Analyse typischer IT-Infrastrukturen im Gesundheitssektor

Gefahren und Gegenmaßnahmen Analyse typischer IT-Infrastrukturen im Gesundheitssektor

05.11.2020 Von Kristian von Mejer*

In Krankenhäusern sind zahlreiche IT-, IoMT-, OP- und IoT-Geräte im Einsatz. Welche Geräte sich im Klinik-Netzwerk tummeln, welche Risiken dadurch entstehen und wie man den Gefahren vorbeugen kann, erläutert unser Gastbeitrag.

Welche Gefahren bringen die verschiedenen in Krankenhäusern verwendeten Geräte für das Netzwerk mit sich?
(© metamorworks - stock.adobe.com)

Organisationen für die Gesundheitsversorgung, wie Krankenhäuser und Kliniken, sind komplexe Organisationen, in denen längst eine breite Palette von Geräten der Informationstechnologie (IT), des Internets der medizinischen Dinge (IoMT), der operativen Technologie (OT) und des Internets der Dinge (IoT) miteinander verbunden sind. Eine kürzlich veröffentlichte Studie von Forescout zum Thema: „Sicherheit verbundener medizinischer Geräte: Einblicke in Netzwerke im Gesundheitswesen“ analysiert die IT-Umgebung im Gesundheitssektor. Betrachtet wurden typische stationäre Krankenhauseinrichtungen mit Laboren vor Ort und Spezialeinheiten wie Intensivstationen. Diese Einrichtungen verfügen über durchschnittlich 20.000 Assets, darunter IT-, IoMT-, OP- und IoT-Geräte. IT-Geräte verarbeiten dabei hochsensible Daten wie beispielsweise Gesundheitsdaten von Patienten oder Finanzinformationen der Einrichtungen, während IoMT-, OT- und IoT-Geräte für verschiedene Funktionen des Klinikalltags wie Gebäudeautomatisierung, Patientenüberwachung und -unterhaltung sowie – besonders kritisch – die Gesundheitsversorgung eingesetzt werden.

Doch welche Geräte können am häufigsten an den Standorten vorgefunden werden und welche Gefahren bringen diese für das Netzwerk mit sich?

Die folgende Abbildung zeigt ein Beispiel für Geräte, die typischerweise in den untersuchten HDO-Netzwerken zu finden sind.

Aufbau einer IT-Infrastruktur eines Gesundheitsunternehmens
(Bild: Forescout)

Genau in der Mitte befindet sich das Rechenzentrum, in dem sich die Systeme für die elektronische Gesundheitsakten (eGA) befinden. Aus einer Bedrohungsperspektive ist dies der sensibelste Bereich des Netzwerks. Dort werden die persönlichen Gesundheitsinformationen (Personal Health Information, PHI), Zahlungsinformationen und viele weitere sensible Daten gespeichert.

Dazu kommen angeschlossene medizinische Geräte in Patientenzimmern, Stationen, Operationszentren, Apotheken, Labors und zahllosen anderen Orten. Diese Geräte können die klinische Versorgung unterstützen, Leben retten, erhalten, oder Patienteninformationen sammeln und überwachen, um das klinische Personal zu alarmieren und zu informieren. Dazu gehören Patientenmonitore, Laborgeräte und bildgebende Geräte.

Viele IoT-Geräte in Netzwerken von Gesundheitsversorgungseinrichtungen sind jedoch überhaupt keine medizinischen Geräte. Dazu zählen Cafeteria- und Apotheken-Point-of-Sale-Systeme, Verkaufsautomaten, Geldautomaten, Souvenirkioske, eine Reihe von physischen Sicherheitsvorrichtungen und intelligente Gebäudesysteme für Energiemanagement, Klimasteuerungssysteme und Notstromgeneratoren.

Potenzielle Bedrohungen

Die nachfolgende Abbildung zeigt ein vereinfachtes Netzwerkdiagramm eines typischen HDO-Netzwerks und einige der potenziellen Bedrohungen, denen Sicherheitsteams ausgesetzt sind. Zu beachten ist, dass das Netzwerk einen IT-Bereich – der traditionelle Geräte wie PCs, Mail- und Webserver enthält – und einen klinischen IoT-Abschnitt, der sowohl medizinische Geräte als auch traditionelle Workstations und Geräte wie IP-Kameras, drahtlose Router und Drucker beinhaltet.

Netzwerkdiagramm einer Gesundheitsorganisation
(Bild: Forescout)

Einige potenzielle Bedrohungen, die in der Abbildung dargestellt sind, sind externe Bedrohungen. Viele Cyberkriminelle suchen sich gezielt Gesundheitsorganisationen aus, um diese anzugreifen. Einzelne Cyberkriminelle oder kriminelle Gruppen versuchen in der Regel, Geld aus Cyberattacken zu generieren, entweder direkt durch Ransomware und Kryptomining oder indirekt durch den Verkauf gestohlener Informationen oder den Zugriff auf infizierte Computer mit Botnetzen.

Weitere Bedrohungen sind jedoch auch interner Natur. Es ist wichtig zu beachten, dass Health Delivery Organiziations (HDO), wenn es um die Angriffsfläche geht, nicht nur Notaufnahmen und – medizinische Behandlungsräume betreiben – sondern auch einen Fernzugriff für Dritthersteller und Mitarbeiter zur Verfügung stellen sowie umfangreiche Backoffice-Services für administrative Funktionen betreiben. Diese öffnen das Netzwerk für die Möglichkeit von Angriffen auch durch interne böswillige Akteure, die ebenfalls eine finanzielle Motivation haben können, aber auch andere Ziele wie Sabotage verfolgen. Zudem gibt es Altsysteme, unsachgemäß gesicherte Ausrüstung und Standardpasswörter. Dies sind einige der wichtigsten technischen Probleme, mit denen das Sicherheitspersonal in HDOs konfrontiert ist. Altsysteme können aufgrund von Verfügbarkeits- oder Zertifizierungsanforderungen oft nicht gepatcht werden.

Altsysteme

Diese Systeme neigen dazu, leichte Ziele für Angreifer zu sein, da sie bekannte Schwachstellen aufweisen, die nicht gepatcht werden. Zudem sind selbst Systeme, die gepatcht werden könnten, oft unsachgemäß gesichert oder konfiguriert, beispielsweise nicht verwaltete Endpunkte mit bekannten Standardpasswörtern, die online bezogen werden können, und auch Geräte, die nicht benötigte Netzwerkdienste offenlegen. Dies können beispielsweise veraltete Ultraschallgeräte sein, welche im gebrauchten Zustand erworben werden können.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Die Abwehr dieser Bedrohungen erfordert den Einsatz mehrerer Sicherheitswerkzeuge wie Netzwerküberwachung, Schwachstellen-Scanner und SIEM-Systeme. Diese Tools stoßen jedoch in der Welt des Gesundheitswesens aufgrund von Problemen wie proprietären Protokollen, fehlender Konfigurationsverfolgung, veraltetem Inventar und begrenzter Sichtbarkeit des klinischen Netzwerks auf Schwierigkeiten. Das Ergebnis ist ein Mangel an Einblick in spezifische Informationen über medizinische Geräte (bestimmte Modelle, Softwareversionen und Seriennummern) und ihre Netzwerkaktivität. Dies macht es nahezu unmöglich, Schwachstellen, Segmentierungsprobleme und sogar laufende Angriffe zu erkennen.

Mögliche Maßnahmen

Aufgrund der oben genannten Ergebnisse sollten Gesundheitsorganisationen die folgenden Maßnahmen ergreifen, um Sicherheits- und Betriebsrisiken in Gesundheitsnetzwerken zu reduzieren:

Die genaue Identifizierung und Klassifizierung von medizinischen Geräten, auf denen ältere Betriebssysteme laufen, ist für die Risikominderung von größter Bedeutung. Geräte, die nicht ausgemustert oder mit Patches versehen werden können, sollten entsprechend segmentiert werden, um den Zugang auf kritische Informationen und Dienste zu beschränken.

Die Abbildung des Netzwerkflusses der bestehenden Kommunikation ist nicht nur eine Voraussetzung für die Gestaltung effektiver Segmentierungszonen, sondern bietet auch ein grundlegendes Verständnis der externen und zum Internet hinführenden Kommunikationswege. Dies kann dazu beitragen, unbeabsichtigte externe Kommunikation zu identifizieren und zu verhindern, dass medizinische Daten der Öffentlichkeit preisgegeben werden.

Unternehmen sollten mit einem Netzwerk-Flow-Mapping-Projekt beginnen, um die verwendeten Protokolle zu identifizieren. Wenn immer möglich, zur Verwendung verschlüsselter Versionen von Protokollen wechseln und auf die Verwendung unsicherer Klartextprotokolle wie Telnet verzichten. Wenn dies nicht möglich ist, die Segmentierung zur Zoneneinteilung und Risikominderung verwenden.

Unternehmen sollten schwache und Standard-Passwörter identifizieren und beheben. Ein einzelner schwacher Link in einem Netzwerksegment kann das gesamte Segment gefährden. Wenn hartcodierte Passwörter nicht korrigiert werden können, sollte die Segmentierung zur Zoneneinteilung und Isolierung genutzt werden.

Segmentierung kann als ausgleichende Kontroll- und Risikominderungstechnik für alle oben genannten Szenarien genutzt werden. Während das Bewusstsein für die Vorteile der Segmentierung zunimmt, gibt es zahlreiche Beispiele für Über- und Untersegmentierung und schlecht konzipierte Segmentierungszonen. Aus diesem Grund sollte mit der genauen Identifizierung der Geräte begonnen werden, die segmentiert werden müssen. Danach sollten geeignete Zonen und Zugriffsrichtlinien geschaffen werden, um die positiven Sicherheitsergebnisse der Segmentierung zu erzielen.

Der englisch-sprachige Report kann nach Registrierung unter www.forescout.com/connected-medical-device-security-report/ heruntergeladen werden.

Kristian von Mejer, Global Account Executive bei Forescout Technologies Inc.
(Bild: Forescout)

*Der Autor, Kristian von Mejer, ist Global Account Executive bei Forescout Technologies Inc.

(ID:46972541)