IT-Sicherheit in der Medizintechnik

Healthcare-Hacker auf dem Vormarsch

Christoph Stoica ist Regional General Manager DACH bei Micro Focus, davor arbeitete er als Regional Director Central Europe bei NetIQ.
Die fortschreitende Digitalisierung und Vernetzung des gesellschaftlichen Lebens birgt nicht nur Vorteile, sondern auch zahlreiche Gefahren. Insbesondere im Gesundheitswesen gibt es Nachholbedarf in Sachen IT-Security.

Künstliche Intelligenz ist heutzutage allgegenwärtig - da geht es um Connected Cars, die dank moderner Kameras und Sensoren das Verkehrsgeschehen auf und jenseits der Straße erkennen und deuten. Oder um Sensoren im Verkehrsumfeld, die den optimalen Zeitpunkt für Ampelschaltungen ermitteln. Oder um Straßenlaternen, die Notrufsäule, WLAN-Hotspot und Lieferant von Umweltdaten in einem sind. Das Potential scheint unermesslich - nicht zuletzt dank der Einführung des IPv6-Standards, mit dem sich jetzt rund 360 Sextillionen Adressen vergeben lassen. Marktforscher von IDC schätzen, dass in den kommenden fünf Jahren rund 30 Milliarden "Dinge" über das Internet vernetzt sein werden.

Das Gesundheitswesen im IoT-Zeitalter

Auch die Healthcare-Branche profitiert bereits heute stark von neuen IoT-Technologien. So werden beispielsweise Hochrisikopatienten mit kardiovaskulären Krankheiten mittels diagnostischer Geräte überwacht, die kabellos per Datenleitung wichtige Vitaldaten an die Telemedizin-Zentren liefern. Bei den neuesten "Bring your own Device"-Lösungen (ByoD) im Gesundheitswesen verschwimmen gar die Grenzen zwischen professioneller Datenerhebung und Consumer-Lösungen. So misstScanadu Scout mittels kleinem Scanner privat den Herzschlag des Nutzers, seinen Blutdruck, die Temperatur, Atemfrequenz und den Sauerstoffgehalt im Blut. Alles wird per Funk ans Smartphone geschickt. Der Patient soll seine eigenen Daten kontrollieren, sie am besten selbst erheben und mit der gelieferten Software in der Cloud auswerten - wie auf der Cloud-Plattform "Patients Know Best" aus England, bei der ein Patient zentral alle seine Daten speichern kann, um sie selbst mit Fachärzten zu teilen.

Als Methode der Datenerfassung reichen Wearables nicht mehr aus. Die nächste Stufe sind "Insideables" wie der CorTemp Sensor, eine Pille, die der Nutzer schluckt, um die Körpertemperatur von innen zu messen. Sie ist gedacht für Hochleistungssportler, die ihre Körperfunktionen bekanntlich bis zum letzten Jota optimieren wollen. Infusionspumpen, die elektronisch über ein Netzwerk gesteuert werden, sind ein weiteres Beispiel für zunehmende Digitalisierung im Krankenhausbereich. Eines haben alle diese technologischen Trends branchenübergreifend gemeinsam: das Versprechen, dass intelligente, digitale Technologie, gesteuert und verbunden über Cloud Computing, unser Leben einfacher macht.

2016 - Das Jahr der Health Hacks

Doch parallel zu diesen vielversprechenden Ausblicken vergeht kaum eine Woche, in der nicht ein neues sicherheitstechnisches IoT-Schreckensszenario aufgedeckt wird. Die Entwicklung von IoT ist so rasant und einschneidend für die gesamte Gesellschaft zugleich, dass man sie in vielerlei Hinsicht mit der einer Revolution vergleichen kann - chaotisch, wild, ungeordnet und teils fehlerhaft. Hacks gegen medizinische Geräte, Industrieanlagen, Autos oder Consumer-Elektronik im Kinderzimmer beweisen, dass die Realität und der Anspruch in Bezug auf Sicherheit und Datenschutz oft noch diametral auseinandergehen. Denn mit der Zunahme von Zugangspunkten und Komponenten, die über das Netzwerk oder über das Internet vernetzt werden, nimmt die Gefahr potenzieller Angriffsziele zu.

War 2015 noch das Jahr der Auto-Hacks, bei dem gleich mehrfach gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller wie Fiat Chrysler, General Motors und Tesla offengelegt wurden, so scheint dieses Jahr die Gesundheitsbranche verstärkt Ziel von Hackerangriffen zu werden. Bereits im Juni letzten Jahres warnte die US-Gesundheitsbehörde FDA, dass Infusionspumpen des Herstellers Hospira über das Netzwerk des Krankenhauses gehackt werden könnten. Krankenhäuser wurden angehalten, die Geräte nicht zu verwenden. Ein Hacker könnte die Dosierung der Infusion ändern und damit dem Patienten eine Überdosis verabreichen. Die FDA veröffentlichte ein Grundlagendokument, in dem vor Hackern in Krankenhausnetzwerken gewarnt wird. Vor allem unsichere Standardsoftware sieht die Behörde als Gefahr und als mögliches Einfalltor.

Die spektakulären Cyber-Angriffe auf Krankenhäuser in NRW im Februar 2016, unter anderem auf das Neusser Lukaskrankenhaus, verdeutlichen zudem, dass neben der Gefahr der Datenkompromittierung - also der Manipulation von Daten bis hin zum Datendiebstahl - vor allem auch das lukrative Geschäft mit der Cyber-Erpressung floriert. Dank der Popularität von Malware wie CTB-Locker, Teslacrypt und CryptoWall hat das Phänomen Ransomware nach Ansicht der Analysten von Forrester 2015 enorm zugelegt. Als Gründe lassen sich zum einen die Zahl und Beliebtheit von Online-Währungen wie Bitcoins nennen, zum anderen zeigen mehr und mehr Opfer dieser Erpressungen eine deutliche Zahlungswilligkeit.

Inhalt dieses Artikels