Eigentlich ist Windows 7 ja ein recht zuverlässiges und sicheres Betriebssystem. Allerdings schaffen es Microsoft und Firmen Geräte im medizinischen Bereich dem Risiko auszusetzen, dass teure Geräte plötzlich nicht mehr funktionieren. Ich habe mal zwei Szenarien ausgegraben, die mir die letzten Wochen unter die Augen gekommen sind.
Anzeige
ICS-CERT warnt von Sicherheitslücken in PET/CT-Geräten
PET/CT-Geräte sind Computer Tomographen, die auf der Positronenemission basieren. Siemens stellt solche Geräte her (siehe die inzwischen gelöscht Presseinformation von 2015 oder diese Produktseite). Einige dieser Siemens-Geräte sind mit Windows 7 zur Auswertung und Bildanzeige versehen. Das amerikanische ICS-CERT hat Anfang August 2017 ein Security Advisory herausgegeben, in dem von diversen Sicherheitslücken in Siemens Molecular Imaging-Systemen gewarnt wird.
Laut dem Advisory hat Siemens vier Sicherheitslücken in seinen Windows 7-Systemen zur Kontrolle der PET/CR und SPECT-Systeme gefunden, die eine Remote Code Execution ermöglichen. Es handelt sich um seit 2015 bekannte Sicherheitslücken (CVE-2015-1635, CVE-2015-1497, CVE-2015-7860, CVE-2015-7861). Für alle Sicherheitslücken gibt es zwar Updates von Microsoft und HP/Persistent Systems. In medizinischen Geräten werden solche Updates aber wohl nicht zeitnah eingespielt (möglicherweise, weil dann eine Zertifizierung verloren geht). Siemens will jetzt aber Updates für die betroffenen Geräte bereitstellen. Aktuell empfiehlt das ICS-CERT ungepatchte Systeme vom Netzwerk zu trennen, um eine Infektion zu vermeiden. Unter anderem finden sich noch einige Informationen bei heise.de in diesem Artikel.
Risiko Windows 7 Multimonitor-Bug in Medizingeräten
Microsoft hat im August 2017 ja zwei Update Rollups (ein Preview) für Windows 7 SP1 freigegeben, die zu Ärger führen. Installiert man die Updates KB4034664 oder KB4034670 für Windows 7 SP1 gibt es ein Darstellungsproblem im Multimonitorbetrieb. Ich habe das Thema u. a. im Blog-Beitrag Microsoft bestätigt Multimonitor-Bug in KB4034664/KB4034670 behandelt.
Das hat teilweise dramatische Konsequenzen: Viele medizinische Bildauswertegeräte laufen mit Windows 7 und verwenden zwei Monitore, einen zur Steuerung der Software (dort läuft auch andere Klinik-Software). Ein zweiter Monitor wird dann zur Begutachtung von Röntgen- und CT-/MRT-Bilder verwendet. Ich habe diese Kombination die letzten 2,5 Jahre häufiger zu Gesicht bekommen. Wenn die Anzeige auf den Befundmonitoren durch das Update gestört ist, lässt sich das gesamte medizinische Gerät nicht mehr verwenden, wie dieser Kommentar in meinem englischsprachigen Blog verdeutlicht.
das Microsoft-Sicherheitsupdate KB4034664 (als Package installiert mit KB4034679) für Windows 7 SP1 wurde am 08.08.2017 freigegeben.
Aufgrund erster Rückmeldungen zu auftretenden Fehlfunktionen mit Befundungsmonitoren (aktuell Barco- und EIZO-Monitore) empfehlen wir, das Sicherheitsupdate für Bildwiedergabesysteme mit medizinischen Befundungsmonitoren nicht einzuspielen.
Wenn Sie das Sicherheitsupdate KB4034664 bereits installiert und Probleme bei der Bilddarstellung festgestellt haben, empfehlen wir, dieses umgehend wieder zu deinstallieren.
Betroffen sind nur Windows 7 Betriebssysteme, bei denen die grafische Benutzeroberfläche Windows Aero deaktiviert ist.
Des Weiteren betrifft es nur Grafikkarten der Serien MXRT XXXX (in Verwendung mit Barco Monitoren) und MED-X XXXX (in Verwendung mit EIZO Monitoren), sowie andere ATI-basierte Karten von AMD.
Es tritt nur bei einigen JAVA-Anwendungen auf, welche spezielle grafische Routinen verwenden und führt zu Darstellungsproblemen der gesamten Anwendung. Betroffen davon sind die nicht als Hauptbildschirm definierten Monitore. Die JAVA-Anwendung kann in Folge dessen nicht mehr bestimmungsgemäß verwendet werden.
Folgende Möglichkeiten bestehen, um das Problem zu umgehen/beseitigen.
1. Verzicht auf die Installation des Sicherheitsupdates KB4034664
ODER
2. Aktivierung von Windows Aero, wobei dann vermutlich mit kleinen Performance-Einbußen zu rechnen istVielen Dank für Ihr Verständnis und Ihre Kooperation.
Freundliche Grüße,
Agfa HealthCare
Das Ganze verdeutlicht inzwischen die Krux, in der Betreiber medizinischer Geräte stecken. Einerseits muss sichergestellt sein, dass die verwendeten Rechner nicht mit Sicherheitslücken betrieben werden. Andererseits kann das zeitige installieren von Updates bei Windows 7 zu argen Problemen und Systemausfällen führen.
An dieser Stelle stelle ich mir schon die Frage, wie die Gerätehersteller das künftig mit Windows 10 als Basis handhaben wollen. Dort wird man imho häufig auf Windows 10 Pro zurückgreifen müssen, wodurch die Gefahr durch Feature-Updates (neuerdings Funktionsupdates genannt) droht. Der Umstieg auf Windows 10 Enterprise LTSB dürfte nicht immer eine Option sein. Das zeigt mir, wie sich Microsoft seine eigene Basis (marketingdrive) selbst abgräbt. Vielleicht gibt es ja Blog-Leser/innen, die in diesem Bereich aktiv sind. Vielleicht könnt ihr da mehr Insights als Feedback geben.
2015
Manchmal meint man, die Welt ist nur noch von Upgradesüchtigen umgeben. Und Microsoft gibt denen, was Sie wollen… ;)
So war das damals mit Stabilität und Kontinuität. Jedenfalls war man der Herr seines Rechners. Aber nun ist ja alles viel besser, weil ja alles und jeder auf dem gleichen Stand sein muss, paranoiderweise geht es ja nur um die Sicherheit, die sowieso nie aktuell genug sein kann.
Dies ist nur ein sehr gutes Beispiel, das man in der PC Welt eben nicht alle über einen Kamm scheren kann. Insbesondere, in so wichtigen Dingen.
Nun ja, heutige Malware ist auch immer ausgefeilter.
Außerdem werden die Zeiträume auch immer kürzer:
Monat 1: Schwere Sicherheitslücke wird bekannt
Monat 2: Patch wird veröffentlicht
Monat 3: Schadsoftware infiziert Mio. Rechner
Es muss nicht immer die neueste Windows-Version sein, aber allzulange darf man mit dem Einspielen der Updates für den genutzten Windows-Zweig nicht warten, bis das ganze dann irgendwann mal zertifiziert ist.
Meine These wird dadurch bestätigt, weil sehr viele Krankenhäuser in letzter Zeit Opfer von Ransomware geworden sind.
Updatesucht ist also zwingend, Upgradesucht nicht…
"Updatesucht ist also zwingend"
Alternativ wäre es vielleicht nicht verkehrt, wenn Hersteller mal wieder beginnen würden, etwas eigenes zu schaffen, das sie selbst pflegen und aktualisieren und sich eben nicht in die Hände von MS begeben würden.
Grade bei den Kosten für medizinische Geräte, sollt das durchaus machbar sein, aber an dieser Stelle spart man sich die Entwicklung halt mal lieber und greift nach dem einfachen Strohhalm, der sich da halt mal eben anbietet.
Ist halt so viel einfacher alles zu vernetzen mit der gleichen Basis… allerdings auch mit allen bekannten Problemen und Baustellen.
Nicht, wenn damit einhergeht, das das System nicht mehr ordnungsgemäss funktioniert. Wenn essentielle Funktionen nicht mehr gehen, ist das nicht zu tolerieren.
Zumal, meistens wird ein Fehler durch einen "kleinen" Patch verursacht. Es ist aber schier unmöglich, das aus den Kumulativen Updates herauszufiltern und nur den Übeltäter zu deinstallieren.
Stattdessen müssen ALLE Patches (also das ganze Rollup) deinstalliert werden, und somit auch alles andere an Sicherheitspatches, die daran gebunden sind.
Und in der Zeit soll man dann sicherer sein ?! Sorry, merkwürdige Logik.
Die Kumulative Patches sind ein absolter Graus. Das gilt auch für Windows 10. Entweder alles oder gar nichts. Bis ein Patch rauskommt, kann lange Zeit vergehen.
Wenn tatsächlich überhaupt mal ein Problem auftritt, dann kann man immer noch das kummulative Update unter W7 deinstallieren.
Nur aus Furcht, dass evtl. etwas nicht funktionieren könnte, nicht die Windows-Updates einzuspielen, kann auch nicht in Ordnung sein…