Der Support von Windows XP ist vor einigen Wochen von Microsoft eingestellt worden. Und dennoch ist das Betriebssystem weiterhin äußerst beliebt. Nicht ohne Folgen und Risiken gerade auch in der Medical-IT.

Aktuell laufen aber noch viele Geräte, wie Geld- oder Fahrkarten-Automaten, mit Microsofts erfolgreichem Betriebssystem. Deshalb unterstützt Microsoft diese Anwender doch noch, angeblich bis 2019, mit Sicherheits-Updates. Laut einem Bericht der Leonardo-Redation (WDR5) reicht eine einzige Änderung in der Registry von XP um die Installation für weitere 5 Jahre für Support-Updates freizuschalten.

Auch in vielen Kliniken wird Windows XP auf Rechnern, aber auch in Medizinprodukten weiter genutzt.

Fakt ist, ohne Sicherheits-Update sind diese Installationen ein echtes Risiko für die Sicherheit, Leistungsfähigkeit und Effektivität des System oder gar des medizinischen Netzwerks und letztlich des Patienten. Neue gefundene Lücken in der Software könnten zur Manipulation durch Dritte oder Fehlfunktionen führen. XP ist eben auch ein veraltetes Betriebssystem, dem viele moderne Sicherheitsfunktionen einfach fehlen. Deshalb stellen viele Hersteller die Wartung von auf XP laufenden medizinischen Applikationen ein. Werden diese dann doch weiter betrieben, wird sich der Betreiber sehr schnell in den Bereich der Eigenherstellung mit allen regulatorischen Anforderungen begeben.
Alternativ kann ein Betreiber auch ein Premier Support-Vertrag  mit Microsoft abschliessen, der aber mit hohen Kosten zu Buche schlägt. Damit ergibt sich dennoch keine Legitimation für den Betrieb von medizinischen Applikationen, die für XP nicht mehr supportet werden.

Ein Fall für das Risikomanagement

Ob in einem medizinischen oder „normalen“ Netzwerk, ein nicht gewartetes Betriebssystem ist immer ein Risiko. Und so muss es vom Risk-Manager (RM) auch betrachtet werden.
Im Rahmen seiner Risikoanalyse sollte der RM zunächst alle in der Klinik mit Windows XP betriebenen Systeme identifizieren. Hier können Netzwerk-Anaylse-Tools unterstützend eingesetzt werden.
Anschließend muss jedes gefundene System dahin gehend betrachtet werden, ob und welche Gefährdungen davon ausgehen. Dies hängt natürlich maßgeblich vom Einsatzkontext und der Gebrauchsbestimmung ab. Über die gängigen Risikomanagement-Methoden und -tools sollte der RM dann zu einer Bewertung der Risiken gelangen.
Zur Risiko-Minimierung müssen anschließend entsprechende Maßnahmen ergriffen werden. Dies kann sowohl eine Migration auf moderne Betriebssysteme bedeuten oder gar den Austausch von auf XP basierenden Medizinprodukten.

Wichtig ist, dass auf bekannte Risiken reagiert und diese mitigiert werden, damit  sich daraus keine haftungsrechtlichen Folgen für den Betreiber ergeben.

 

Über den Autor

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert