Sicherheit von Internet-der-Dinge-Systemen im Spital

In der Medizin finden sich ganz verschiedene Bereiche, die vernetzte Geräte verwenden. Im privaten Umfeld sind dies die Wearables oder Quantified-Self-Geräte, die entweder privat erstanden oder etwa zur Überwachung kritischer Körperfunktionen von einer medizinischen Fachperson ausgehändigt wurden. Hier muss man bereits unterscheiden: Professionelle Geräte sind zwar für den medizinischen Gebrauch zertifiziert, es können aber, im Sinne der Informationssicherheit, dennoch Lücken bestehen. Dagegen sind die meisten frei gehandelten Fitnessbänder, Schrittzähler, Smartwatches oder Blutdruckmessgeräte nicht medizinisch zugelassen, damit ist zum einen die Funktionalität und Genauigkeit nicht gewährleistet, zum anderen speichern kostenlose, aber auch kostenpflichtige Begleit-Apps der Wearables die Daten meist ausserhalb der Schweiz, ohne Beachtung des Datenschutzes und häufig genug auch für Marketingzwecke.

Ein spezielles Gerät sind heutige Herzschrittmacher, die zwar nicht mit dem Internet verbunden sind, aber bis zu einer Entfernung von 15 Metern ferngewartet und parametrisiert werden können. Es mussten bereits etliche Herzschrittmacher vom Markt genommen werden. Nicht auszudenken, welchen Personenschaden man damit in einer grossen Ansammlung von Personen, speziell Politikern oder Prominenten, anrichten könnte.

Arztpraxen und Heime noch eher konventionell

Wo finden sich weitere IoT-Geräte im Medizinbereich? In den meisten Arztpraxen geht es, auch bei voranschreitender Digitalisierung in Form der elektronischen Erfassung, Speicherung und Verarbeitung von Patientendaten, noch recht konventionell zu, die meisten Geräte sind stand-alone, also (noch) nicht vernetzt. Künftig werden aber mehr und mehr Diagnose- und Behandlungsgeräte mit dem Internet verbunden sein. Man denke nur schon an Laborgeräte, die vom Hersteller überwacht und gewartet werden. Dafür benötigen diese Geräte einen Remote-Zugang, der häufig ohne weitere Schutzmassnahmen und mit veralteten, unsicheren Protokollen (wie Telnet oder FTP) sowie unzureichenden Passwörtern in Betrieb ist. Und auch in den Arztpraxen wird die Vernetzung weiter zunehmen – und damit exponentiell die Sicherheitslücken und das Interesse für grös­sere Angriffe (economy-of-scale, auch für Kriminelle!).

Eine ähnliche Situation finden wir heute in Pflege- und Seniorenheimen: Die Vernetzung und Digitalisierung ist noch nicht weit fortgeschritten, das Rückgrat der elektronischen Datenverarbeitung sind PCs. Dafür herrscht in diesem Bereich ein besonders geringes Bewusstsein für Gefahren aus dem Cyberspace und mögliche Massnahmen dagegen. Bei allem, was im Medizinbereich mehr oder weniger bewusst vernachlässigt wird, dürfen wir nicht vergessen, dass der Fokus aller medizinischen Fachpersonen die Heilung und Pflege von Patienten ist. Aufgrund des häufigeren Personalmangels, bedingt durch Kosteneinsparungen, muss bei hoher Qualität sehr effizient gearbeitet werden, damit möglichst viele Patienten zufriedenstellend behandelt und gepflegt werden können. Sehen wir schon die Defizite an Awareness in der Industrie und den Büros, so liegt nahe, dass das medizinische Personal sich nicht um die Informationssicherheit kümmern will oder kann, was die Arbeitseffizienz schwächt.

In rund 400 Schweizer Spitälern und Heimen konnten Patienten wegen eines Bugs nicht per Notfallknopf Alarm schlagen. Solche Ausfälle von Kommunikationssystemen können verheerende Folgen haben. Lesen Sie hier, mit welchen ICT-Herausforderungen Schweizer Spitäler konfrontiert sind und wie sie diese bewältigen können.

Viele vernetzte Geräte in den Spitälern

In den vielen Spitälern der Schweiz sieht es bezüglich des Einsatzes von IoT-Geräten ganz anders aus: die meisten Diagnose-, Analyse- und Behandlungsgeräte sind heute vernetzt, etwa Kontroll- und Überwachungsgeräte für Vitalfunktionen, Dosier- und Infusionspumpen, diverse Diagnosegeräte (von EEG- und EKG-Geräten bis zu Röntgen-, Computer- oder Kernspintomographie-Systemen). Dazu kommt eine Vielzahl an Analysegeräten in den medizinischen Labors der Spitäler. Die Vernetzung dieser Geräte (und in diesem Sinn sind diese Geräte Teil des Internet of Things) dient einerseits zur Überwachung, Steuerung und Aufzeichnung innerhalb des Spitals, andererseits zur Fernwartung und für Firmware-Updates durch die Hersteller. Auch hier gilt, dass diese Remote-Zugänge ein grosses Einfallstor für Cyberangriffe darstellen.

Dazu kommt, dass die meisten dieser Geräte auf einem recht alten Software-Stand sind, weil ein Update (auch für Sicherheitszwecke) bisher eine langwierige und kostenintensive Re-Zertifikation bedeutet. Das heisst alles, was man bei einem PC selbstverständlich macht (Malware-Schutz, Updates, anspruchsvolle Passwörter und verschlüsselte Verbindungen) wird bei vielen im Einsatz stehenden medizinischen Geräten in Spitälern nicht gemacht.

Einfach zu hackende Geräte

Was sind die Auswirkungen? Herzschrittmacher mussten herausoperiert werden. Vor knapp zwei Jahren wurden etliche Spitäler mit "Wannacry" lahmgelegt, und auch hierzulande gelingt es, Verschlüsselungstrojaner in Krankenhäuser einzuschleusen, bevorzugt auf einem Medizinalgerät mit veraltetem und ungepatchtem Betriebssystem. Letzteres war der Grund, warum (staatliche und unterfinanzierte) englische Spitäler so stark von "Wannacry" betroffen waren.

An der "Information Security in Healthcare"-Konferenz im Juni 2018 in Rotkreuz ZG zeigte die IT-Beratungsfirma Recretix Systems, wie einfach und schnell eine Infusionspumpe zu hacken ist: Telnet-Protokoll, kein richtiges Passwort, und schon war es geschehen. Wohlgemerkt ist die Firma nicht auf Medizin­technik und deren Protokolle spezialisiert! Man konnte die Parameter verstellen oder auch die Anzeige manipulieren. Nach Aussage von Recretix-Geschäftsleiter Stefan Peter ging der Hack viel schneller als erwartet.

Ein Spital ist erpressbar

Mittels einer gehackten Infusionspumpe können Überdosen verabreicht oder die Medikation abgestellt werden, während ein unverdächtiger Wert angezeigt wird. Patientendaten können ausgelesen und missbraucht werden. Oder ein Spital wird erpresst: Geschädigte Patienten oder verkaufte Daten hätten ein hohes Lösegeld, aber auch einen gravierenden Imageverlust zur Folge. Häufiger jedoch werden gehackte Medizinalgeräte als Bots in einem Botnet missbraucht. Damit können eine grosse Zahl von Geräten in einem Netz manipuliert und etwa Distributed Denial-of-Service-Attacken gefahren werden. Dass diese das interne Spitalnetz massiv belasten und damit dessen Funktion signifikant stören, ist ein zusätzlicher Schaden.

Die Sicherheitslücken zusammengefasst: veraltete Software, nicht gepatcht; alte, unsichere Protokolle; schwache Passwörter; eine Vielfalt und Vielzahl von Geräten in einem gemeinsamen Netz, keine Awareness, auch nicht beim physischen Zugang (z.B. in einem Patientenzimmer; ein weisser Kittel macht den Hacker unverdächtig). Die Vielfalt und Vielzahl an Geräten in einem Spital lassen den Cyberkriminellen ungeahnte Möglichkeiten. Herstellern, deren Geräte als Erstes befallen werden (sog. patient-zero) drohen hohe Haftungssummen, entsprechende Forderungen gab es bereits.

Welche Massnahmen getroffen werden können

Wie kann man sich wehren? Zunächst natürlich am Perimeter, das erledigt üblicherweise die Spital-IT. Vorausgesetzt, es stehen genügend Ressourcen und Budget zur Verfügung, um einen professionellen Schutz gegen aussen zu gewährleisten. Da Prävention nicht mehr reicht, müssen professionelle "Detect and Response"-Dienste in Betrieb genommen werden. Die Medizinal­geräte müssen an voneinander getrennten Netzen angeschlossen werden, um die Ausbreitung von Malware zu stoppen. Vor allem Geräte mit Remote-Zugriff gehören in eine demilitarisierte Zone, nicht ins interne Netz. Last, but not least müssen die Endgeräte endlich auf sicheren Stand gebracht werden.

Leider gibt es inzwischen eine neue europäische Zulassungsverordnung für Medizinalgeräte, die fordert, dass sämtliche Geräte permanent Patientendaten erfassen und anonymisiert für Forschungszwecke bereitstellen müssen. Diese Forderung steht im groben Widerspruch zur neuen EU-Datenschutz-Grundverordnung, der ärztlichen Schweigepflicht und – wegen des Zugangs zu den Geräten – auch zur Informationssicherheit. Was fehlt, ist der Blick über den Tellerrand – ohne diesen sehen wir harten Cybercrime-Zeiten entgegen.