Sicherheitsempfehlungen zu Windows-NT-Netzen im Krankenhaus

Erarbeitet von der GMDS-Arbeitsgruppe
Datenschutz in Gesundheitsinformationssystemen

Client-Server-Systeme auf der Basis von Windows-NT-Servern und zum Teil auch NT-Workstations werden immer häufiger in Krankenhäusern eingesetzt. Dabei treten, meist durch mangelnde Fachkenntnis des IT-Personals, aber auch aufgrund von Sicherheitslücken in Windows NT, Sicherheitsprobleme auf, die wirksamen Datenschutz verhindern. Die Konfiguration eines einigermaßen sicheren NT-Netzes ist komplex und aufwendig. Dieser Aufwand ist aber aufgrund der Datenschutzvorschriften unumgänglich, sobald Patientendaten auf dem Rechner gespeichert oder verarbeitet werden; er sollte auch in allen anderen Fällen im eigenen Interesse nicht gescheut werden und erfordert in jedem Fall eine Vollzeitstelle für einen Systemverwalter. In dieser Empfehlung kann das Thema bei weitem nicht erschöpfend behandelt werden; für weitere Informationen sind die am Ende aufgeführten Verweise geeignet.

Grundsätzliches zur Sicherheit von NT

Windows NT wird oft als sicheres Betriebssystem angepriesen. In der Tat bietet NT einige Sicherheitsmechanismen, die für IT-Betreiber, die MS-DOS, Windows 3 oder Windows 95 gewöhnt sind, sehr eindrucksvoll wirken. Dieser Eindruck ist aber irreführend, zumal die Systemvoreinstellungen nur wenige der möglichen Sicherheitsschranken in Kraft setzen. Die in der Werbung angepriesene und in manchen Fachbüchern unkritisch angenommene C2-Sicherheit gilt nur nach ganz besonderen Maßnahmen, z. B. der völligen Trennung vom Netz, die das System in einen praktisch unbrauchbaren Zustand versetzen. Ebenso wird die Sicherheit eines NT-Systems durch Installation und Betrieb von Anwendungssoftware in der Regel unterlaufen; manche Anwendungssoftware funktioniert sogar nur mit unsicheren System-Einstellungen. Werden im Netz auch Windows-95-Rechner betrieben, sinkt das Sicherheitsniveau weiter. Auch die durch die Benutzungsoberfläche, besonders ab NT-Version 4.0, suggerierte Leichtigkeit der Konfiguration ist irreführend und gefährlich, da sie Nachlässigkeit provoziert.

Die NT-Sicherheitsmechanismen können bei sorgfältiger Einstellung ungefähr das Niveau gewöhnlicher Unix-Systeme erreichen; einiges ist etwas besser, einiges etwas schlechter geregelt. Auf der praktischen Seite sind aber erhebliche Defizite bei der Zuverlässigkeit der Implementation zu bemängeln. Zahlreiche konzeptionelle Sicherheitslücken und Implementationsfehler stellen NT auf eine Stufe mit älteren Unix-Systemen. Die Arbeitsgruppe empfiehlt daher, als Server aktuelle Unix-Systeme, insbesondere Linux, zu wählen. Die folgenden Ratschläge gelten für den Fall, daß trotzdem ein Netz auf NT-Basis betrieben werden muß.

Um die Sicherheitsmechanismen von NT wirkungsvoll einzusetzen, ist eine ausführliche Planung, insbesondere der Zugriffsrechte, und eine sehr sorgfältige Umsetzung nötig. Das Prinzip der minimalen Rechte sollte bei der Zugriffsregelung strikt beachtet werden. Im Netz sollte genau festgelegt werden, welcher Rechner in welche anderen welches Ausmaß an Vertrauen setzt und welche Ressourcen an ihn freigegeben werden. Ebenso sollten die Benutzer-Zugriffsrechte auf Ressourcen und Shares in einer Rechte-Matrix spezifiziert werden.

Es sollte stets eine ausgedruckte Version der System-Konfiguration einschließlich Vernetzungsplan und eine exakte Beschreibung der Sicherheitspolitik (»Policy«, »Systemrichtlinien«) zur Hand sein. Die Konfiguration sollte sorgfältig dokumentiert sein, insbesondere die Sicherheitsmaßnahmen.

Um über aktuelle Sicherheitsfragen stets auf dem laufenden zu sein, ist es notwendig, daß der Systemverwalter mindestens eine einschlägige Usenet-Newsgruppe oder Mail-Liste verfolgt.

Sicherheitsratschläge für Aufstellung und Konfiguration

Sicherheitsratschläge für den Systemadministrator

Die gelegentlich gehörte Empfehlung, die Administrator-Kennung mit einem anderen Benutzernamen zu versehen, ist weitgehend nutzlos, da NT-Rechner auf mehreren Wegen bereitwillig die Kennung des Administrators verraten.

Verweise ins Internet

Bücher zum Thema »Sicherheit unter NT« sind zwar zahlreich auf dem Markt, aber z. T. von zweifelhafter Qualität und oft nicht auf dem neuesten Stand. Aktueller und gründlicher kann man sich unter den folgenden WWW-Adressen informieren:


Autor: Klaus Pommerening, 31.3.1998; letzte redaktionelle Änderung: 31.7.2000
E-Mail an Pommerening@imsd.uni-mainz.de.