Trojaner via Arzt-direkt Messenger möglich?

Question

Eine Frage in die Runde. Wir haben heute den Arzt-direkt Messenger erneut getestet. Über den Messenger ist ein Dateiaustausch möglich.

Welche Sicherheitsvorkehrungen sind dort implementiert, damit nicht eventuell Dateien mit Trojanern oder Schadcode direkt in Tomedo übertragen werden können?

Comments

Sehr gute Frage! Siehe mein Beitrag zur Situation mit E-Mails.

Answer 1

Guten Tag Herr Schneider,

auf Rücksprache mit den zuständigen Entwicklern gibt es dafür bisher keine Vorkehrungen und es sind wohl auch keine geplant, da richtige Scans außerhalb des für uns realistisch erreichbaren liegen.

Soetwas sollte entsprechend durch fremde Virenschutz-Software auf dem tomedo-Server-Rechner übernommen werden.

Mit freundlichen Grüßen,

Toni Ringling

Comments

Hier sollte Zollsoft bei der Kommunikation nachjustieren: für Nicht-IT-Nerds bedeutet "sicherer Messenger", dass dieser "sicher" ist. Mir ist klar, dass sich diese Sicherheit nicht auf Viren etc. bezieht, manchen Kollegen und MFAs dürfte dies aber so nicht bewußt sein.

---

Da wir die Kommunikation "sicherer Messenger" als eindeutig erachten und es hier um einen Kommunikationskanal, welcher vor Angriffen geschützt ist geht, würde ich gerne die Meinung der anderen Diskussionsteilnehmer einholen.

---

Das sehe ich genauso

---

Unter einem sicheren Messenger verstehe ich einen der eine sichere Kommunikation vermittelt, d.h. Ende-zu-Ende verschlüsselt ist.

Ein Datei Austausch ist eine andere Ebene und ist eine Zusatzfunktion des Messengers.

Mir persönlich wäre es lieber wenn über Arzt direkt bis auf PDF-Dateien kein weiteres Dateiformat zulässig wäre.

---

jpg und dergleichen wäre gut. Kein docx oder ähnliches

---

Ja, Bilder sollten auf jeden Fall möglich sein, pdf reicht also nicht.

So richtig nachvollziehen kann ich die Diskussion nicht: ich hab bei Arzt direkt nur verifizierte Patienten von mir, die mit etwas schicken können. Das ist das Risiko im Vergleich zu Emails, wo mit anonyme Menschen auf der ganzen Welt etwas schicken können vergleichsweise gering. Wenn ich also die gleiche gesunde Skepsis wie bei Emails anwende, sehe ich kein wesentliches Problem...

---

Hallo,

 

und um die Paranoia noch ein wenig anzuheizen: mittels eAB ist der Austausch von .pdf (auch malignen) an der Firewall vorbei möglich. Wenn das die Cyberversicherung erfährt.... :)

 

-js

---

Da würde ich (leider) gegenhalten müssen. Malware macht leider auch vor Ihnen bekannten Patienten nicht Halt.  Es muss nicht immer der Patienten selbst derjenige sein, der Böses im Sinn hat. Mit der direkten Übertragung (noch dazu verschlüsselt) hätten Sie die Malware dann direkt im System; da können Sie sich noch so viel Mühe geben und sich mit Firewalls und Virenscanner abschotten. Eine verschlüsselte Nachricht kann auch eine Firewall bzw. ein Virenscanner nicht aufhalten/überprüfen. Auf die übertragenen Daten haben Sie keinen direkten Einfluss. Das mag wie ein Weltuntergangsszenario klingen, angesichts der Diffizilität der durch uns verwalteten Daten, kann und darf man da aber schlicht nicht nachlässig sein. Mir ist auch klar, dass das alles (sehr) unbequem ist. Ich würde mich auch lieber nicht damit beschäftigen.

Ich wünsche mir daher eine Möglichkeit, die Datenübertragung explizit nicht zuzulassen.

---

Hallo,

 

ich sehe das eher wie Kollege Erich: entscheidend ist die Schulung derjenigen, die die elektronische Post jeglicher Kanäle "anfassen". Opt out der Datenübertragung ist vmtl technisch leicht umzusetzen, aber die Nutzbarkeit des Dienstes nimmt dadurch enorm ab.

Und Malware auf dem Mac wurde zwar schon gesichtet, es gab auch schon Angriffe, aber das Risiko ist wirklich, wirklich, wirklich ausgesprochen gering...

 

-js

---

Dazu gehen die Meinungen wohl auseinander; Heise.de zB schreibt am 19.08.2022:

"Lange Zeit gab es für Mac-User kaum relevante Bedrohungsszenarien durch Malware. [...] Die Situation hat sich leider geändert. Malware ist ein gewaltiger Geschäftszweig der organisierten Kriminalität geworden. ..."

Es geht mir dabei auch nicht nur um aktuelle Gefahren, sondern auch um Zukünftige. Ich formliere einmal anders: Wir und viele andere investieren sehr viel Zeit und Geld in die Absicherung unserer Systeme. Mit dem Messenger hält meiner Ansicht nach eine Umgehung einiger dieser Maßnahmen Einzug. Ich wünsche mir schon gern Kontrolle über mögliche Einfallstore. Und ja: IT-Sicherheit ist immer auch Komfortverlust. Der angesprochene Opt-out wäre doch sicherlich sinnvoll. So kann jede/r entsprechend ihres/seines Sicherheitsbedürfnisses selbst entscheiden.

---

Hallo,

noch zur Ergänzung bzw. meine persönliche Einordnung:

die Zahlen auf die der Heise-Artikel sich bezieht stammen von Atlas VPN, ein Anbieter von Malwareblocker, der dann in der oberen Leiste gleich IP und ISP mitliefert, garniert mit einem roten "UNPROTECTED". :-) Man darf also einen gewissen bias unterstellen.

Ich finde opt out eine sehr gute Lösung, erinnere aber trotzdem daran, dass das Hauptproblem vor dem Monitor sitzt. Das ist übrigens auch der Tenor des zitierten Artikel, in dem sogar von der Benutzung eines Anitvirusprogramms auf Macs abgeraten wird.

-js

---

Ein typisches Layer-8 Problem ;-)

---

;-) ;-)

---

Jede Fehlhandlung hat immer auch eine strukturelle Komponente. Ich möchte sagen, es sollten technisch alle Möglichkeiten zur Fehlervermeidung implementiert sein, denn Irren ist nur menschlich.

---

Es sollte hier nicht darum gehen, wer die netteste Umschreibung für den 1D-10T error hat, oder wer so viel besser geschulte Mitarbeiter hat, sondern darum, wie man dem durchschnittlich versierten tomedo-Kunden die Möglichkeit gibt, das Risiko zu begrenzen. Die Realität ist doch: die überwiegende Mehrheit der User hat keine Ahnung von den Dingen hinter den Kulissen, und somit ist jeder user error letztlich das Ergebnis eines schlechten UI. Wir wollen keine gehackte Praxis, und Zollsoft möchte tomedo nicht als Angriffs-Opfer in der BILD wiederfinden. Machen Sie eine Umfrage unter MFA und Ärzten, und Sie werden das Ergebnis bekommen, dass eine deutliche Mehrheit davon ausgeht, dass man sich mit einem "sicheren Messenger" keine Viren/Trojaner/etc. ins System holen kann. So, wie unsere Patienten sich mit medizinischen Fachtermini schwer tun, versteht der normale User nicht das, was der IT-Spezi eigentlich sagen will. Sie können sich darüber natürlich lustig machen, das hilft aber auch nicht weiter.

---

Hallo liebe Zollsoftis,

was ist aus dem erwähnten opt-out geworden? Gibt es diese Möglichkeit und wo finde ich diese? Wenn nicht: bitte implementieren Sie diese! Wie einige "Vorredner" geschrieben haben: Praxen, die geschützt werden möchten, sollten geschützt werden. Ende-zu-Ende-Verschlüsselung erlaubt keine Kontrolle der Dateien auf Viren und Trojaner, da kann der geschulteste Endnutzer nichts daran ändern. Und es ist in der Tat missverständlich - ein Nicht-IT-ler, der sich bzgl. Cybersecurity nicht fortgebildet hat, wird glauben, "sicher" sei "sicher" - genau das ist aber nicht der Fall...