Heutzutage gibt es praktisch keinen Bereich im Gesundheitswesen, der nicht von der Digitalisierung betroffen ist. Drahtlosen Echtzeitzugriff auf unsere eigenen Gesundheitsparameter erlauben heute nicht nur intelligente Uhren und Wearables sondern längst auch implantierte Geräte in unseren Körpern. Doch können wir diese Technologie auch absichern?
Vor einigen Jahren wurde auf der Hackerkonferenz Black Hat vorgeführt wie man eine Insulinpumpe hacken kann. Auch wenn der Großteil der Software auf diesem Gerät von der Stange war, liegt es, laut US-Aufsichtsbehörden, in der Verantwortung des Herstellers für die Sicherheit des Geräts zu sorgen, was ebenfalls das zugrunde liegende Betriebssystem (OS) betrifft. Mit anderen Worten: Egal welche Technologien und Software sie verwenden, Gerätehersteller tragen die Verantwortung.
Dies schreibt nicht nur die Verantwortung für die Sicherheit dem Hersteller zu, sondern führt auch zu einer erheblichen Steigerung von Kosten und Komplexität bei der Markteinführung neuer Geräte. Während Unternehmen unter dem Druck der Wirtschaftlichkeit schnell Geräte zur Marktreife führen wollen, machen Sicherheitsanforderungen die Entwicklung und die Produktpflege aufwendig und teuer. Außerdem können Patienten so unwissentlich in die Verteidigungslinie geraten.
Und was ist mit Sicherheitspatches? Wer ist dafür verantwortlich? Laut der amerikanischen FDA sind dies auch die Hersteller. Gerade bei langlebigen Medizinprodukten, die über einen langen Zeitraum angeboten werden, fallen für den Support ebenso lange Kosten an.
Was macht medizinische Geräte für Hacks anfällig und wie wahrscheinlich ist es, dass sie gehackt werden? Im Rahmen des Europäischen Monats der Cybersicherheit beschäftigen wir uns in dieser Woche mit der IT-Sicherheit von vernetzten medizinischen Geräten und fünf möglichen digitalen Angriffsvektoren:
Bluetooth
Viele medizinische Geräte ermöglichen Überwachungsfunktionen und die Bedienung über das Bluetooth-Protokoll, bei dem immer wieder Schwachstellen entdeckt werden. Auch wenn es dafür möglicherweise Patches gibt, ist es schwer zu sagen, ob diese auch auf den Geräten eingespielt werden und wie schnell dies geschieht. Falls Ihre Blutzuckermessung durch eine Schwachstelle manipuliert wird, besteht möglicherweise eine echte Gefahr, wenn Sie versuchen, den Blutzuckerspiegel aufgrund falscher Messwerte anzupassen.
Windows
Viele Krankenhäuser sind für die Verwaltung ihrer medizinischen Geräte auf Computer mit älteren, nicht mehr unterstützten Windows-Versionen angewiesen. Häufig sind fehlende oder verzögerte Aktualisierungen der Hersteller der Grund dafür. Ein Hersteller kann den neuesten Windows-Patch nicht einfach veröffentlichen bevor er umfangreiche Tests auf seinen Geräten durchgeführt hat und Integrationsprobleme ausschließen kann. Daher kann die Patch-Überprüfung schwierig sein. Ein potenzieller Angreifer hat hier einen Vorteil, da er bekannte Exploits einsetzen kann, sobald sie bekannt werden und lange bevor der Hersteller reagieren kann.
Cloud
Viele implantierte Geräte „telefonieren nach Hause“. Das heißt sie stellen über Cloud-Verbindungen Gesundheitsdaten für Ärzte bereit oder bieten Benachrichtigungsdienste für die Patienten. Wie man dieses Jahr bei den Konferenzen Black Hat und DEF CON beobachten konnte, lässt Cloud-Sicherheit oft zu wünschen übrig. Es ist unwahrscheinlich, dass Patienten über potenzielle Schwachstellen informiert werden würden. Angreifer adaptieren allerdings schnell bekannte Exploits aus und nutzen sie mit ihrer Angriffs-Maschinerie. Es gibt Fälle, in denen Patienten externe Kommunikation mit ihren Herzschrittmachern unter Berufung auf Hacking-Ängste abgelehnt haben. Allerdings hat die Einführung von Clouds auch bei implantierten Geräten derzeit Rückenwind.
Ethernet
Viele medizinische Geräte sind über Ethernet-Verbindungen mit medizinische TCP/IP-Netzwerken verbunden. Ein Mitschnitt des Datenverkehrs der Geräte wäre für Kliniken und ihre Patienten aber nur schwer zu bemerken. Angreifer könnten über drahtlose Verbindungen Daten stehlen und so Exploits herstellen. Dafür würden die Angreifer nur einen einmaligen physischen Zugriff benötigen und müssen nicht mal zurückkehren, um ihr Spionage-Werkzeug einzusammeln, denn solche Geräte kosten wenig.
Drahtlose Tastaturen
Keylogger gehören schon länger zum Standard-Angriffsarsenal von Hackern beim Aufzeichenen von Tastenanschlägen von drahtlosen Tastaturen. Sie tarnen sich zum Beispiel als USB-Ladegeräte, die an Steckdosen angeschlossen sind, während sie gleichzeitig nach Signalen aufzeichnen und die über industrielle 4G-Funkkarten an die Angreifer weiterleiten. Diese können so vertrauliche Daten, wie eingegebene Kennwörter stehlen. Angreifer könnten so aber auch Remote-Backdoor-Exploits herunterzuladen und an Warnmeldungen von Sicherheitssoftware vorbei zu installieren.
Fazit
Der medizinische Bereich ist sicherheitstechnisch seit Jahren hinterher. Und obwohl es wichtige Fortschritte gegeben haben mag, hat die Tatsache, dass viele medizinische Geräte in all den Jahren immer gut funktioniert haben, den wahrgenommenen Handlungsbedarf reduziert. Daher wird es eine Herausforderung werden, die medizinischen Geräte in den kommenden Jahren zu „modernisieren“. In der Zwischenzeit ist es ratsam, sich mit allen Schwachstellen zu befassen, die sich auf Ihre medizinischen Geräte auswirken können, insbesondere, wenn diese von entscheidender Bedeutung für Ihre Gesundheitsversorgung sind.
