Krankenhaus verschlüsselt

[peterle]

Mit einer Mischung aus Erstaunen und Erheiterung habe ich heute gelesen, daß man in Aachen ein Krankenhaus mit einem Virus lahm gelegt hat.

http://www.aachener-zeitung.de/loka...ienhospital-notaufnahme-geschlossen-1.1311531

Mir scheinen die Sicherheitskonzepte der EDV in solchen Betrieben zumindest verbesserungswürdig zu sein. Sicherlich will jeder schnell mal eben was installieren und mal Mails machen können ... aber das kommt dann eben gerne mal dabei raus.

 

[KobRheTilla]

Ist in meinen Augen absolut unverantwortlich. Jede mittlere IT-Bude muss ein Sicherheitskonzept beim BSI einreichen aber ein Krankenhaus darf mal schnell durchverschlüsselt werden. Dem Träger müsste man mal einen Zwangs-Audit verpassen.

Rob

 

[-Nuke-]

Problem ist halt, dass diese Verschlüsselungstrojaner von kaum einem Anti-Virenprogramm zuverlässig erkannt werden. Und wenn das nicht hilft, was wäre denn eure "Waffe" dagegen?

Bis auf Backups fällt mir da gerade nichts ein.

 

[KobRheTilla]

- Verhaltensregeln im Umgang mit E-Mails und deren Anhängen aufstellen
- Makros in Office-Produkten deaktivieren

Rob

 

[-Nuke-]

Verhaltensregeln schützen nicht und sind auch kein zuverlässiger Schutz und Makros sind nur ein Weg wie die Verschlüsselungstrojaner auf den Rechner kommen. Die kommen auch auf anderen Wegen rein.

Noch problematischer wird es, wenn du dann auch noch normale Office-Dokumente mit Markos hast und diese somit nicht einfach abschalten kannst...

 

[Rakor]

Es mag sein, dass es einige Branchen gibt die in den letzten Jahren etwas geschlafen wurde wenn es um die IT-Sicherheit geht. Dennoch sehe ich es ähnlich wie @-Nuke- . Diese Dinger sind fies und stellen ein ernsthaftes Problem dar, auch in Unternehmen die hier vorsichtiger sind.

Verhaltensregeln sind eine Grundvoraussetzung, dass mit den Unternehmenswerten verantwortungsbewusst umgegangen wird. Aber Aufklärung kann immer nur die Wahrscheinlichkeit mindern, dass doch mal einer rein tappt. Du kannst es aber nicht ausschliessen. Mit der Anzahl der, nicht IT-afinen Mitarbeiter steigt das Risiko wieder. Makros zu Deaktivieren ist auch meist eine gute Entscheidung, aber in vielen Umfeldern halt auch nicht einfach so umsetzbar. Zumal nicht jeder Schadcode ein Office-Makro ist.

Wenn so ein Ding mal losbraust hast du relativ schlechte Karten. Die Verfügbarkeit von Backups etc ist Pflicht, aber der Schaden ist erst mal da. Und oft ist es da wirklich das beste alles erst mal zu trennen.

 

[KobRheTilla]

In einem Krankenhaus ist die Anzahl der nicht-IT-affinen MA leider maximal. Da helfen Verhaltensregeln durchaus, die Leute haben nämlich wirklich Null Ahnung von dem, was dort tun. Die bekommen in Schulungen nur die Software gezeigt, mit der Sie arbeiten MÜSSEN. Sogar die Admins sind teilweise Ex-Hausmeister. Meine Mutter arbeitet in dem Umfeld. Was die mir berichtet, ist einfach nur zum Kopfschütteln.

Ich verstehe eben nicht, dass es überhaupt möglich sein DARF, ein Krankenhaus so unsicher zu fahren. Audit? Fehlanzeige. Sicherheitskonzept? Fehlanzeige. Zertifizierte Admins? Fehlanzeige.

Rob

 

[rubricanis]

Ich vermute mal dass die IT in solchen Häusern eher "naturwüchsig" entstanden ist, also Flickwerk. Und dann ist das natürlich auch ein Kostenfaktor denn gute IT kostet eben auch und da KHs wie so vieles andere auch (Verwaltung etc) unter einem erheblichen Kostendruck stehen wird da nicht unbedingt gerne investiert. Aber solche Vorkommnisse werden im Laufe der Zeit dazu führen dass sich das ändert, - zumindest hoffe ich das!

Nachtrag: Mit einem neuen CT kann man angeben, mit einer neuen IT eher nicht.

 

[ari]

Ich verstehe eben nicht, dass es überhaupt möglich sein DARF, ein Krankenhaus so unsicher zu fahren. Audit? Fehlanzeige. Sicherheitskonzept? Fehlanzeige. Zertifizierte Admins? Fehlanzeige.

Budget? Fehlanzeige? Nicht komplett beschissene Gesetzeslage? Fehlanzeige. Ich sag' nur 'Medizinproduktegesetz', mit dem haben wir hier in .at ernsthafte Mengen an 'Spass'.

Wenn so ein Ding mal losbraust hast du relativ schlechte Karten. Die Verfügbarkeit von Backups etc ist Pflicht, aber der Schaden ist erst mal da. Und oft ist es da wirklich das beste alles erst mal zu trennen.

Es gibt halt doch Massnahmen, mit denen man den Schaden bzw. die Gefahr einer Infektion begrenzen kann. Nur implementiert die halt (fast) keiner.

 

[pit234a]

Gesetz ist eine Sache. Ich sag ja immer, dass nur die Gesetze sinnvoll sind, die man auch durchsetzen kann. Verabschiedet man irgendwelche Gesetze mit der Absicht, dass die sich dann schon von selbst umsetzen werden, dann kann es eben sein, dass die gar nicht befolgt werden.

In Krankenhäusern sehe ich das leider sehr häufig.
Da gibt es das MPG (Medizinproduktegesetz), das dem Betreiber Auflagen macht, aber der Betreiber ist irgendein Kaufmann in irgendeiner AG oder GmbH und hat nochnie im Leben von seiner Verantwortung abseits der Umsatzzahlen gehört. Folglich bleibt das MPG eine reine Good-Will Maßnahme und lediglich Hersteller und Inverkehrbringer mussten sich anlehnen und umstellen. Ich möchte nicht wissen, wie viele Geräte in einem Krankenhaus laufen, die dem MPG nach nicht ordentlich repariert oder gewartet werden. Das reicht bis zur Patientengefährdung und dafür gibt es keinen Zuständigen, der auch das nötige Wissen und Gespür hätte.

Ganz famos wird die Datenschutz-Richtlinie in vielen Häusern vollkommen ignoriert. Da können auf unterschiedlichen Stationen Befunde und Bilder abgerufen werden und zwar von nahezu jedem Angestellten, der Zugang zu einem PC hat. Wenn es einen Passwort-Schutz gibt, dann sind oft die Frühschichten jene, die sich einloggen und dann wird unter diesem PW den ganzen Tag gearbeitet. Das steht ganz oft unter dem Motto: "man muss es ja nicht unnötig kompliziert machen".

Schutz vor Viren ist ein interessantes Thema.
Natürlich muss dieser Schutz auf jedem PC installiert sein und das darf ein Krankenhaus mitunter nicht machen, denn, ein PC mit SW kann ein Medizinprodukt sein und dann ist es so, wie es ist validiert und zertifiziert und niemand darf zusätzliche SW aufspielen, auch keinen VirenSchutz, ohne damit die Bauartzulassung zu übernehmen. Das bedeutet, wenn ein KKH dies macht, dann müsste es als Hersteller eine Betriebsgenehmigung für dieses Gerät einholen und dann müsste es auch in Zukunft die Reparaturen und Wartungen durchführen, denn die ursprüngliche Herstellerfirma "kennt" ja nun das Produkt nicht mehr und kann daher keine Funktionsprüfung durchführen.
Wird dann beim Hersteller ein Virenschutz gekauft, dann kann der der mal locker 10.000€ pro PC kosten!

Sehr oft werden im KKH einfache PCs mit einem Microsoft benutzt, wo dann irgendeine ZusatzSW drauf kommt. USB-Anschlüsse und Optische Laufwerke bleiben offen und aktiv! Niemand macht sich die Mühe, diese zu versiegeln und zu deaktivieren.

Es gibt auch so gut wie nie allgemeine Kurse zum Umgang mit PCs oder mit Daten. Es wird vielleicht der Umgang mit einer bestimmten SW trainiert, aber ansonsten soll jeder intuitiv alles richtig bedienen. Jeder, das meint jeden, vom Arzt bis zur Praktikantin. Das gilt genauso auch für Grundsätze des Datenschutzes oder den Umgang mit Patienten. In allen Bereichen gilt ausschließlich der Geldspar-Ansatz. Nunja, im Grunde sind alle KKH auch nicht tragfähig und bankrott, ähnlich wie unser gesamter Staat.

Also, bei diesem Geldmangel, bei Unwissenheit von der Manager-Ebene angefangen und bei dem Unwillen unserer Gesellschaft, hier zu klagen, finde ich die nun bekanntgewordenen Attacken sogar löblich, weil sie endlich mal einige wenige Schwachpunkte ins öffentliche Bewusstsein bringen.

 

[double-p]

Jede mittlere IT-Bude muss ein Sicherheitskonzept beim BSI einreichen

Wo steht das?

Und "Konzept" ... right.

 

[SolarCatcher]

Ich glaube auch, dass Krankenhäuser und viele andere Unternehmen/Insitutionen noch einiges lernen müssen in Sachen IT-Sicherheit.

Ist aber auch nicht ganz leicht. Vor ein paar Jahren hatte ich mir im Urlaub einen Knochen gebrochen - das norwegische Krankenhaus hat mir die Röntgenaufnahme auf CD-R mitgegeben, was ich ziemlich gut fand. Aber die waren da nicht einfach als Bilddatei drauf, sondern mit einem Extra-Viewer-Programm. Zurück zu Hause hat der Arzt im Krankenhaus die CD eingelegt, die kleine .exe-Datei gestartet und sich die Aufnahmen angeschaut... Als Patient hat mich das mit gemischten Gefühlen zurückgelassen: Froh, dass ich nicht neu geröntgt werden musste, etwas schockiert, dass der Arzt auf seinem Klinik-Desktop einfach eine x-beliebige fremde .exe-Datei öffnet...

Bei meiner Bank war die Barriere letztens etwas höher: Ich hatte Unterlagen nur auf dem USB-Stick mitgebracht. Der Rechner hatte auch USB-Anschlüsse. Er installierte auch gleich den richtigen Treiber... nur um dann mitzuteilen, dass der Zugriff gesperrt ist! Gut so. Leider findet dieselbe Bank nichts dabei, Unterlagen mit all meinen Daten unverschlüsselt per E-Mail zu versenden.

 

[Rakor]

Bei meiner Bank war die Barriere letztens etwas höher: Ich hatte Unterlagen nur auf dem USB-Stick mitgebracht. Der Rechner hatte auch USB-Anschlüsse. Er installierte auch gleich den richtigen Treiber... nur um dann mitzuteilen, dass der Zugriff gesperrt ist! Gut so. Leider findet dieselbe Bank nichts dabei, Unterlagen mit all meinen Daten unverschlüsselt per E-Mail zu versenden.

Das ist leider sehr weit verbreitet... Ich hatte mit unserem Versicherer auch etwas rum machen müssen bis wir Daten zumindest "halbwegs sicher" austauschen konnten. Dass gerade in so Branchen der Sinn für sichere Kommunikation nicht vorhanden ist versteh ich nicht. Ich sag nur "Diskretion. Bitte halten Sie Abstand".

 

[pit234a]

CD eingelegt, die kleine .exe-Datei gestartet und sich die Aufnahmen angeschaut...

nur soviel mal dazu: irgendein Viewer ist nicht zertifiziert, um damit Befundungen durchführen zu dürfen.
Es ist klar, dass viele Ärzte das machen und eben bequem sind, aber vorgeschrieben sind Qualitätsrichtlinien die durch vorgegebene und wiederkehrende Prüfungen sicher stellen, dass da nicht irgendeine SW oder ein defekter Monitor Bilder falsch darstellen. Es könnte sehr leicht der ein oder andere Befund verschwinden, wenn man die Qualität nicht prüft und sichert. Solche Viewer auf den CDs sind daher grundsätzlich nur als Zugabe und für den Kunden als kleines Präsent gedacht, damit er sich die Bilder selbst zu Hause an seinem PC ansehen kann, wo er ja nicht unbedingt einen brauchbaren Viewer im Einsatz hat.

Nebenbei ist das auch eine Sache, wo man im Opensource-Umfeld ziemlich wenige gute Lösungen zu bieten hat. Es gibt für Ubuntu und sicher andere GNU/Linux eine Sammlung an Tools und Viewern, die mehr oder weniger brauchbar aber weit entfernt von professionellen Ansprüchen sind. Die meiner Ansicht nach Beste Lösung ist Osirix (ich meine so hieß das) für Mac-OS-X. Macs haben in aller Regel auch keine Probleme mit den geforderten Werten für Kontrast, maximale Helligkeit und minimale Auflösung. Und auf Macs könnte man dann mit .exe ja auch nicht allzu viel anfangen...

Also, das Verhalten dieses Arztes war aus mehrfacher Richtung technisch betrachtet nicht gut. Aber ein schönes Beispiel für das, was allzu häufig noch Standard ist.

Und was die Qualität angeht: die neuen Überlegungen mit Bilddaten in einer Cloud sollen dann ja beteiligten Ärzten Weltweit Zugang zu diesen Bildern verschaffen, auch auf Smart-Phones (logisch, wer heute daran nicht denkt, hat schon verloren) und ich frage mich natürlich, wo da das Bewusstsein für Kontrolle bleibt. Wie will man die Qualität der Wiedergabe auf diesen Dingern prüfen? Und wer kann nachvollziehen, ob der Arzt seine Befundung vielleicht auf genau solch einem Gerät durchführt, während er nebenbei Golf spielt. Hier verwechseln meiner Ansicht nach die Befürworter dieser Technologie Anforderungen für Amüsier-Bedarf und professionellen Gebrauch. derzeit gibt es an einen Befungsplatz hohe Anforderungen an die Konstanz der Umgebungshelligkeit, neben den anderen technischen Anforderungen und man mag das für einen übertriebenen Aufwand halten, aber nur so kann tatsächlich die Qualität auch nachvollziehbar hergestellt und schließlich überwacht werden.

 

[guru]

Die Ärzte machen ja nur einen kleinen Prozentsatz der aufwändigeren EDV-Arbeit. Wovon ein Krankenhaus organisatorisch lebt, ist eine fehlerfreie Logistik, was zum Beispiel die Arzneimittel, die Essensversorgung, Materialien oder Patientendaten betrifft. Jeder kann sich auf jedem der 2000 Computer anmelden und seinen Berechtigungen entsprechend über wirklich umfangreiche Software wie SAP, MPA oder CATO auf eine riesige Datenbank seit immer zugreifen und problemlos jederzeit nachweisen, wann welche Station welches Arzneimittel zuletzt bestellt hat und was das gekostet hat, wie das MRT von Patient X im Jahr 2005 befundet wurde, in welchem Regal das Paraffineingebettete Nierenkarzinom von damals auf der Patho liegt, die ganze Software muss so simpel wie möglich schulbar sein. Auf die Frage, warum kein Linux oder BSD verwendet wird, sagte man mir, die Leute seien Windows gewöhnt und deshalb sei das nunmal der Standard. Wird sich in 10 Jahren ändern, wie ich denke ...

Soweit ich bisher verstanden habe, wie FOSS-Projekte arbeiten, nämlich indem Software von erfahrenen Nutzern für Zwecke geschrieben wird, für die es noch keine passende Software gibt, gibt es aus diesem Grund kaum Bundles wie die Adobe CS oder eben SAP etc. Vielleicht finden sich ja noch Projekte, die in Zusammenarbeit mit dem Gesundheitssystem die Software entwickeln. Oder ich kenne einfach keine.

Ein Krampf ist schon, immer zu lesen, wie einzelne Informatiker über 24 Stunden verteilt alle drei Stunden Statusupdates mailen, wenn mal etwas wirklich nicht hinhaut. Und das passiert regelmäßig. Einen Nachmittag lang nicht telefonieren oder einen Tag lang nicht drucken zu können, oder der Absturz eines der genannten Programme ist meines Erachtens im 21. Jhdt ein Scherz.

 

[bananenBrot]

Krankenhäuser arbeiten heute fast ausschließlich defizitär. Dh das Geld, was man überhaupt noch übrig hat, muss man in die Ausstattung und die Ärzte stecken, sonst kommt ja niemand mehr.
Wenn also kein Geld mehr in die IT gesteckt wird (und ich kenne Krankenhäuser, deren IT besteht aus 1 Mensch und 1 Azubi), dann ist völlig klar, dass die Auswirkungen eines noch so kleinen Angriffs ordentlich eklig sind.
Aber was will man machen, Geld für IT ist halt nicht da. (ist schon da, wird nur von der Politik gern für anderen Kram ausgegeben)

Die IT ist heutzutage wichtiger als je zuvor, trotzdem muss jedes noch so kleine Budget immer wieder verteidigt werden.

 

[pit234a]

Und all dies vor dem Hintergrund, dass Krankenhäuser ja schon weitgehend privatisiert sind, also zu irgendwelchen Konzernen gehören und diese Privatisierung noch deutlich gesteigert werden soll. Rentabilität kann Investitionen in Datensicherheit nicht gut heißen. Bevölkerung und Politik haben hier kein Problem erkannt, reden auch immer nur von Kosten, Gewinn und Wachstum.
Nicht, dass die herrschenden Zustände weniger beängstigend wären, wenn die Trägerschaft gesamtgesellschaftlich verantwortet würde, aber es gäbe dann eine Gefahr weniger, nämlich, dass Daten lukrativ für Nebengeschäfte benutzt werden wollen.
Im Bewusstsein der Bevölkerung ist dieses Denken meiner Erfahrung nach leider gar nicht angekommen. Krankenhäuser, Ärzte, Menschen in weißen Kitteln, die haben da einfach ein sehr gutes Ansehen und es wird ihnen und den Organisationen, die sie beschäftigen blind vertraut. Wer mit einem Leiden in ein Krankenhaus kommt, macht sich auch andere Sorgen und wer dort arbeitet, womöglich auch.

Für mich versagt unsere Gesellschaft hier, weil sie Gesetze nicht umsetzen kann und prüft, wie ein MPG-Verantwortlicher seine Verantwortung tatsächlich wahrnimmt, wahrnehmen kann.

 

[abeginner]

Also, das Verhalten dieses Arztes war aus mehrfacher Richtung technisch betrachtet nicht gut. Aber ein schönes Beispiel für das, was allzu häufig noch Standard ist.

Und was die Qualität angeht: die neuen Überlegungen mit Bilddaten in einer Cloud sollen dann ja beteiligten Ärzten Weltweit Zugang zu diesen Bildern verschaffen, auch auf Smart-Phones (logisch, wer heute daran nicht denkt, hat schon verloren) und ich frage mich natürlich, wo da das Bewusstsein für Kontrolle bleibt. Wie will man die Qualität der Wiedergabe auf diesen Dingern prüfen? Und wer kann nachvollziehen, ob der Arzt seine Befundung vielleicht auf genau solch einem Gerät durchführt, während er nebenbei Golf spielt.

Aus meiner Sicht ist das zu kurz gedacht.
Hinsichtlich Sofware dürfte ein Spital enorm viele Aufgabenbereiche fordern. Von rein medizinaltechnischen Dingen über PatientenVerwaltung und Logisitk. Problematisch dabei ist doch, dass aus Gründen von KostenEffizienz die Wege möglichst kurz gehalten werden müssen. Aber dafür alleinig der Politik die Schuld in die Schuhe schieben, wäre zu einfach.
Der medizinaltechnische Bereich beginnt schon mal bei der Gerätschaft und deren Steuerung; und da wären noch zahlreiche Protokolle, Dateiformate usw
Ärzte und ihre Teams sind aufgefordert, Behandlung möglichst schnell zu bieten. Dass dies nur mit "Möglichst immer und von überall auf alle Daten zugreifen" einhergeht, versteht sich von selbst. Kommt dazu, dass die Software-Industrie massiv mit diesem Versprechen wirbt.
Wir aber wissen, das Sicherheit nun mal auch Umständlichkeit aufdrängt und im Prinzip ein Widerspruch zur "alles können"-Mentalität ist.
Was die häufig zur Debatte stehenden PatientenDaten betrifft, so wird schliesslich auch der Ruf nach Institutions-übergreifender Plattformen laut. Und hier ist's sogar die Medizin, mit ihr verknüpfte Industrien (zB Pharma) und auch Forschung welche an einer Etablierung solcher Lösung interessiert ist.


Doch : in diesem Fall ging's spezifisch um einen per schlichtem EMail eingeschleusten Trojaner. Auf die Frage was dagegen getan werden kann, reichen wenige Aspekte wohl leider nicht.
Wo wir hier um die technische IT-Sicherheit diskutieren, dürfen wir im Sinne der Sache aber auch die "medizinische Sicherheit" nicht ausser Acht lassen. Und da spielt "Verfügbarkeit von Informationen" eine zentrale Rolle - die thematisch über "alles ist möglich" hinausreicht.

Für mich besteht ein möglicher praktischer Ansatz darin, die einzelnen Abteilungen in Sachen "Kommunikation" in Prioritäten zu kategorisieren. Nach ringförmigem Sicherheitskonstrukt. Dort wo Überschneidungen stattfinden (zB PatientenInformationen) könnte etwa DateiKonventierung zum Einsatz kommen.
Sicherheitssensible Einrichtungen (OP's & medizinische Unterschuchung wie etwa Röntgen, MRI usw) müssen aus einem getrenntem System/Ring bestehen, so, dass ein -und ausgehende Kommunikation den laufenden Betrieb unter keinen Umständen beinträchtigen kann. So ähnlich wie man beim Stromkreislauf vorgeht.
Evtl erwägung eines ThinClient-Konzepts. ZB : Jede Abteilung hat ihren eigenen Server, gearbeitet wird an ThinClients.

 

[pit234a]

@abeginner

Trotzdem gibt es ja bereits Gesetze, Normen und Standards die gelten und in den Häusern nicht beachtet werden.
Man muss irgendwo den Trennstrich zwischen bequemer Arbeit und Schutz des Patienten ziehen. Dabei meint Schutz nicht nur Datenschutz. Wenn jemand auf einem nicht überprüften PC mit irgendeinem nicht überprüften Viewer Bilder betrachtet, ist das OK. Wenn er aber damit einen Befund erstellen oder bestätigen will, verstößt er gegen geltendes Recht und das sollte er zumindest wissen und die Gefahren kennen, die er damit herauf beschwört. Letztlich muss er als Arzt dafür gerade stehen, was er tut.

Ich will das ein wenig detaillierter beschreiben.
Medizinische Bilder werden seit einigen Jahren digital im sogenannten Dicom-Standard zwischen Anwendungen ausgetauscht. Dieser Standard ist aber nur ein Rahmen in dem sich Hersteller bewegen können. Der Standard ist offen und das bedeutet, Hersteller müssen offen legen, wie sie jeweils diesen Standard umsetzen und interpretieren. Im konkreten Fall muss dann etwa der Hersteller eines Bildgebenden Systems mit dem Hersteller einer Archiv-SW kooperieren, um den verwendeten Standard auch umzusetzen. Diese Kooperation ist oft mangelhaft, der Hersteller des Bildgebenden Systems hat ja sein Geld schon verdient und seinen Standard veröffentlicht. Dies geschieht in den DICOM Conformance Statements und ich nenne hier mal einen Link zu einem bedeutenden Deutschen Hersteller, den ich auf die Schnelle im Netz gefunden habe:
http://www.healthcare.siemens.de/services/it-standards/dicom
Hier kann also der Hersteller einer Archivierungs- oder Bildbetrachtungs-SW nachsehen, wenn er eine gewisse Modalität einbinden will, wie für diese unter verschiedenen SW-Ständen Dicom realisiert ist. Das geht so weit, dass festgelegt werden (muss) kann, wie viel Bit Graustufen ein Bild hat, welches Format dazu benutzt wird (in dem eigentlichen Dicom File steckt meist irgendein Bild) und welche Felder für Beschriftung benutzt werden etc. Ein Bildbetrachter, bzw eine Befungsstation bietet meist nicht viele Modalitäten an, weil es eben so komplex ist, alles mögliche hier zu implementieren. Jede weitere Modalität kostet Geld, manchmal ist sie gar nicht zu kaufen.
Das muss man verstehen, wenn man beurteilen will, was da gemacht wird, wenn ein Player mit auf eine CD gebrannt wird.
Der kann nichts, außer die Bilder des eigenen Formats wiedergeben.
Der SW-Umfang solcher Player ist weit reduziert und bietet nicht die üblichen Hilfen zur Befundung, wie etwa Lupen-Funktion oder freie Wahl der Fensterung (Helligkeit und Kontrast). Oft sind diese Player besonders angepasst für eine flüssige Funktion auf Heim-PCs (mit Windows).
Dahingegen sind Befundungsplätze oft an spezielle Monitore gebunden, die besondere Anforderungen erfüllen müssen. Extrem hohe Auflösung, manchmal ohne Farb-Pixel und ein gewisser minimaler Kontrast und Helligkeit müssen gewährleistet sein und werden teilweise direkt durch die SW überprüft (die Monitore haben mitunter Sensoren eingebaut, die das eigene Bild und die Umgebungshelligkeit messen). Der Aufwand für einen Befungsplatz ist meilenweit größer und sehr viel anders, als wenn jemand einen tollen PC für Ballerspiele bauen möchte.
Das alles ist nötig, damit nicht vielleicht ein kleiner Riss in einem Knochen oder eine Ablagerung in der Brust übersehen wird.
Es geht hier um zuverlässige Wiedergabe und nicht darum, möglichst gut zu komprimieren und hohe Performance zu erzielen. Und diese hohe Zuverlässigkeit darf nicht nur an einem Platz zufällig bestehen, sie muss nachweisbar an allen Befungsplätzen herrschen.

Nun könnte zum Beispiel der mitgelieferte Viewer unter Umständen das ursprüngliche Bild etwas komprimieren und umrechnen, meinetwegen statt 2^12 Graustufen nur 2^8 anzeigen, denn viel mehr ist auf einem normalen PC-Monitor eh nicht zu erkennen. Entsprechend beschränkt sind folglich die Möglichkeiten, einen bestimmten Bereich innerhalb dieser Grau-Palette exakter zu bestimmen. Damit kann ein Befund unsichtbar werden! Auch umgekehrt können Strukturen, die nicht zusammenhängen, bei verminderter Auflösung nicht mehr unterschieden werden und zu einem falschen Befund führen.
Es weiß niemand, was der Viewer macht und deshalb ist es nicht erlaubt, damit eine Befundung durchzuführen.
Betrachten ja, aber da kann man stattdessen auch einen Kino-Film ansehen, das dient nur dem Amüsement des Betrachters. Befunden nein!

Was den Schutz von Patienten-Daten angeht, sind in USA zwingend entsprechende Systeme vorgeschrieben. Es gibt da einen Standard (HIPAA http://www.hhs.gov/hipaa/), den auch alle Hersteller beachten, die in die USA liefern. Es wäre also ein Leichtes, diesen Standard für uns ebenfalls zu etablieren.
Die Anfallenden Daten in einem Krankenhaus sind bekannt und nur die einzelnen Häuser scheinen dafür kein Bewusstsein zu haben, wo was existiert und wann was zusammengeführt werden muss. Hier tummeln sich eine Vielzahl an Anbietern, die nicht alle Seriös genannt werden können, weil nicht alle eine umfassende Beratung mit liefern, die auch dem eigenen Produkt mal negativ entgegen stehen würde. Vertriebsleute sind selten Medizinproduktberater und deshalb gesetzlich in keiner Verantwortung. Sie dürfen verkaufen, was immer sie können. Egal, wie unsinnig das unter Umständen ist. Schon hier könnte durch eine sehr einfache Regelung ein Riegel vorgeschoben werden.

Es ist ganz klar, dass das einen erhöhten Aufwand bedeutet.
Aber es ist auch ganz klar, dass es kaum einen intimeren Datensatz gibt, als Befunde zu Krankheiten oder deren Behandlung und da ist es einfach unerhört, wenn sich eine Mitarbeiterin im Labor, ein Praktikant etwa, vielleicht ein Schulfreund eines meiner Kinder, ohne jegliche Schranken einfach meinen Befund ansehen kann. Das geht die nichts an! Und über Klinik-Verbünde sind diese Daten schnell in ganz Deutschland abrufbar.
So sollte auch ganz gewissenhaft darüber nachgedacht werden, welche Daten überhaupt archiviert werden dürfen und für wie lange und unter welchen Auflagen.
Statt aber solches Nachdenken im Sinne von Patientenschutz zu sehen, erlebe ich genau das Gegenteil: bei einer Aufnahme in ein Krankenhaus wird man genötigt, einem Verzicht auf die Wahrung des Datenschutzes zuzustimmen. Das heißt also, "Sei damit einverstanden, dass deine Daten nun uns gehören und nicht geschützt werden, oder geh heim und verrecke". Drastisch ausgedrückt, aber genauso drastisch empfinde ich diese Nötigung. SO etwas dürfte nicht sein, das deckt sich in keiner Weise mit meinem Verständnis für Recht und Ordnung!

Und dass alle Krankenhäuser bankrott sind und unrentabel, das wissen wir seit Jahrzehnten und doch werden nur selten welche geschlossen.
Es fließt schließlich immer wieder Geld aus öffentlichen Töpfen, um diese Häuser am Leben zu halten und insgesamt sind alle Leistungen im Gesundheitswesen ja solidarisch finanziert.
Also kein Geld da.
Trotzdem machen manche Hersteller von Produkten riesige Gewinne und trauen sich sogar, damit noch zu werben. Man muss begreifen, dass jeder Gewinn aus dem Pott Gesundheitswesen ein Diebstahl an der Gesellschaft ist. Da hätte man einen zweiten Ansatz für einen Hebel, den niemand ansetzen möchte.

 

[SolarCatcher]

Rentabilität kann Investitionen in Datensicherheit nicht gut heißen.

Das kennen wir ähnlich aus der Umwelt-Ökonomie. In so einem Fall muss man versuchen, die Rahmenbedingungen so zu setzen, dass die externen Kosten internalisiert werden - dass die Firma einen Anreiz bekommt, soetwas zu vermeiden.

Ich kenne nicht die Details, aber in den USA sind Firmen z.B. verpflichtet, alle Kunden und Handelspartner zu informieren, wenn möglicherweise ihre Daten in die falschen Hände gelangt sind. Die Wertpapieraufsicht SEC hat darüberhinaus eine Verpflichtung für alle börsennotierten Unternehmen erlassen, über Daten-Lecks und andere Cybersecurity-Vorkommnisse umfassend zu informieren - im Interesse der Anleger. Es schafft in den Vorstandetagen ein ganz anderes Interesse an diesen Themen, wenn der Börsenkurs plötzlich davon abhängt.

Viele, die es sich leisten können, würden sich vielleicht nicht mehr bei Krankenhauskette XYZ einweisen lassen, wenn diese in den letzten Jahren mehrfach über das Abfließen von Patientendaten berichten mussten. Doch bisher bleiben solche Ereignisse zu oft folgenlos für die Betreiber; sie können es meist unter den Teppich kehren.

 

[bananenBrot]

Ich kenne nicht die Details, aber in den USA sind Firmen z.B. verpflichtet, alle Kunden und Handelspartner zu informieren, wenn möglicherweise ihre Daten in die falschen Hände gelangt sind. Die Wertpapieraufsicht SEC hat darüberhinaus eine Verpflichtung für alle börsennotierten Unternehmen erlassen, über Daten-Lecks und andere Cybersecurity-Vorkommnisse umfassend zu informieren

Hier in Deutschland gibts doch IMHO etwas ähnliches, aber da muss das Unternehmen nur dem BSI Bescheid geben

 

[goblin]

Viele, die es sich leisten können, würden sich vielleicht nicht mehr bei Krankenhauskette XYZ einweisen lassen, wenn diese in den letzten Jahren mehrfach über das Abfließen von Patientendaten berichten mussten.

Ich glaube wir leben hier zu sehr in unserer IT-Blase, der Großteil der Bevölkerng hat doch nichts zu verbergen™. Aber im Zweifel würde ich meiner Gesundheit den Vorzug geben, tot nützen mir meine Daten definitiv nichts mehr

 

[pit234a]

tot nützen mir meine Daten definitiv nichts mehr

wir müssen ja nicht unbedingt so weit gehen, aber selbst da könnte eine Versicherung noch an Details interessiert sein, die es zu schützen gilt.

Mein Beruf hat ja direkt mit dieser Thematik zu tun und wen ich etwa einen PC austausche, dann muss ich sicher stellen, dass keinerlei Daten von Patienten auf Festplatten verbleiben, die dann nämlich in dem PC zu einem Reparatur-Unternehmen geschickt werden. Vielleicht werden sie auch entsorgt, egal, es ist meine Verantwortung dafür zu sorgen, dass nichts in irgendwelche Hände kommt. Das gilt sogar für Bilder, auf denen keine Patientendaten vorhanden sind. Das Bild selbst gehört dem Patienten, er kann anhand anatomischer Merkmale vielleicht zugeordnet werden und so etwas darf niemand in die Hände bekommen. Das ist bestehendes Gesetz und wir halten uns daran.

Wenn aber im Gegenzug etwa ein Schüler eingeliefert wird, der beim Koma-Saufen durchgefallen ist, dann geht das doch einen Mitarbeiter in der Röntgenabteilung oder Personalverwaltung gar nichts an. Wieso sollten die freien Zugriff auf derartige Daten haben? und ein Jahr danach bewirbt sich dieser Schüler just hier um eine Ausbildungsstelle. Den hatten wir doch schon mal!
So was darf einfach nicht sein und wenn sich dann Krankenhäuser bei der Einlieferung von Patienten auch noch eine Befreiung von Datenschutz-Vorsorge unterschreiben lassen, dann ist das meiner Meinung nach sogar schon Nötigung. Und zwar nur, weil man seine Hausaufgaben nicht macht und für die Sicherheit der Daten sorgt.

Im akuten Notfall spielt all dies so gut wie keine Rolle. Da geht es allenfalls um die Frage, ob der Patient privat versichert ist, wie er heißt und welches Geschlecht er hat, ist da eher Nebensache. Auch das wäre eine Baustelle, an der man unbedingt arbeiten müsste.

 

[peterle]

Interessant ist ja, daß es das auch für Linux und unsere BSDs gibt:
https://en.wikipedia.org/wiki/Linux.Encoder.1

Wie der das ohne sudo allerdings außerhalb von /home/jack schaffen will, erschließt sich mir nicht.

 

[crotchmaster]

- Verhaltensregeln im Umgang mit E-Mails und deren Anhängen aufstellen
Rob

LOL, der war gut. In meiner Firma gibt es auch solche Richtlinien, auf die auch bei solchen Aktionen nochmal per Mail hingewiesen wird. Manchmal kommt nur 5 Minuten später eine E-Mail von einem Vorstand. Kein Inhalt, nur der Hinweis, das angehängte Word-Dokument zu lesen. Ich nutze das dann gerne, um so etwas ungelesen zu löschen.