Wenn der Herzschrittmacher gekapert wird

Cybersecurity Wenn der Herzschrittmacher gekapert wird

27.08.2021 Von Adil Mansoor*

Die Cyberkriminalität gegen Einrichtungen im Gesundheitswesen nimmt zu, durch die Vernetzung medizinischer Devices öffnen sich den Hackern zahlreiche Einfallstore. Für den Schutz von Patienten und Einrichtungen müssen alle Akteure an einem Strang ziehen, den Herstellern der Medizingeräte kommt dabei eine besondere Rolle zu.

Das Internet of Medical Things (IoMT) bietet Hackern zahlreiche Einfallstore. Wird ein medizinisches Gerät gekapert, ist der Patient einer erheblichen Gefahr ausgesetzt. (Symbolbild)
(© Игорь Гончаров – stock.adobe.com)

Moderne Krankenhäuser und andere Einrichtungen des Gesundheitswesens sind auf funktionierende Technologie angewiesen. Die Verfügbarkeit der medizinischen Geräte ist ausschlaggebend für Behandlungserfolg und Effizienz – im Notfall entscheidet sie sogar über Leben und Tod. Längst verwalten Kliniken Hunderte, teilweise sogar Tausende solcher Geräte, das Arsenal reicht von der bildgebenden Diagnostik wie dem MRT über Infusionspumpen zur Medikamentengabe bis hin zu implantierten Herzschrittmachern oder Defibrillatoren.

Für Hacker sind medizinische Devices ein lohnendes Ziel, denn sie sind in der Regel leicht zu kapern. Das liegt zunächst einmal daran, dass dank vergleichsweise langer Lebenszyklen viele ältere Geräte mit überholten Betriebssystemen im Einsatz sind, die längst nicht so gut geschützt sind wie neuere Medizintechnik. Erschwerend kommt hinzu, dass Medizinprodukte vor ihrer Zulassung einen oft monatelangen Zertifizierungsprozess durchlaufen müssen. Um diesen Status nicht zu riskieren, wird die Konfiguration in der Regel bei der Firmware- und Betriebssystem-Version eingefroren, die dem Stand zu Beginn des Zertifizierungsverfahrens entspricht. Ein zeitnahes Update mit den aktuellsten Sicherheitspatches ist somit fast unmöglich. Zusätzlich kommuniziert jedes vernetzte Gerät entweder über das Netzwerk der Einrichtung oder über einen Gateway, der eine direkte Verbindung zur Cloud herstellt. Beide sind gleichermaßen angreifbar. Zwar haben einige Medizinproduktehersteller vor diesem Hintergrund damit begonnen, das Thema Sicherheit auf ihre Agenda zu setzen – alle Schwierigkeiten sind damit nicht beseitigt.

Buchtipp

Das Buch "Cybersicherheit" führt grundlegend an die Einrichtung von Schutzmaßnahmen in Industrieunternehmen heran und widmet sich dabei insbesondere der Sicherheit von Industrie-4.0-Technologien.

Mehr erfahren

So steht es um die Sicherheit

Wie stark medizinische Geräte und Anwendungen gefährdet sind, hat erst jüngst das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht. Die Experten haben verschiedene Medizinprodukte zur Behandlung und Pflege von Patienten – darunter zufällig ausgewählte Herzschrittmacher, Defibrillatoren, Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore – auf ihre IT-Sicherheit überprüft. Gefunden haben sie rund 150 Schwachstellen, auch die oft in Pflege und Betreuung eingesetzten Hausnotrufsysteme oder Tablets für Senioren offenbarten mittlere bis schwere Sicherheitslücken. Damit steigt das Risiko für Krankenhäuser und andere Einrichtungen: Eine nicht gepatchte Schwachstelle in einem einzigen Gerät reicht aus, um das ganze Netzwerk zu kompromittieren. Cyberkriminelle arbeiten sich dabei oftmals Schritt für Schritt vor. Bei dem Ransomware-Angriff letzten September auf die Düsseldorfer Uni-Klinik wurde die Schadsoftware mit hoher Wahrscheinlichkeit unmittelbar nach Bekanntwerden einer Sicherheitslücke und noch vor dem Bereitstellen eines Patches eingeschleust. Über Monate hinweg blieb die Malware unbemerkt und verbreitete sich dann in dem IT-Netzwerk.

Wollen die Verantwortlichen wissen, wie hoch das Cybersicherheitsrisiko ist, muss man alle Komponenten des Internet of Medical Things (IoMT) – also Medizingeräte, Software-Anwendungen, Gesundheitssysteme und -dienstleistungen – überprüfen. Die Aussage, dass es einen hundertprozentigen Schutz gegen Hackerangriffe nicht geben kann, ist zunächst einmal richtig. Dies bedeutet jedoch nicht, dass jeder Angriffsversuch immer von Erfolg gekrönt ist. Vorrangiges Ziel ist es, den Cyberkriminellen das Eindringen so schwer wie nur irgendwie möglich zu machen – und das funktioniert durchaus.

Vorbeugen ist besser als heilen

Auf Krankenhaus-Seite setzt die Hackerabwehr ein stimmiges Gesamtkonzept entlang der gesamten Prozess- und Systemlandschaft voraus. Dazu zählen neben ganz klassischen Maßnahmen wie Zugriffskontrollen, Passwort- und Rechtemanagement, Datenklassiﬁzierung, Netzwerksegmentierung, Firewalls oder Virenscanner beispielsweise das Gefährdungs- und Schwachstellenmanagement. Es stützt sich auf die Überwachung und Identifizierung von Bedrohungen – inklusive Risikobewertung und Schritte zur Schadensbegrenzung. Die Verantwortlichen sollten dieses Thema proaktiv mithilfe von Penetrationstests vorantreiben. Neben der klassischen IT müssen dabei auch medizinische Geräte im Kontext der IoMT-Security im Fokus stehen. Schließlich haben inzwischen fast alle dieser Devices einen Zugang zum jeweiligen Unternehmensnetz.

Die Software der Geräte muss zudem stets auf dem neuesten Stand sein, was gerade bei medizinischer Hardware gar nicht so leicht zu erfüllen ist. Daher muss bereits bei der Anschaffung neuer Geräte berücksichtigt werden, ob und wie lange die Hersteller Updates garantieren. Krankenhäuser sind darüber hinaus gut beraten, Sicherheitsanforderungen in Verträgen mit Zulieferern, Partnern und Dritten festzulegen und deren Einhaltung in regelmäßigen Audits zu überprüfen. Die Gerätehersteller wiederum stehen mehr denn je in der Pflicht, ihre Systeme mit den entsprechenden Cybersicherheitsmaßnahmen auszustatten – Security-by-Design also von Beginn an zu berücksichtigen. Keineswegs dürfen sie sich darauf verlassen, dass die Klinik als Betreiber das Medizingerät in den Griff bekommt.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Sicherheit liegt in der Verantwortung aller

Aber auch wenn in erster Linie die Hersteller dafür Sorge tragen müssen, dass medizinische Produkte keine Lücken in der IT-Sicherheit aufweisen, liegt die Verantwortung für den Schutz kritischer Daten und die Gesundheit der Patienten bei jeder Berufsgruppe, die im Gesundheitssektor arbeitet. Das heißt, Entscheidungsträger sollten die notwendigen Richtlinien durchsetzen und Cybersicherheit bereits beim Kauf neuer IT-Lösungen berücksichtigen. Zudem müssen Ärzte, Pfleger und medizinische Fachangestellte für die Gefahrenpotenziale sensibilisiert werden. Security-Awareness-Trainings helfen, dass die digitale Hygiene genauso selbstverständlich wird wie das Tragen eines Mund-Nasen-Schutzes.

Jede Verbesserung der Sicherheit von Geräten, Anwendungen und Netzwerken ist ein wichtiger Schritt für eine sicherere Versorgung der Patienten. Das bedeutet aber auch, dass sich alle Akteure im Gesundheitswesen mit den Entwicklungen im IoMT und den wachsenden Security-Anforderungen auseinandersetzen müssen.

Dieser Beitrag erschien zuerst auf unserem Schwesterportal Devicemed.

* Der Autor: Adil Mansoor ist OT/IoT European Practice Lead Security Consultancy Services bei NTT Ltd.

(ID:47607409)