ab. Wie eine Studie des US-Sicherheitsunternehmens IOActive gezeigt hatte, weisen die für den dortigen Einsatz geplanten Systeme erhebliche Sicherheitslücken auf, die Cyberattacken Tür und Tor öffnen könnten. Joffe wiederholte daher seine Forderungen, das U.S. Computer Emergency Readiness Team des Department of Homeland Security als Aufsichtsbehörde für Cybersecurity sowohl personell wie auch finanziell in die Lage zu versetzen, seine Aufgabe erfüllen zu können – unter der Kontrolle durch die Regierung. (map)
