Cybersicherheit im Gesundheitswesen: Nach tödlichem Vorfall im Düsseldorfer Krankenhaus empfehlen Sicherheitsforscher mehr Prävention

foto (c) malwarebyte geralt absmeier

Ein kürzlich verübter Ransomware-Angriff, der maßgeblich zum Tod einer Frau im Krankenhaus beigetragen haben soll, hat die Bedeutung der Cybersicherheit im Gesundheitswesen dramatisch ins Blickfeld gerückt. Die Sicherheitsforscher von Malwarebytes analysieren im Folgenden die Cybersicherheitslage bei Gesundheitseinrichtungen und geben konkrete Ratschläge für mehr Sicherheit in diesem speziellen Bereich.

 

Was ist im Düsseldorfer Krankenhaus genau passiert?

Vor einigen Wochen wurde das Uniklinikum der Universität Düsseldorf Opfer eines Ransomware-Angriffs. Das Krankenhaus sah sich deshalb gezwungen, keine neuen Patienten aufzunehmen, bis die Situation geklärt war und der normale Betrieb wieder aufgenommen werden konnte.

Wegen des Aufnahmestopps musste eine Frau, die dringend Hilfe benötigte, in ein deutlich weiter entferntes Krankenhaus in Wuppertal gefahren werden. Sie verstarb bei der Ankunft dort. Die zusätzlichen 30 Minuten erwiesen sich als tödlich.

Basis der Lösegeldforderung war Malware aus der Familie DoppelPaymer. Wie die Sicherheitsforscher analysierten, war sie unter Ausnutzung der CVE-2019-19781-Schwachstelle in Citrix-VPNs in der Organisation platziert worden.

Wie sich herausstellte, war das Ziel der Cyberkriminellen nicht einmal das Krankenhaus selbst, sondern die Universität Düsseldorf, zu der das Krankenhaus gehört. Als die Angreifer erfuhren, dass auch das Krankenhaus zum Opfer gefallen war, übergaben sie den Entschlüsselungscode kostenlos. Trotz dieses Schlüssels dauerte es mehr als zwei Wochen, bis das Krankenhaus einen solchen Grad der Funktionsfähigkeit erreicht hatte, der es ihm erlaubte, wieder neue Patienten aufzunehmen.

Dies ist nicht nur deshalb tragisch, weil das Leben der Frau möglicherweise hätte gerettet werden können, wenn das Universitätskrankenhaus in Betrieb gewesen wäre, sondern auch, weil es einmal mehr zeigt, wie es einem der wichtigsten Teile unserer öffentlichen Infrastruktur an einer angemessenen Verteidigung gegen weit verbreitete Bedrohungen wie Ransomware-Angriffe fehlt.

 

Wo liegen die Sicherheitsrisiken im Gesundheitswesen?

Die Sicherheitsforscher von Malwarebytes haben mehrere Sicherheitsrisiken identifiziert, die das Gesundheitswesen und insbesondere Krankenhäuser anfälliger für Cyberbedrohungen machen als viele andere Branchen.

  • Internet of Things (IoT): Viele medizinische Geräte, die den Patienten untersuchen und überwachen, sind mit dem Internet verbunden. Diese Gruppe von IoT-Geräten bringt eine Reihe von Sicherheitsrisiken mit sich, insbesondere wenn es um persönlich identifizierbare Informationen (PII) geht. So läuft beispielsweise eine Vielzahl der Geräte auf unterschiedlichen Betriebssystemen und benötigt spezifische Sicherheitseinstellungen, um sie erfolgreich von der Außenwelt abzuschirmen.
  • Altsysteme: Medizinische Systeme kommen von verschiedenen Anbietern, und in jedem Krankenhaus finden sich viele unterschiedliche Typen. Jedes hat sein eigenes Ziel, sein eigenes Benutzerhandbuch und sein eigenes Aktualisierungssystem. Für viele Altsysteme gilt die verheerende Faustregel, dass nichts umgestellt wird, solange es funktioniert. Das bedeutet, dass Software keine Patches oder Updates mehr erhält, selbst wenn es bekannte Probleme gibt. Die Angst vor einem Systemausfall wiegt schwerer als die Dringlichkeit, die neuesten Patches zu installieren. Und genau das ist ein Fehler.
  • Mangel an angemessenen Backups: Auch wenn ein Problem gelöst ist, dauert es viel zu lange, bis ein angegriffenes Ziel wieder einsatzbereit ist. Gesundheitseinrichtungen verfügen häufig nicht über einen Sicherungsplan und vielleicht sogar Sicherungsgeräte und Server für die wichtigsten Funktionen, um diese im Katastrophenfall am Laufen halten zu können.
  • Zusätzliche Stressfaktoren: Herausforderungen wie die Covid-19-Pandemie, Brände oder andere Naturkatastrophen lassen Gesundheitseinrichtungen wenig Zeit für Sicherheitsmaßnahmen und die Notwendigkeit von Aktualisierungen, Backups oder allgemeinen Überlegungen zur Cybersicherheit in den Hintergrund drängen. Faktoren wie diese werden oft wichtiger und dringlicher eingestuft als Cybersicherheitsmaßnahmen.

 

Warum ist ein Umdenken im Gesundheitswesen wichtig?

Es ist sicherlich schwierig, im Gesundheitssystem Prioritäten zu diskutieren. Pflegepersonal und Ärzte priorisieren jeden Tag, und zwar selbstverständlich zugunsten der dringendsten und wichtigsten Patientenbedürfnisse. Doch auch in der IT-Administration muss priorisiert werden. Gesundheitseinrichtungen sollten festlegen, welche Systeme sofortige Aufmerksamkeit erfordern und welche im Ernstfall weniger wichtig sind.

 

Ransomware-Angriffe bringen erhebliche Kosten mit sich

Ransomware-Angriffe auf Gesundheitseinrichtungen sind ein weltweites Problem. In den USA waren vor kurzem die UHS-Krankenhäuser von Ryuk-Lösegeldforderungen betroffen. Dabei darf nicht vergessen werden, welche enormen Kosten ein Ransomware-Angriff verursachen kann. Man neigt dazu, nur den tatsächlich geforderten Lösegeldbetrag zu betrachten, doch die zusätzlichen anfallenden Kosten sind oft viel höher. Es braucht viele Arbeitsstunden, um alle betroffenen Systeme in einer Organisation wiederherzustellen und zu einem voll funktionsfähigen Zustand zurückzukehren. In einer Organisation, die entsprechend vorbereitet ist, wird die Zeit zur Wiederherstellung geringer sein. Eine wichtige Aufgabe ist es, nach einem Angriff herauszufinden, wie er passiert ist und wie die entsprechende Sicherheitslücke behoben werden kann. Außerdem ist eine gründliche Untersuchung erforderlich, um zu prüfen, ob der Angreifer Hintertüren für weitere Cyberangriffe hinterlassen hat.

 

Ein Notfallplan ist elementar

Einen vollkommende Cybersicherheit wird es auch im Gesundheitsbereich nicht geben. Es geht darum, vorausschauend zu denken und entsprechende Pläne für den Umgang mit einem Sicherheitsproblem vorzubereiten. Ganz gleich, ob es sich um einen Sicherheitsverletzung oder einen Cyberangriff handelt, der wichtige Teile der Sicherheitseinrichtungen lahmlegt: nötig ist ein Plan. Wenn allen beteiligten Akteuren bekannt ist, was zu tun ist und in welcher Reihenfolge, kann viel Zeit bei der Notfallwiederherstellung eingespart werden.

 

Die Malwarebytes-Sicherheitsforscher empfehlen folgende (präventive) Maßnahmen, um Sicherheitseinrichtungen besser zu schützen:

  • Wiederherstellungspläne für verschiedene Szenarien wie Datenschutzverletzungen, Ransomware-Angriffe etc. vorbereiten
  • Datei-Backups, die auf dem aktuellsten Stand und leicht zu implementieren sind, sollten jederzeit zur Hand sein.
  • Backup-Systeme einrichten, die schnell übernehmen können, wenn kritische Systeme lahmgelegt werden.
  • Präventive Maßnahmen auf unterschiedlichen Ebenen einführen, etwa Schulungen für die Mitarbeiter, um sie mit den konkreten Schritten der Notfallpläne vertraut zu machen.

 

Was den Gesundheitssektor so anfällig für Angriffe auf die Cybersicherheit macht

Illustration: Geralt Absmeier

Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Für Dienstleister im Gesundheitswesen stehen Patientensicherheit und funktionaler Komfort im Mittelpunkt. Zudem fehlt es sowohl an Budget als auch an Fachwissen im Bereich Cybersicherheit. Das führt nicht selten dazu, dass Systeme und Netzwerke so konfiguriert sind, dass sie für Ärzte, Pflegepersonal und Verwaltung gut funktionieren, aber leider gleichzeitig eine breite und durchlässige Angriffsfläche bieten.

Wir haben dazu mit Jonathan Knudsen, Senior Security Strategist bei Synopsys gesprochen.

Warum sind vernetzte medizintechnische Geräte besonders anfällig für Softwareschwachstellen?

Jonathan Knudsen: Im Wesentlichen sind es drei Gründe, warum gerade medizintechnische Geräte eine große Herausforderung sind.

Erstens steht die verhältnismäßig lange Lebensdauer von medizinischen Geräten und die vorherrschende Einstellung »wenn es noch funktioniert, warum sollte ich es reparieren« im krassen Widerspruch zu einer Kultur des »frühzeitig und häufig veröffentlichen« bei der Softwareentwicklung.

Zweitens. Wenn wir die Sicherheit von Geräten verbessern wollen, müssen wir sehr viel früher ansetzen. Also schon zu einem Zeitpunkt, an dem das Produkt für den Hersteller noch Zukunftsmusik ist. Hersteller sollten bei der Produktentwicklung einen Secure Development Life Cycle (SSDL oder SDLC) nutzen, um das Risiko für sich selbst, ihre Kunden und insbesondere die Patienten zu minimieren. Der SSDL legt in jeder Phase besonderen Wert auf Sicherheitsaspekte, angefangen bei der Entwicklung des Produkts, über die Implementierung, einschließlich automatisierter und integrierter Sicherheitstests bis hin zur Produktveröffentlichung und -wartung. Da Gerätehersteller ihre Sicherheitsprogramme und -prozesse ständig weiterentwickeln, sollten Dienstleister im Gesundheitswesen überprüfen wie hier der Stand der Dinge ist. Das kann man beispielsweise während des Beschaffungsprozesses tun, indem man Fragen zum SSDL, zur Art der durchgeführten Sicherheitstests, zu den bereits erzielten Ergebnissen und so weiter stellt.

Drittens verlängert die behördliche Kontrolle von medizinischen Produkten und Geräten die Produktentwicklungszeiten. Das erschwert es, die raschen, inkrementellen Aktualisierungen, die für Softwareprodukte typisch sind, im Gesundheitswesen korrekt zu implementieren.

 

Welches Risiko ist mit Schwachstellen wie BlueKeep und URGENT/11 verbunden?

Geräte und Systeme, auf denen veraltete Softwareversionen mit bekannten Schwachstellen laufen, stellen ein ernstes Risiko dar. Angreifer können solche Schwachstellen ausnutzen, um die Kontrolle über Geräte zu übernehmen, Prozesse zu unterbrechen oder zu manipulieren, die Geräte zum Stillstand zu bringen oder sie als Ausgangspunkt für weitere Angriffe zu nutzen.

 

Wie genau funktionieren diese Softwareschwachstellen? Und welche sind für vernetzte medizinische Geräte besonders schwerwiegend?

Schwachstellen sind einfach Fehler im Konzept, in der Konfiguration oder im Code eines Geräts. Die beste Verteidigungsmaßnahme für den Hersteller besteht darin, einen SSDL zu benutzen. Dann werden die meisten Schwachstellen vor der Veröffentlichung des Produkts gefunden und können behoben werden. Besonders alarmierend sind Schwachstellen, die remote von einem Angreifer ausgenutzt werden können. Häufig potenziert sich das Risiko eines solchen Angriffs durch eine unzureichende Netzwerkkonfiguration. Gerade im Gesundheitswesen. Hat der Angreifer sich einmal Zutritt zum Netzwerk verschafft, kann er von seinem Ausgangspunkt nicht selten jeden Winkel des Unternehmens ungehindert erreichen.

 

Worin liegt hinsichtlich vernetzter Geräte das höchste Risiko?

Das Hauptrisiko besteht ganz offensichtlich für die Gesundheit der Patienten. Obwohl vernetzte medizinische Geräte viele hilfreiche Funktionen bieten, müssen Gesundheitsdienstleister bei Konfiguration, Einsatz und Wartung der Geräte sehr umsichtig vorgehen.

 

Was können Krankenhäuser, aber auch Hersteller in Zukunft besser machen?

Für Hersteller von medizintechnischen Geräten ist ein SSDL von nicht zu unterschätzender Bedeutung. Richtig implementiert, gewährleistet der SSDL, dass ein freigegebenes Produkt lediglich ein Minimum an Schwachstellen aufweist, was sich direkt in einer Risikominderung und einer höheren Patientensicherheit niederschlägt. Dazu kommt der erfreuliche Nebeneffekt, dass die Gesamtkosten für den Hersteller sinken. Denn bessere Produkte brauchen weniger Korrekturen und Updates. Nach der Produktveröffentlichung sind die erheblich teurer. Dienstleister im Gesundheitswesen brauchen aber auch ihre eigenen Sicherheitsprogramme. Die erst gewährleisten, dass Richtlinien, Netzwerkdesign, Gerätebeschaffung und Wartungsprozesse aufeinander abgestimmt sind. Dieses Vorgehen senkt das mit Softwarefehlern verbundene Risiko, wenn es dann (versehentlich oder absichtlich) wirklich zu einem Angriff kommt.

 

Vor welchen Herausforderungen stehen Krankenhäuser und Gesundheitsdienstleister, die ihre medizintechnischen Geräte besser vor Cybersicherheitsbedrohungen schützen wollen?

Die größte Herausforderung liegt ganz eindeutig im Bereich der Ressourcen. Fachwissen in Sachen Cybersicherheit ist rar gesät, und Gesundheitsdienstleister zögern nicht selten, mehr Zeit und Geld für die Sicherung von Software und Netzwerken aufzuwenden. Wenn die Risiken richtig eingegrenzt werden, erkennt aber jedes Unternehmen die zentrale Bedeutung eines umfassenden, proaktiven Cybersicherheit-Ansatzes.

 

959 Artikel zu „Sicherheit Gesundheit“

Der Technik vertrauen können: Warum wir mehr Sicherheit im vernetzten Gesundheitswesen brauchen

 

Zweifelsohne haben das Internet der Dinge (IoT) und die damit verbundenen Dienste das Gesundheitswesen revolutioniert. Dafür gibt es zahlreiche Beispiele. Es ist möglich, direkt auf Patientenakten zuzugreifen, Ferndiagnosen zu stellen und entsprechende Behandlungsoptionen anzubieten. Dazu kommen Lifecycle Management und Apps zum Überwachen von Vitalfunktionen. Zwei Motive treiben das Wachstum in diesem Segment ganz besonders an.…

Gesundheitswesen als chronischer Patient in Sachen IT-Sicherheit – Herausforderungen und Lösungswege

 

Automatisierung ist einer der entscheidenden Schritte, um IT-Sicherheitspersonal zu entlasten und das Sicherheitsniveau zu verbessern. Die IT-Sicherheitsexperten von Vectra Networks haben im aktuellen (2017) Verizon Data Breach Investigation Report [1] bemerkenswerte Ergebnisse zur Cybersicherheit im Gesundheitswesen ausgemacht. Als Anbieter für die automatisierte Erkennung von laufenden Cyberangriffen nehmen die Spezialisten die aktuellen Erkenntnisse zum Anlass, die…

Sicherheitsarchitektur: Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen

 

In fast allen Branchen, nicht zuletzt im Gesundheitswesen, wird eine wachsende Menge an Daten in die Clouds von Amazon Web Services (AWS) und Microsoft Azure verschoben. Dies ist durchaus sinnvoll, weil beispielsweise Klinikverwaltungen sich auf die Behandlung von Patienten, anstatt die Verwaltung von Rechenzentren konzentrieren wollen. »Die Tatsache, dass die Cloud eine kostengünstigere Option ist,…

IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an

 

Cyber Security Intelligence Index 2016: Gesundheitsbranche das weltweit attraktivste Angriffsziel für Cyberkriminelle. Gefahren durch Insider in Organisationen steigen weiter an. Fast zwei Drittel mehr schwere Sicherheitsvorfälle als noch 2014. Ein aktueller IT-Security-Report von IBM listet detailliert die größten Cybergefahren des vergangenen Jahres auf: So geht aus dem neuen »Cyber Security Intelligence Index 2016« hervor, dass…

Tatort Gesundheit: Sicherheitsanalyse zu Chancen und Risiken der Vernetzung im Gesundheitswesen

 

Internet der Dinge verspricht große Einsparungen im Gesundheitssektor. Integrierte Sicherheit muss bei vernetzten medizinischen Geräten von Anfang an berücksichtigt werden. Der Report »Internetfähige Geräte im Gesundheitswesen« beleuchtet den Bereich der Chancen und Risiken vernetzter Geräte im Gesundheitswesen des »Internets der Dinge« (IoT) und enthält Empfehlungen für Industrie, Regulierungsbehörden sowie Ärzte [1]. Die Vernetzung des Gesundheitswesens…

Gesundheitssystem: Auf 1.000 Deutsche kommen 4,3 ÄrztInnen

 

In Deutschland kommen laut Angaben der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) auf 1.000 EinwohnerInnen 4,3 ÄrztInnen. Damit ist die Bundesrepublik im Vergleich mit anderen Corona-Krisengebieten gut versorgt, wie der Blick auf die Grafik zeigt. In den USA kommen beispielsweise auf 1.000 Menschen nur 2,6 ÄrztInnen mit Patientenkontakt. Indes sagten diese Zahlen wenig über…

Sicherheitslücke Home Office? Herausforderung IT-Sicherheit in Krisenzeiten

 

Das Corona-Virus sorgt von Tag zu Tag für immer höhere Infektionszahlen, was drastische Gegenmaßnahmen zur Folge hat: Um der weiteren Ausbreitung entgegenzutreten, müssen Geschäfte, Restaurants sowie sonstige öffentliche Einrichtungen schließen. Unternehmen senden ihre Mitarbeiter ins Home Office. Aufgrund der ohnehin außergewöhnlichen und teilweise überfordernden Situation sollten Unternehmen und Arbeitnehmer sich nicht noch zusätzliche Sorgen um…

Corona: Unternehmen, Mitarbeiter und Home Office – worauf man in puncto IT-Sicherheit achten sollte

 

Plötzlich spielt sich das ganze Leben online ab. Nie zuvor waren die vernetzte Welt und die Möglichkeit, online zu kommunizieren, Kontakte zu knüpfen, zu arbeiten und Geschäfte zu tätigen, so präsent und entscheidend wie heute. Auch wenn dieses neue Vermögen auf den ersten Blick beeindruckend erscheint, muss man sich der Realität stellen: Egal wo wir…

Corona: Mehr Angst um Unternehmenserfolg als um Gesundheit

 

Wie groß ist die Angst der Deutschen vor dem Coronavirus (SARS-CoV-2)? Wie beeinflusst die aktuelle Situation den Arbeitsalltag in deutschen Büros und Fabriken? Und welche Maßnahmen ergreifen Unternehmen bislang? Die Jobplattform StepStone hat am Dienstag (3.3) mehr als 4.000 Menschen befragt, um herauszufinden, wie sich das Virus bislang auf die Arbeitswelt auswirkt. Demnach macht sich…

Cybersicherheit 2020: Vier konkrete Bedrohungsszenarien

 

Jedes Jahr erstellen die Experten von Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand stellt der Hersteller dabei selbst schwache Angriffssignale aus dem Vorjahr, die jüngsten Branchenanalysen und die Meinungen seiner Sicherheitsspezialisten. Daraus resultiert 2020 ein Ausblick mit vier Hypothesen und Szenarien, die alles andere als realitätsfremd sind.…

Unsicher sicher: Ein falsches Gefühl von Sicherheit und was es bewirkt

 

Von Tyler Reguly, Tripwire.   Heute findet der mittlerweile 14. Europäische Datenschutztag statt. Wie immer seit seiner Einführung im Jahr 2007 am 28. Januar. Man kommt also nicht umhin, einmal mehr über Sicherheit, oder genauer gesagt, über den Mangel daran, nachzudenken.   Sicherheit ist ein interessantes Thema, das uns von unserer Geburt bis zu unserem…

Gesundheits-Vorsätze 2019: Viel Wasser trinken, gut schlafen, weniger Zucker und Stress

 

Eine Auswertung der Präventions-App YAS von 17.928 Nutzern zeigt: 16 % integrierten neue Gewohnheiten nachhaltig (über 4 Wochen hinweg), 15 % meditierten jeden Monat, (6.073 Minuten insgesamt) und 22 % verbesserten ihre Schlafqualität. 13 % erreichten ihre selbst gewählten Ziele zu 100 % und setzten dabei mehrheitlich auf den niedrigsten Schwierigkeitsgrad. Fazit: »Weniger ist mehr!…