France

Cybersecurity Wenn der Herzschrittmacher gekapert wird

Autor / Redakteur: Adil Mansoor* / Julia Engelke

Die Cyberkriminalität gegen Einrichtungen im Gesundheitswesen nimmt zu, durch die Vernetzung medizinischer Devices öffnen sich den Hackern zahlreiche Einfallstore. Für den Schutz von Patienten und Einrichtungen müssen alle Akteure an einem Strang ziehen, den Herstellern der Medizingeräte kommt dabei eine besondere Rolle zu.

Firmen zum Thema

Das Internet of Medical Things (IoMT) bietet Hackern zahlreiche Einfallstore. Wird ein medizinisches Gerät gekapert, ist der Patient einer erheblichen Gefahr ausgesetzt. (Symbolbild)
Das Internet of Medical Things (IoMT) bietet Hackern zahlreiche Einfallstore. Wird ein medizinisches Gerät gekapert, ist der Patient einer erheblichen Gefahr ausgesetzt. (Symbolbild)
(Bild: gemeinfrei / Pixabay )

Moderne Krankenhäuser und andere Einrichtungen des Gesundheitswesens sind auf funktionierende Technologie angewiesen. Die Verfügbarkeit der medizinischen Geräte ist ausschlaggebend für Behandlungserfolg und Effizienz – im Notfall entscheidet sie sogar über Leben und Tod. Längst verwalten Kliniken Hunderte, teilweise sogar Tausende solcher Geräte, das Arsenal reicht von der bildgebenden Diagnostik wie dem MRT über Infusionspumpen zur Medikamentengabe bis hin zu implantierten Herzschrittmachern oder Defibrillatoren.

Für Hacker sind medizinische Devices ein lohnendes Ziel, denn sie sind in der Regel leicht zu kapern. Das liegt zunächst einmal daran, dass dank vergleichsweise langer Lebenszyklen viele ältere Geräte mit überholten Betriebssystemen im Einsatz sind, die längst nicht so gut geschützt sind wie neuere Medizintechnik. Erschwerend kommt hinzu, dass Medizinprodukte vor ihrer Zulassung einen oft monatelangen Zertifizierungsprozess durchlaufen müssen. Um diesen Status nicht zu riskieren, wird die Konfiguration in der Regel bei der Firmware- und Betriebssystem-Version eingefroren, die dem Stand zu Beginn des Zertifizierungsverfahrens entspricht. Ein zeitnahes Update mit den aktuellsten Sicherheitspatches ist somit fast unmöglich. Zusätzlich kommuniziert jedes vernetzte Gerät entweder über das Netzwerk der Einrichtung oder über einen Gateway, der eine direkte Verbindung zur Cloud herstellt. Beide sind gleichermaßen angreifbar. Zwar haben einige Medizinproduktehersteller vor diesem Hintergrund damit begonnen, das Thema Sicherheit auf ihre Agenda zu setzen – alle Schwierigkeiten sind damit nicht beseitigt.

Buchtipp

Das Buch "Cybersicherheit" führt grundlegend an die Einrichtung von Schutzmaßnahmen in Industrieunternehmen heran und widmet sich dabei insbesondere der Sicherheit von Industrie-4.0-Technologien.

Mehr erfahren

So steht es um die Sicherheit

Wie stark medizinische Geräte und Anwendungen gefährdet sind, hat erst jüngst das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht. Die Experten haben verschiedene Medizinprodukte zur Behandlung und Pflege von Patienten – darunter zufällig ausgewählte Herzschrittmacher, Defibrillatoren, Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore – auf ihre IT-Sicherheit überprüft. Gefunden haben sie rund 150 Schwachstellen, auch die oft in Pflege und Betreuung eingesetzten Hausnotrufsysteme oder Tablets für Senioren offenbarten mittlere bis schwere Sicherheitslücken. Damit steigt das Risiko für Krankenhäuser und andere Einrichtungen: Eine nicht gepatchte Schwachstelle in einem einzigen Gerät reicht aus, um das ganze Netzwerk zu kompromittieren. Cyberkriminelle arbeiten sich dabei oftmals Schritt für Schritt vor. Bei dem Ransomware-Angriff letzten September auf die Düsseldorfer Uni-Klinik wurde die Schadsoftware mit hoher Wahrscheinlichkeit unmittelbar nach Bekanntwerden einer Sicherheitslücke und noch vor dem Bereitstellen eines Patches eingeschleust. Über Monate hinweg blieb die Malware unbemerkt und verbreitete sich dann in dem IT-Netzwerk.

Wollen die Verantwortlichen wissen, wie hoch das Cybersicherheitsrisiko ist, muss man alle Komponenten des Internet of Medical Things (IoMT) – also Medizingeräte, Software-Anwendungen, Gesundheitssysteme und -dienstleistungen – überprüfen. Die Aussage, dass es einen hundertprozentigen Schutz gegen Hackerangriffe nicht geben kann, ist zunächst einmal richtig. Dies bedeutet jedoch nicht, dass jeder Angriffsversuch immer von Erfolg gekrönt ist. Vorrangiges Ziel ist es, den Cyberkriminellen das Eindringen so schwer wie nur irgendwie möglich zu machen – und das funktioniert durchaus.

Vorbeugen ist besser als heilen

Auf Krankenhaus-Seite setzt die Hackerabwehr ein stimmiges Gesamtkonzept entlang der gesamten Prozess- und Systemlandschaft voraus. Dazu zählen neben ganz klassischen Maßnahmen wie Zugriffskontrollen, Passwort- und Rechtemanagement, Datenklassifizierung, Netzwerksegmentierung, Firewalls oder Virenscanner beispielsweise das Gefährdungs- und Schwachstellenmanagement. Es stützt sich auf die Überwachung und Identifizierung von Bedrohungen – inklusive Risikobewertung und Schritte zur Schadensbegrenzung. Die Verantwortlichen sollten dieses Thema proaktiv mithilfe von Penetrationstests vorantreiben. Neben der klassischen IT müssen dabei auch medizinische Geräte im Kontext der IoMT-Security im Fokus stehen. Schließlich haben inzwischen fast alle dieser Devices einen Zugang zum jeweiligen Unternehmensnetz.

Die Software der Geräte muss zudem stets auf dem neuesten Stand sein, was gerade bei medizinischer Hardware gar nicht so leicht zu erfüllen ist. Daher muss bereits bei der Anschaffung neuer Geräte berücksichtigt werden, ob und wie lange die Hersteller Updates garantieren. Krankenhäuser sind darüber hinaus gut beraten, Sicherheitsanforderungen in Verträgen mit Zulieferern, Partnern und Dritten festzulegen und deren Einhaltung in regelmäßigen Audits zu überprüfen. Die Gerätehersteller wiederum stehen mehr denn je in der Pflicht, ihre Systeme mit den entsprechenden Cybersicherheitsmaßnahmen auszustatten – Security-by-Design also von Beginn an zu berücksichtigen. Keineswegs dürfen sie sich darauf verlassen, dass die Klinik als Betreiber das Medizingerät in den Griff bekommt.

Sicherheit liegt in der Verantwortung aller

Aber auch wenn in erster Linie die Hersteller dafür Sorge tragen müssen, dass medizinische Produkte keine Lücken in der IT-Sicherheit aufweisen, liegt die Verantwortung für den Schutz kritischer Daten und die Gesundheit der Patienten bei jeder Berufsgruppe, die im Gesundheitssektor arbeitet. Das heißt, Entscheidungsträger sollten die notwendigen Richtlinien durchsetzen und Cybersicherheit bereits beim Kauf neuer IT-Lösungen berücksichtigen. Zudem müssen Ärzte, Pfleger und medizinische Fachangestellte für die Gefahrenpotenziale sensibilisiert werden. Security-Awareness-Trainings helfen, dass die digitale Hygiene genauso selbstverständlich wird wie das Tragen eines Mund-Nasen-Schutzes.

Jede Verbesserung der Sicherheit von Geräten, Anwendungen und Netzwerken ist ein wichtiger Schritt für eine sicherere Versorgung der Patienten. Das bedeutet aber auch, dass sich alle Akteure im Gesundheitswesen mit den Entwicklungen im IoMT und den wachsenden Security-Anforderungen auseinandersetzen müssen.

Weitere Artikel zur Führung von Medizintechnik-Unternehmen finden Sie in unserem Themenkanal Management.

* Der Autor: Adil Mansoor ist OT/IoT European Practice Lead Security Consultancy Services bei NTT Ltd.

(ID:47598882)