Es sind nicht nur einige vernetzte Geräte im Healthcare-Einsatz, die Patientendaten und physische Sicherheit gefährden. Vielmehr sind es bestimmte Fähigkeiten der Devices und die Systeme in denen sie operieren, die die Medizintechnik zu einem ziemlich offenen Angriffsvektor machen.
Foto: pornsawan sangmanee - shutterstock.com
Auch die Erkenntnisse aus der IT-Sicherheitsbranche sprechen eine eindeutige Sprache:
Eine Studie von WhiteScope aus dem Mai 2017 berichtete von mehr als 8000 Schwachstellen in der Software von Herzschrittmachern.
Eine weitere Studie kam Ende 2016 nach der Analyse neuartiger, implantierbarer Defibrillatoren zu dem Ergebnis, dass Sicherheitslücken innerhalb der proprietären Kommunikationsprotokolle klaffen.
Security-Anbieter Trend Micro berichtete im Mai 2017 von mehr als 36.000 Healthcare-Devices - alleine in den USA - die über die IoT-Suchmaschine Shodan gefunden werden können, und somit potenziell angreifbar sind.
Ponemon und Synopsis kamen in einer gemeinsamen Studie aus dem Mai 2017 zur Erkenntnis, dass "nur rund ein Drittel aller Hersteller medizinischer Geräte sich der potenziellen Risiken für die Patienten bewusst ist. Trotz des Risikos sind nur 17 Prozent der Hersteller von medizinischen Geräten dazu bereit, signifikante Schritte einzuleiten, um solche Angriffe zu verhindern."
Seit die Hersteller damit begonnen haben, ihre Medizintechnik internetfähig zu machen, ist das größte Problem, dass diesen medizinischen Geräten Dinge zugetraut werden, für die sie weder gemacht, noch gedacht sind. Nämlich, dass sie einerseits die Patienteninformationen, andererseits aber auch die Patienten selbst vor Hackerangriffen schützen.
- Bitkom-Untersuchung zur Digitalisierung im Gesundheitswesen - Wie oft nutzen Anwender das Internet in Sachen Gesundheitsfragen?
Anwender nutzen das Internet durchaus häufig als Informationsquelle, wenn es um Gesundheitsfragen geht. - Bitkom-Untersuchung zur Digitalisierung im Gesundheitswesen - Nutzen von Internetrecherchen zu Gesundheitsfragen
Nutzer glauben auch, dass ihnen die Internetrecherche zu Fragen rund um Krankheiten sehr viel nutzt. - Bitkom-Untersuchung zur Digitalisierung im Gesundheitswesen - Wonach suchen User bezüglich Gesundheitsfragen?
Bei den Themen, zu denen User Informationen im Internet suchen, liegen Sport- und Fitnessfragen im Trend. - Bitkom-Untersuchung zur Digitalisierung im Gesundheitswesen - Vorteile von Online-Sprechstunden
Prinzipiell würden viele Deutschen sich auch auf Online-Sprechstunden einlassen. Sie sehen hierfür nämlich einige Vorteile. - Bitkom-Untersuchung zur Digitalisierung im Gesundheitswesen - Nachteile von Online-Sprechstunden.
Aber sie fürchten auch diverse Nachteile, wenn sie mit ihrem Arzt lediglich via Online kommunizieren würden. - Bitkom-Untersuchung zur Digitalisierung im Gesundheitswesen - Gesundheitsdaten werden zur Verfügung gestellt, wenn User etwas davon haben.
User würden ihre Gesundheitsdaten durchaus zur Verfügung stellen. Allerdings haben sie klare Vorstellungen, was sie dafür wollen.
Medizinische Geräte hacken leicht gemacht?
Chris Camejo vom Security-Provider NTT hält die heute im Einsatz befindliche Medizintechnik für sicher. Allerdings nur, wenn die Devices in einer isolierten, vertrauenswürdigen Umgebung betrieben werden: "Leider kann das Netzwerk eines Krankenhauses nicht als vertrauenswürdig eingestuft werden" so der Experte. "Schließlich ist es mit dem Internet verbunden und tausende, interne Nutzer sind dort aktiv, von denen jeder auf den falschen Link oder den falschen Mail-Anhang klicken könnte."
Wie ernst die Gefahr für Leib und Leben von Patienten wirklich ist, darüber lässt sich trefflich streiten. Jay Radcliffe, Experte in Sachen IT-Sicherheit bei Medizintechnik und selbst Diabetes-Patient, machte aus seiner Einschätzung zur Wahrscheinlichkeit von gezielten Cyberangriffen auf medizinische Geräte bereits auf der Black Hat Konferenz 2014 keinen Hehl, als er sagte: "Es ist wahrscheinlicher, dass sich ein Angreifer hinter mich schleicht und mir mit einem Baseballschläger einen tödlichen Schlag auf den Kopf versetzt."
Sicherheitsexperten zufolge ist bislang kein dokumentierter Fall eines zielgerichteten Angriffs auf Medizintechnik bekannt, bei dem ein Patient körperlicher Schaden erlitten hätte. Stephanie Domas, Medical Security Engineer bei DeviceSecure Services gibt allerdings zu bedenken, dass in Bezug auf gehackte Medizintechnik noch Vieles im Dunkeln liegt: "Ich kenne keinen Hersteller, der ein medizinisches Gerät nach einer Fehlfunktion forensisch untersucht hätte. Keiner scheint herausfinden zu wollen, wie es dazu gekommen ist."
Nach Aussage von Camejo sind die Risiken für die Medizintechnik immer dieselben - egal ob sich die Geräte inner- oder außerhalb der Netzwerkumgebung des Krankenhauses befinden: "Das Leben der Patienten hängt oft von der fehlerfreien Funktion dieser medizinischen Geräte ab. Ein Hacker, der diese Devices kontrollieren kann, kann deren Funktionen möglicherweise zum Nachteil des Patienten einsetzen."
Bestimmte Geräte deshalb komplett zu verbieten, halten die Experten dennoch für keine gute Idee. Schließlich sei es kaum möglich einzuschätzen, ob ein bestimmtes medizinisches Gerät größere Schwachstellen aufweist als ein anderes - von ganzen Geräteklassen ganz zu schweigen. Das Problem liege vielmehr in bestimmten Funktionen und Features, die die Medizintechnik für Hacker zu einem attraktiven Ziel werden lässt.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
So wird Healthcare für Hacker attraktiv
Wir haben die fünf größten Sicherheitsrisiken bei technischen Geräten, die im Healthcare-Bereich zum Einsatz kommen, für Sie zusammengefasst:
1. Sicherheitsrisiko Cloud
Wenn medizinische Geräte gehackt werden, die dazu gemacht sind, lebenswichtige Funktionen zu erhalten oder zu unterstützen, könnte das Leben der Patienten auf dem Spiel stehen. Zu diesen Geräten zählen etwa Herzschrittmacher oder Blutzuckermessgeräte.
Die Unternehmensberaterin und frühere FDA-Anwältin Sonali Gunawardhana sieht insbesondere letztere Geräte kritisch - insofern diese eine Verbindung zu einem Smartphone aufbauen können: "Wenn die App gehackt wird und der Patient nicht die korrekten Daten seines Blutzuckerspiegels bekommt, kann das irreparablen Schaden anrichten."
Chris Clark, Security-Experte bei Synopsis, sieht hingegen alle Geräte, die Cloud-Plattformen nutzen, als gefährdet an: "Es kann sich dabei auch um Infusionspumpen oder Patientenmonitore handeln. Medizinische Geräte, die eine Verbindung zum Internet brauchen, um zu funktionieren, besitzen hohes Potenzial kompromittiert zu werden."
2. Hochfrequenz-Konnektivität
Devices im Healthcare-Einsatz, die über Hochfrequenz angesteuert werden können, sind nach Meinung des Synopsis-Experten noch gefährdeter: "Fitbit spricht über Bluetooth mit unserem Smartphone. Das ist in der Regel eine gute Sache, weil es sich nicht auch noch mit anderen Geräten ‚unterhält‘."
- Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt. - Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht. - Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer. - Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern. - Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual". - Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen. - Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!
Das smarte Telefon hingegen, so Clark, sei Aggregationspunkt für alle möglichen Technologien geworden - nicht nur in Bezug auf Healthcare: "Die meisten Leute wissen nicht einmal, ob Ihr Gerät Wifi oder Bluetooth kann. Sie gehen einfach davon aus, dass der Hersteller für ihre Sicherheit sorgt. Aber einmal aktiviert, werden solche Devices zum Festschmaus für Hacker."
3. Kommerzielle Betriebssysteme & Software
Stephanie Domas weist darauf hin, dass die WannaCry-Ransomware nicht dazu gemacht war, Medizintechnik zu kompromittieren. "Nichts an WannaCry weist darauf hin, dass Krankenhäuser gezielt angegriffen werden sollten. Trotzdem waren viele Healthcare-Institutionen betroffen, nachdem die Schranken einmal gefallen waren. Diese Art von Angriffen zielt auf alle Devices, die angreifbar sind - ganz egal, worum es sich dabei handelt."
Davon ganz abgesehen, würde die komplette Verschlüsselung der IT-Systeme eines Krankenhauses dazu führen, dass alle medizinischen Geräte heruntergefahren werden müssten - auch diejenigen, die für einige Patienten überlebensnotwendig sind. Auch die Systeme selbst können zum Angriffspunkt werden: Die oben erwähnte Studie von Trend Micro kommt zu dem Ergebnis, dass drei Prozent der identifizierten, angreifbaren Devices immer noch auf Windows XP laufen. Dessen Support hat Microsoft bereits zum 8. April 2014 eingestellt. Security-Updates fallen damit natürlich ebenfalls flach.
4. Gespeicherte Patientendaten
Wie Domas weiß, halten nicht alle Geräte im Healthcare-Bereich auch Patientendaten vor. Aber die Devices, die Daten speichern, könnten allzu leicht zu Zwecken des Datendiebstahls missbraucht zu werden. Schließlich kommuniziert die Medizintechnik (in einigen Ländern) in der Regel auch auf direktem Weg mit elektronischen Gesundheitssystemen. "Es gab einige Angriffe auf Röntgengeräte und Bildarchivierungssysteme", weiß Domas. "Manche dieser Geräte halten auch komplette Patientenakten vor. Denn diese Devices sind so ausgestaltet, dass sie mit Ihren Daten interagieren können. Jede Kompromittierung führt also zum uneingeschränkten Zugriff auf alle Patientendaten."
Sonali Gunawardhana kann da nur zustimmen: "Für Herzschrittmacher, Insulinpumpen, CT- und MRT-Geräte sowie digitale Patientenakten besteht das höchste Risiko, wegen ihrer Fähigkeit, sich mit zahlreichen medizinischen Plattformen innerhalb des Kliniknetzwerks zu verbinden. Diese Medizintechnik könnte auf vielfältige Art und Weise gehackt werden, um Patienten Schaden zuzufügen."
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
5. Verbindungen zu Dritten
Nach Ansicht von Chris Clark ist es nicht so sehr die Geräteklasse, sondern der Zweck eines medizinischen Geräts auf den es ankommt: "Remote Monitoring wird immer beliebter. Schließlich hilft die Technologie gerade den Angestellten von Healthcare-Institutionen, die Bedürfnisse aller Patienten im Blick zu behalten - selbst wenn das rein physisch gar nicht möglich wäre. Wenn dabei allerdings die Server eines Drittanbieters zum Einsatz kommen, steigt das Sicherheitsrisiko stark an."
Ein Beispiel dafür sind etwa verschiedene Geräte in Krankenwagen, die sich mit einem Server des Krankenhauses verbinden, damit die Ärzte in der Klinik nachvollziehen, welche Maßnahmen der Notarzt bereits durchgeführt hat. Diese Informationen sollten beim Arzt ankommen, es gibt also gute Gründe für diese Funktion. Aber es bedeutet auch, dass die Kommunikation deutlich weniger sicher ist, als sie es in einem geschlossenen Netzwerk wäre.
Sogar Rechner innerhalb eines Kliniknetzwerks könnten als "Dritte" fungieren, wie Camejo hinzufügt: "Auch wenn ein bestimmtes medizinisches Gerät selbst nicht angreifbar ist - ein Angreifer, der den PC übernimmt, mit dem das Device gesteuert und/oder gewartet wird, könnte so Passwörter ausspähen, um dann das Gerät direkt zu attackieren."
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.