Was den Gesundheitssektor so anfällig für Angriffe auf die Cybersicherheit macht

Illustration: Geralt Absmeier

Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Für Dienstleister im Gesundheitswesen stehen Patientensicherheit und funktionaler Komfort im Mittelpunkt. Zudem fehlt es sowohl an Budget als auch an Fachwissen im Bereich Cybersicherheit. Das führt nicht selten dazu, dass Systeme und Netzwerke so konfiguriert sind, dass sie für Ärzte, Pflegepersonal und Verwaltung gut funktionieren, aber leider gleichzeitig eine breite und durchlässige Angriffsfläche bieten.

Wir haben dazu mit Jonathan Knudsen, Senior Security Strategist bei Synopsys gesprochen.

 

Anzeige

Warum sind vernetzte medizintechnische Geräte besonders anfällig für Softwareschwachstellen?

Jonathan Knudsen: Im Wesentlichen sind es drei Gründe, warum gerade medizintechnische Geräte eine große Herausforderung sind.

Erstens steht die verhältnismäßig lange Lebensdauer von medizinischen Geräten und die vorherrschende Einstellung »wenn es noch funktioniert, warum sollte ich es reparieren« im krassen Widerspruch zu einer Kultur des »frühzeitig und häufig veröffentlichen« bei der Softwareentwicklung.

Anzeige

Zweitens. Wenn wir die Sicherheit von Geräten verbessern wollen, müssen wir sehr viel früher ansetzen. Also schon zu einem Zeitpunkt, an dem das Produkt für den Hersteller noch Zukunftsmusik ist. Hersteller sollten bei der Produktentwicklung einen Secure Development Life Cycle (SSDL oder SDLC) nutzen, um das Risiko für sich selbst, ihre Kunden und insbesondere die Patienten zu minimieren. Der SSDL legt in jeder Phase besonderen Wert auf Sicherheitsaspekte, angefangen bei der Entwicklung des Produkts, über die Implementierung, einschließlich automatisierter und integrierter Sicherheitstests bis hin zur Produktveröffentlichung und -wartung. Da Gerätehersteller ihre Sicherheitsprogramme und -prozesse ständig weiterentwickeln, sollten Dienstleister im Gesundheitswesen überprüfen wie hier der Stand der Dinge ist. Das kann man beispielsweise während des Beschaffungsprozesses tun, indem man Fragen zum SSDL, zur Art der durchgeführten Sicherheitstests, zu den bereits erzielten Ergebnissen und so weiter stellt.

Drittens verlängert die behördliche Kontrolle von medizinischen Produkten und Geräten die Produktentwicklungszeiten. Das erschwert es, die raschen, inkrementellen Aktualisierungen, die für Softwareprodukte typisch sind, im Gesundheitswesen korrekt zu implementieren.

 

Welches Risiko ist mit Schwachstellen wie BlueKeep und URGENT/11 verbunden?

Geräte und Systeme, auf denen veraltete Softwareversionen mit bekannten Schwachstellen laufen, stellen ein ernstes Risiko dar. Angreifer können solche Schwachstellen ausnutzen, um die Kontrolle über Geräte zu übernehmen, Prozesse zu unterbrechen oder zu manipulieren, die Geräte zum Stillstand zu bringen oder sie als Ausgangspunkt für weitere Angriffe zu nutzen.

 

Wie genau funktionieren diese Softwareschwachstellen? Und welche sind für vernetzte medizinische Geräte besonders schwerwiegend?

Schwachstellen sind einfach Fehler im Konzept, in der Konfiguration oder im Code eines Geräts. Die beste Verteidigungsmaßnahme für den Hersteller besteht darin, einen SSDL zu benutzen. Dann werden die meisten Schwachstellen vor der Veröffentlichung des Produkts gefunden und können behoben werden. Besonders alarmierend sind Schwachstellen, die remote von einem Angreifer ausgenutzt werden können. Häufig potenziert sich das Risiko eines solchen Angriffs durch eine unzureichende Netzwerkkonfiguration. Gerade im Gesundheitswesen. Hat der Angreifer sich einmal Zutritt zum Netzwerk verschafft, kann er von seinem Ausgangspunkt nicht selten jeden Winkel des Unternehmens ungehindert erreichen.

 

Worin liegt hinsichtlich vernetzter Geräte das höchste Risiko?

Das Hauptrisiko besteht ganz offensichtlich für die Gesundheit der Patienten. Obwohl vernetzte medizinische Geräte viele hilfreiche Funktionen bieten, müssen Gesundheitsdienstleister bei Konfiguration, Einsatz und Wartung der Geräte sehr umsichtig vorgehen.

 

Was können Krankenhäuser, aber auch Hersteller in Zukunft besser machen?

Für Hersteller von medizintechnischen Geräten ist ein SSDL von nicht zu unterschätzender Bedeutung. Richtig implementiert, gewährleistet der SSDL, dass ein freigegebenes Produkt lediglich ein Minimum an Schwachstellen aufweist, was sich direkt in einer Risikominderung und einer höheren Patientensicherheit niederschlägt. Dazu kommt der erfreuliche Nebeneffekt, dass die Gesamtkosten für den Hersteller sinken. Denn bessere Produkte brauchen weniger Korrekturen und Updates. Nach der Produktveröffentlichung sind die erheblich teurer. Dienstleister im Gesundheitswesen brauchen aber auch ihre eigenen Sicherheitsprogramme. Die erst gewährleisten, dass Richtlinien, Netzwerkdesign, Gerätebeschaffung und Wartungsprozesse aufeinander abgestimmt sind. Dieses Vorgehen senkt das mit Softwarefehlern verbundene Risiko, wenn es dann (versehentlich oder absichtlich) wirklich zu einem Angriff kommt.

 

Vor welchen Herausforderungen stehen Krankenhäuser und Gesundheitsdienstleister, die ihre medizintechnischen Geräte besser vor Cybersicherheitsbedrohungen schützen wollen?

Die größte Herausforderung liegt ganz eindeutig im Bereich der Ressourcen. Fachwissen in Sachen Cybersicherheit ist rar gesät, und Gesundheitsdienstleister zögern nicht selten, mehr Zeit und Geld für die Sicherung von Software und Netzwerken aufzuwenden. Wenn die Risiken richtig eingegrenzt werden, erkennt aber jedes Unternehmen die zentrale Bedeutung eines umfassenden, proaktiven Cybersicherheit-Ansatzes.

 

959 Artikel zu „Sicherheit Gesundheit“

Der Technik vertrauen können: Warum wir mehr Sicherheit im vernetzten Gesundheitswesen brauchen

Zweifelsohne haben das Internet der Dinge (IoT) und die damit verbundenen Dienste das Gesundheitswesen revolutioniert. Dafür gibt es zahlreiche Beispiele. Es ist möglich, direkt auf Patientenakten zuzugreifen, Ferndiagnosen zu stellen und entsprechende Behandlungsoptionen anzubieten. Dazu kommen Lifecycle Management und Apps zum Überwachen von Vitalfunktionen. Zwei Motive treiben das Wachstum in diesem Segment ganz besonders an.…

Gesundheitswesen als chronischer Patient in Sachen IT-Sicherheit – Herausforderungen und Lösungswege

Automatisierung ist einer der entscheidenden Schritte, um IT-Sicherheitspersonal zu entlasten und das Sicherheitsniveau zu verbessern. Die IT-Sicherheitsexperten von Vectra Networks haben im aktuellen (2017) Verizon Data Breach Investigation Report [1] bemerkenswerte Ergebnisse zur Cybersicherheit im Gesundheitswesen ausgemacht. Als Anbieter für die automatisierte Erkennung von laufenden Cyberangriffen nehmen die Spezialisten die aktuellen Erkenntnisse zum Anlass, die…

Sicherheitsarchitektur: Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen

In fast allen Branchen, nicht zuletzt im Gesundheitswesen, wird eine wachsende Menge an Daten in die Clouds von Amazon Web Services (AWS) und Microsoft Azure verschoben. Dies ist durchaus sinnvoll, weil beispielsweise Klinikverwaltungen sich auf die Behandlung von Patienten, anstatt die Verwaltung von Rechenzentren konzentrieren wollen. »Die Tatsache, dass die Cloud eine kostengünstigere Option ist,…

IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an

Cyber Security Intelligence Index 2016: Gesundheitsbranche das weltweit attraktivste Angriffsziel für Cyberkriminelle. Gefahren durch Insider in Organisationen steigen weiter an. Fast zwei Drittel mehr schwere Sicherheitsvorfälle als noch 2014. Ein aktueller IT-Security-Report von IBM listet detailliert die größten Cybergefahren des vergangenen Jahres auf: So geht aus dem neuen »Cyber Security Intelligence Index 2016« hervor, dass…

Tatort Gesundheit: Sicherheitsanalyse zu Chancen und Risiken der Vernetzung im Gesundheitswesen

Internet der Dinge verspricht große Einsparungen im Gesundheitssektor. Integrierte Sicherheit muss bei vernetzten medizinischen Geräten von Anfang an berücksichtigt werden. Der Report »Internetfähige Geräte im Gesundheitswesen« beleuchtet den Bereich der Chancen und Risiken vernetzter Geräte im Gesundheitswesen des »Internets der Dinge« (IoT) und enthält Empfehlungen für Industrie, Regulierungsbehörden sowie Ärzte [1]. Die Vernetzung des Gesundheitswesens…

Gesundheitssystem: Auf 1.000 Deutsche kommen 4,3 ÄrztInnen

In Deutschland kommen laut Angaben der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) auf 1.000 EinwohnerInnen 4,3 ÄrztInnen. Damit ist die Bundesrepublik im Vergleich mit anderen Corona-Krisengebieten gut versorgt, wie der Blick auf die Grafik zeigt. In den USA kommen beispielsweise auf 1.000 Menschen nur 2,6 ÄrztInnen mit Patientenkontakt. Indes sagten diese Zahlen wenig über…

Sicherheitslücke Home Office? Herausforderung IT-Sicherheit in Krisenzeiten

Das Corona-Virus sorgt von Tag zu Tag für immer höhere Infektionszahlen, was drastische Gegenmaßnahmen zur Folge hat: Um der weiteren Ausbreitung entgegenzutreten, müssen Geschäfte, Restaurants sowie sonstige öffentliche Einrichtungen schließen. Unternehmen senden ihre Mitarbeiter ins Home Office. Aufgrund der ohnehin außergewöhnlichen und teilweise überfordernden Situation sollten Unternehmen und Arbeitnehmer sich nicht noch zusätzliche Sorgen um…

Corona: Unternehmen, Mitarbeiter und Home Office – worauf man in puncto IT-Sicherheit achten sollte

Plötzlich spielt sich das ganze Leben online ab. Nie zuvor waren die vernetzte Welt und die Möglichkeit, online zu kommunizieren, Kontakte zu knüpfen, zu arbeiten und Geschäfte zu tätigen, so präsent und entscheidend wie heute. Auch wenn dieses neue Vermögen auf den ersten Blick beeindruckend erscheint, muss man sich der Realität stellen: Egal wo wir…

Corona: Mehr Angst um Unternehmenserfolg als um Gesundheit

Wie groß ist die Angst der Deutschen vor dem Coronavirus (SARS-CoV-2)? Wie beeinflusst die aktuelle Situation den Arbeitsalltag in deutschen Büros und Fabriken? Und welche Maßnahmen ergreifen Unternehmen bislang? Die Jobplattform StepStone hat am Dienstag (3.3) mehr als 4.000 Menschen befragt, um herauszufinden, wie sich das Virus bislang auf die Arbeitswelt auswirkt. Demnach macht sich…

Cybersicherheit 2020: Vier konkrete Bedrohungsszenarien

Jedes Jahr erstellen die Experten von Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand stellt der Hersteller dabei selbst schwache Angriffssignale aus dem Vorjahr, die jüngsten Branchenanalysen und die Meinungen seiner Sicherheitsspezialisten. Daraus resultiert 2020 ein Ausblick mit vier Hypothesen und Szenarien, die alles andere als realitätsfremd sind.…

Unsicher sicher: Ein falsches Gefühl von Sicherheit und was es bewirkt

Von Tyler Reguly, Tripwire.   Heute findet der mittlerweile 14. Europäische Datenschutztag statt. Wie immer seit seiner Einführung im Jahr 2007 am 28. Januar. Man kommt also nicht umhin, einmal mehr über Sicherheit, oder genauer gesagt, über den Mangel daran, nachzudenken.   Sicherheit ist ein interessantes Thema, das uns von unserer Geburt bis zu unserem…

Gesundheits-Vorsätze 2019: Viel Wasser trinken, gut schlafen, weniger Zucker und Stress

Eine Auswertung der Präventions-App YAS von 17.928 Nutzern zeigt: 16 % integrierten neue Gewohnheiten nachhaltig (über 4 Wochen hinweg), 15 % meditierten jeden Monat, (6.073 Minuten insgesamt) und 22 % verbesserten ihre Schlafqualität. 13 % erreichten ihre selbst gewählten Ziele zu 100 % und setzten dabei mehrheitlich auf den niedrigsten Schwierigkeitsgrad. Fazit: »Weniger ist mehr!…