x
Login

Login

Sicherheitslücken in der Medizintechnik

Das nächste Ziel der Klinik-Hacker

  • f&w
  • Technologie
  • 01.04.2016
Ausgabe 4/2016

f&w

Ausgabe 4/2016

Tausende vernetzte Medizingeräte in Deutschlands Kliniken könnten das nächste Opfer von Hackern werden. Die vielfach in den Medien als „Cyber-Attacken" bezeichneten Virenmails im Westen Deutschlands veranlassten f&w herauszufinden, ob und wie digitale Angreifer auch ohne E-Mails Zugriff auf Krankenhaussysteme erlangen. Die Recherchen haben ergeben, dass zahlreiche Medizingeräte in den Kliniken teils ohne jeden Schutz dastehen.

Mitte Februar ging ein Raunen durch die internationalen IT-Sicherheitskreise. Der russische Sicherheitsexperte Sergey Lozhkin hatte im Zuge einer experimentellen Cyber-Attacke auf ein Moskauer Krankenhaus eine unerwartete Schwachstelle entdeckt. Ohne auch nur einen Fuß in das Krankenhaus gesetzt zu haben, war er in Besitz detaillierter Informationen über Dutzende medizinische Geräte seiner Zielklinik gelangt. Dazu hatte er eine im Internet frei zugängliche Suchmaschine namens Shodan benutzt, die eine Suche aller vernetzter Geräte im weltweiten Netz anbietet.

Online-Babyphones gehörten bislang zu den bekanntesten Suchergebnissen auf Shodan. Mitte vergangenen Jahres war die Suchmaschine im Zuge zahlreicher Hacks gegen eine neue Generation der Babyphones in die Schlagzeilen geraten. Hacker nutzten die Fähigkeit der vernetzten Geräte, Kommunikation in beide Richtungen zuzulassen, um zahlreiche Kinder mitten in der Nacht im Schlaf zu erschrecken. Auf einen Schlag wurde einer breiten Öffentlichkeit klar, wie leicht angreifbar die vielen neuen vernetzten Haushaltsgeräte in der Regel sein können.

Gefahr droht von innen

Eine solche Erkenntnis ereilt jetzt auch Krankenhäuser. Dort liegt die Hauptgefahr in den zahlreichen vernetzbaren medizinischen Geräten – vom Computertomografen bis zur Infusionspumpe. f&w kontrollierte die Ergebnisse Lozhkins und stieß ebenfalls auf zahlreiche angreifbare medizinische Geräte, und nicht nur das. Schon simpelste Suchanfragen zum Beispiel nach „CT", „PACS", „Klinik" oder „Patient" förderten brisante Daten zutage. Mit detaillierten Kenntnissen für diverse Gerätebezeichnungen vervielfachen sich die Suchergebnisse schnell. Die Redaktion ließ ihre Ergebnisse von einem Krankenhaus-Experten bestätigen.

Das größte Risiko geht demnach nicht unbedingt von Virenmails aus. So erklärte etwa auch der Sprecher des Lukas Krankenhauses in Neuss, Dr. Andreas Kremer, dass die wichtigste Frage jetzt eigentlich sei, welche Daten der Virus in Nordrhein-Westfalen eben nicht erreichen konnte. Kremer stand mit seiner Klinik im Mittelpunkt der jüngsten Berichterstattung über Cyber‧attacken in NRW. „Mit großer Erleichterung können wir auch jetzt, gut vier Wochen nach dem Herunterfahren aller IT-Systeme, sagen: Es gibt keinerlei Hinweise, dass Patientendaten geschädigt oder abgeflossen sind", so Kremer. „Tatsächlich getroffen hat der Virus Endgeräte, aber auch Server." Nun werde die interne IT-Infrastruktur neu aufgestellt. „Ein besonderes Augenmerk wird darauf gerichtet sein, die zahlreichen Systeme und Subsysteme stärker voneinander abzuschotten, ohne die Funktionalität der Schnittstellen einzuschränken."

Diese interne Abschottung verschiedener Abteilungen sollte auch in anderen Kliniken künftig Vorrang haben. Denn hinter dem digitalen Sicherheitsschild deutscher Kliniken stehen noch viele Türen offen. Das haben gerade die Viren-E-Mails gezeigt, die ihren Schaden erst dann anrichten konnten, als sie von Mitarbeitern innerhalb ihrer Netzte aktiviert wurden. Von außen hingegen sind Krankenhäuser heutzutage kaum zu knacken. Krankenhäuser richten sich seit 2013 in der Regel nach DIN 80001. Hinter der Zahl stecken strenge Regeln zum Risikomanagement in medizinischen Netz‧werken, die auch Auswirkungen auf die Herstellung neuer medizinischer Geräte haben. Doch hat die Suchmaschine Shodan Tausenden Hackern aus der ganzen Welt in den zurückliegenden Monaten durch weniger geschützte Netze im Ausland gezeigt, welche Sicherheitsstandards medizinische Geräte in der Regel haben. Das ist gefährliches Wissen, sobald Hacker die anvisierten Krankenhäuser tatsächlich betreten und dann nicht mehr von außen aus dem Internet angreifen, sondern sich innerhalb eines Krankenhausnetzes befinden.

Beispiel Computertomografen (CT): In einem anderen Experiment in den USA erforschten die IT-Sicherheitsexperten Scott Erven und Mark Callao im Herbst vergangenen Jahres die tatsächlichen Sicherheitsvorkehrungen der vernetzten Großgeräte innerhalb der Krankenhäuser. Ihr Ergebnis war ernüchternd. Rund 80 Prozent aller untersuchten CT waren entweder

  • über Standardpasswörter zu knacken, die die Geräte seit ihrer Herstellung in der Fabrik besaßen und die im Internet als Teil von Nutzerhandbüchern frei erhältlich sind,
  • oder über Listen der meistbenutzten Computer-Passwörter.

Als Lozhkin in Moskau zum Beispiel seine experimentelle Attacke in den Gängen seines Zielkrankenhauses fortsetzte, stieß er auf einen Login für ein CT von Siemens, das seinen Zugang über einen ganz normalen Internetbrowser darbot. Spezielle Hacker-Software sei gar nicht nötig gewesen. Gesichert war das Gerät durch ein Standardpasswort.

Siemens bestätigte gegenüber f&w, dass einzelne CT browserbasierte Zugänge anbieten. Das sei aber nicht der einzige Schutz ihrer Geräte. Eine der Redaktion zur Verfügung gestellte Liste an Sicherheitstechniken für CT in lokalen Netzwerken entspricht dem neuesten Stand und geht noch darüber hinaus. „Diese Sicherheitsmaßnahmen alleine können allerdings nicht die umfassende Sicherheit der klinischen Netzwerke gewährleisten", sagte ein Sprecher. Auch Siemens-Geräte seien letztlich für den Betrieb in gesicherten Kundennetzwerken konzipiert. Das Problem der Standardpasswörter im Auslieferungszustand ist dem Unternehmen bekannt. „Generell werden unsere Geräte mit einem vorläufigen Initial-Passwort ausgeliefert, das bei der Installation erstmals von uns geändert wird."

Großgeräte kommen bei einem Sicherheitscheck noch vergleichsweise gut weg. Kleinere Maschinen wie Elektrokardiogramme (EKG) oder Infusionspumpen verfügen teilweise nicht mal über die Möglichkeit, den Zugang zu sperren, sei es durch Datenverschlüsselung oder Passwortschutz. In einem einzigen Klinik- und Facharztverbund, wie sie in den Vereinigten Staaten häufig anzutreffen sind, fanden die US-Amerikaner Erven und Callao mehr als 68.000 kleine Medizingeräte, die alle am selben Netzwerk angeschlossen und darin auffindbar waren. Man müsse nur wissen, wonach man sucht, so die Aussage der beiden IT-Experten. Je kleiner die Geräte, desto größer das Sicherheitsproblem.

Windows XP lässt grüßen

Die Produktzyklen für Medizingeräte können bei dieser Masse scheinbar nicht mehr mithalten. Aus internen Kreisen deutscher Kliniken im Westen Deutschlands erfuhr f&w, dass zum Beispiel noch 2015 Medizingeräte mit dem veralteten Betriebssystem „Windows XP Embedded" ausgeliefert wurden. Diese Version des allseits bekannten Microsoft Betriebssystems läuft seit 15 Jahren auf vielen Supermarktkassen, Bankautomaten und eben auch Medizintechnik. Anfang dieses Jahres endete allerdings die offizielle Unterstützung für das dritte und letzte Update-Paket für die Software. Microsoft warnte die Hersteller zuvor über zwei Jahre lang, dass dieser Tag kommen würde und musste. Denn dieselbe XP-Version mit den bis dato aktuellsten Updates war erst 2014 in den Mittelpunkt eines großen Datendiebstahls bei einer Baumarktkette geraten. Hacker nutzten dabei eine über zehn Jahre alte Schwachstelle des Systems aus, um mehrere Millionen Datensätze mit Kreditkarteninformationen zu stehlen. Ihr Zugangspunkt: Eine Selbstbedienungskasse.

Automatische Updates, wie es für privat genutzte Computer und Handys üblich ist, sind hierzulande seitens der Hersteller gar nicht vorgesehen. Denn das würde die Kompatibilität zu anderer Technik im Krankenhaus gefährden, teilt der Zentralverband Elektrotechnik- und Elektroindustrie (ZVEI) auf Anfrage von f&w mit. „Der größte Teil der Sicherheitsherausforderungen muss dabei auf der Ebene des IT-Netzes und nicht auf Ebene der einzelnen Geräte adressiert werden", sagte die Fachreferentin des Verbands, Stella Loock. Außerdem könne jedes Update auch zulassungsrelevant sein. Kostspielige Neuzulassungen wären die Folge, so will es auch das aktuelle Medizinproduktegesetz. Die Hersteller bemühten sich aber, die Sensibilität für das Thema beim Kunden zu erhöhen, so Loock.

Kliniken reagieren kritisch

Bei den Kliniken sieht man das allerdings etwas kritischer. „Innerhalb von Kliniknetzen findet man bei internen Sicherheitschecks zumeist integrierte Systeme ohne jede Zugangssperre. Oft auch, weil diese herstellerseitig gar nicht installiert oder vorgesehen sind", sagte der Pressesprecher des Bundesverbands der Krankenhaus-IT-Leiter (KH-IT), Michael Thoss. „Das Internet der Dinge und die Idee der Fernwartung bilden den Ausgangspunkt für ganz neue Sicherheitslücken." Von außen sollten laut Thoss Medizingeräte der Kliniken weder sichtbar noch erreichbar sein. „Das stellt sowohl das Risiko- als auch das Sicherheitsmanagement im Rahmen des Möglichen sicher." Ob das überall und auch in anderen Ländern mit geringerer Regelungsdichte so ist, sei aber nicht definitiv zu sagen.

Die Deutsche Krankenhausgesellschaft (DKG) ist derzeit Teil einer Arbeitsgruppe, die in einer Partnerschaft aus öffentlichen und privaten Betreibern auf Geheiß des Bundesinnenministeriums die praktische Umsetzung des 2015 in Kraft getretenen IT-Sicherheitsgesetzes bearbeiten. Die große Frage ist derzeit noch, ob die deutschen Kliniken ebenfalls unter die Definition der sogenannten „Kritischen Infrastruktur" fallen. Damit wären umfangreiche Infrastruktur- und Meldepflichten verbunden. Die DKG schätzte die Zahl der Krankenhäuser, die davon betroffen sein könnten, auf Nachfrage von f&w auf weniger als zehn Prozent. Mit endgültigen Ergebnissen der Beratungen zum IT-Bereich Gesundheit können Krankenhausleiter laut Bundesverband Gesundheits-IT (bvitg) erst Ende dieses Jahres rechnen.

So können sich Kliniken schützen:

Die f&w-Redaktion hat Handlungsoptionen für Krankenhausmanager erstellt, wie sie das Risiko aus dieser neuen Bedrohungslage minimieren und auf Angriffe richtig reagieren können.

  • Strafanzeige stellen: Das Landeskriminalamt Nordrhein-Westfalen rät dazu, im Schadensfall unbedingt Strafanzeige zu stellen. Die zentralen Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes können sie unter www.bibliomedmanager.de/cybercrime herunterladen.
  • Notfallplan erarbeiten: Prozeduren für den Schadensfall so vorbereiten, dass der etwaige Schaden möglichst gering ausfällt. Dazu gehören feste Meldewege und Entscheidungskompetenzen zum gegebenenfalls schnellen Herunterfahren und der internen Trennung aller Systeme sowie der Kappung vom Internet.
  • Ansprechpartner definieren: Notfallpläne und Ansprechpartner innerhalb des Krankenhauses (Meldewege, IT-Abteilungsleiter, Klinikleitung) und nach außen (IT-Dienstleister, Cybercrime-Stellen der Polizei) ausdrucken und verbreiten.
  • Aufklären: Krankenhäuser können das Thema IT-Sicherheit zu einem Teil der regulären Meetings machen. IT-Abteilungen sollten über die Gefahren aufklären und die Nutzer für entsprechende Gegenmaßnahmen sensibilisieren. Laut Polizeiinformationen gehört die Unachtsamkeit von Nutzern zu den Hauptursachen für erfolgreiche Hacker-Angriffe.
  • Dienstleister und Hersteller einbinden: Ziel sollte sein, alle Geräte in die Lage zu versetzen, unerlaubte Zugriffe zu registrieren und zu verhindern. Lassen Sie überprüfen, ob Updates möglich und Geräte frei von Schadsoftware sind.
  • Zugriffsrechte einschränken: Klinikpersonal sollte nur Zugriff auf Dateien und Informationen haben, die für seine Aufgaben unbedingt nötig sind. Das Motto: So viel wie nötig, so wenig wie möglich. Regelpakete für verschiedene Nutzergruppen schränken den möglichen Schaden künftiger Angriffe deutlich ein.
  • Individuelle Zugangsdaten festlegen: Jeder Mitarbeiter sollten einen eigenen Login in das Krankenhausinformationssystem erhalten. Gemeinsame Stations-Logins oder gar ungeschützte Dauerzugänge ins Systeme sollten sofort ein Ende finden. Nutzer-Accounts sollten nach einer bestimmten Zeit ohne Aktivität automatisch ausgeloggt werden.
  • Regelmäßige Backups erstellen: Machen Sie die Sicherung von Serverdaten und Dateien einzelner Nutzer zur Priorität.
  • Netzwerkdosen und USB-Anschlüsse abschließen: Erschweren Sie den Zugang ins Kliniknetz über die Vielzahl an Zugangspunkten an Steckerleisten (Netzwerk-Anschlüsse für Medizintechnik) und offenen USB-Anschlüssen an ihren Arbeitsrechnern.

Autor

Ausgabe online durchblättern

Ähnliche Artikel

Weitere Artikel dieser Ausgabe

Alle Artikel

f&w führen und wirtschaften im Krankenhaus

Die Fachzeitschrift für das Management im Krankenhaus

Erscheinungsweise: monatlich

Abo bestellen
Heftarchiv
Zeitschriftencover

Klinik-Newsletter

Abonnieren Sie unseren kostenlosen täglichen Klinik-Newsletter und erhalten Sie alle News bequem per E-Mail.

* Durch Angabe meiner E-Mail-Adresse und Anklicken des Buttons „Anmelden“ erkläre ich mich damit einverstanden, dass der Bibliomed-Verlag mir regelmäßig News aus der Gesundheitswirtschaft zusendet. Dieser Newsletter kann werbliche Informationen beinhalten. Die E-Mail-Adressen werden nicht an Dritte weitergegeben. Meine Einwilligung kann ich jederzeit per Mail an info@bibliomed.de gegenüber dem Bibliomed-Verlag widerrufen. 

Kontakt zum Kundenservice

Rufen Sie an: 0 56 61 / 73 44-0
Mo - Fr 08:00 bis 17:00 Uhr

Senden Sie uns eine E-Mail:
info@bibliomedmanager.de

Häufige Fragen und Antworten finden Sie im Hilfe-Bereich