Hacking
Cybersecurity: Krankenhäuser müssen ihre IT schützen
Eigentlich sollen Mikrodefibrillatoren Menschenleben retten, doch mehreren Patienten in einer Osloer Klinik bringen sie den Tod. Ein bedauernswerter technischer Fehler oder kaltblütiger Mord? Klingt wie ein spannender Krimi? Ist es auch! „Kammerflimmern“ von Even und Anne Holt um genau zu sein. Dass Fiktion und Realität gar nicht so weit auseinanderliegen, zeigten die Ransomware-Angriffe auf Krankenhäuser, die jüngst zu verzeichnen waren. Massive Sicherheitslücken dominieren die IT-Infrastruktur von Krankenhäusern und Kliniken und das nicht nur in Deutschland. Von einem flächendeckenden Umdenken der Entscheider ist weit und breit keine Spur zu erkennen; lieber verharren sie offenbar auf ihrer Insel der Glückseligkeit.
Report: Melanie Günther
Dabei ist die potenzielle Gefahr noch wesentlich größer: Denn je nach Netzwerk- und Fehlerstruktur können auch Medizingeräte gekapert sowie Patientendaten gestohlen werden. Erst im Mai letzten Jahres wurden in den USA Spritzpumpen der Firma Hospira von extern gehackt. Durch gezielte Eingriffe in die Software konnte die eigentliche Dosierungsmenge so manipuliert werden, dass mehr Medikamente verabreicht wurden als das Gerät tatsächlich anzeigte. Die Patienten starben an einer Überdosierung. Die FDA veröffentlichte daraufhin mehrere Rückrufaktionen. Kurze Zeit später erschien ein stark beachtetes Papier der FDA, das darauf hinwies, dass theoretisch alle softwaregesteuerten PEMS (programmable electrical medical systems) angreifbar seien und daher die Zulassungsbedingungen diesbezüglich verändert würden. Anfang des Jahres zog die Aufsichtsbehörde weitere Konsequenzen und veröffentlichte einen Richtlinien-Entwurf, der Medizintechnikhersteller zu mehr Sicherheit verpflichten soll. Ein Zustand von dem wir in Deutschland noch weit entfernt sind.
Vernetzung und Industrie 4.0 machen angreifbar
Prof. Thomas Kriesmer, Professor an der Technischen Hochschule in Mittelhessen im Bereich Life Science Engineering (LSE) und geschäftsführender Gesellschafter des Technologie Institut Medizin GmbH (TIM), weiß aus langjähriger beruflicher Erfahrung und Lehrtätigkeit, dass alle medizinischen Geräte, die entweder über einen Netzwerkzugang verfügen oder untereinander vernetzt sind, potenziell gefährdet sind. „Das größte Problem besteht bei vernetzbaren Medizinprodukten. Hier muss man die provokante Frage aufwerfen: Warum müssen diese überhaupt vernetzt werden?“
Schuld daran sei die sogenannte Medizin 4.0, abgeleitet vom Begriff Industrie 4.0. Egal ob Electronic Health Record, Interoperabilität oder Telemedizin – das Verlangen nach allumfassender Konnektivität ist groß. Viele Einrichtungen rüsten von kabelgebundenen Systemen auf W-LAN und Bluetooth um. Ärzte rufen Patientendaten von zu Hause über eine VPN-Verbindung ab. Der Wunsch nach Vernetzung macht uns angreifbar. „Wir müssen uns daher dringend die Frage stellen: Wo liegt der Nutzen der Vernetzung? Muss wirklich jede Information transferiert werden oder nur solche, die nachgewiesenermaßen einen wirklichen Nutzen haben?“, gibt Prof. Kriesmer zu bedenken.
Gefahrenpotenzial wird steigen
Auch das Darknet entwickelt sich weiter: „Viren, Trojaner und Bots sind frei im Internet zu kaufen. Entweder bauen Sie sich selbst ein entsprechendes Angriffswerkzeug zusammen oder kaufen einen Hacker ein, der dies für sie übernimmt“, erläutert Sebastian M. Kriesmer, Marketing und Sales-Consultant bei TIM.
Schon durch eine einfache DOS-Attacke (denial of service) kann ein Gerät kompromittiert werden. Egal ob Beatmungsgerät, Spritzenpumpe, Monitor oder PACS – die Geräte reagieren nicht und schlagen in lebensbedrohlichen Situationen nicht mehr Alarm. Der Hacker hat dabei noch nicht einmal die Kontrolle über die Maschine übernommen! Die reine „Anwesenheit“ im Netzwerk reicht bereits aus. Darüber hinaus kann gezielt in die Kommunikation zwischen einzelnen Geräten wie Monitor oder Cockpit auf einer Intensivstation eingegriffen werden, um Daten wie beispielsweise Medikationsangaben zu manipulieren. Ein Modellversuch in Heidelberg hat gezeigt, dass Geräte direkt angesteuert und Parameter verfälscht werden können, so geschehen bei einem Anästhesiegerät.
Die Täter im Inneren
Was viele Krankenhäuser unterschätzen: Das größte Gefahrenpotenzial geht von unachtsamen Mitarbeitern, aber auch explizit ausgeführten Aktionen – meist gegen den Arbeitgeber – aus. „Ich möchte nicht wissen, wie viele Mitarbeiter einen ‚trojanerverseuchten‘ USB-Stick mitbringen, um sich die Nachtschicht mit ein paar Urlaubsfotos zu vertreiben“, gibt Prof. Kriesmer zu bedenken, „Oder Mitarbeiter, die Patienten allein im Behandlungsraum zurücklassen und damit keine Kontrolle haben, ob auf die Arztrechner zugegriffen wird. In den meisten Krankenhäusern werden Rechner und UBS-Ports nicht ausreichend geschützt.“ Dabei würden kleine Eingriffe wie der Passwortschutz auf dem Bildschirmschoner oder das Verbot, unbekannte USB-Sticks zu nutzen, schon helfen. „Würden diese trivialen Dinge umgesetzt, wäre die Einrichtung gegen akzidentielle Eingriffe weitreichend geschützt. Und das ist keine Frage des Geldes“, erläutert Prof. Kriesmer.
Mit der Kritis-Verordnung auf einem guten Weg
Der Teufel steckt jedoch in einem ganz anderen Detail: Krankenhäuser und Kliniken müssten im Fall des Falles erst einmal zugeben, dass ein IT-Sicherheitsproblem besteht oder sie gar Opfer eines Angriffes wurden. Prof. Kriesmer: „Krankenhäuser stehen im Wettbewerb zueinander. Verantwortliche geben daher nur in den seltensten Fällen zu, dass sie ein IT-Sicherheitsproblem haben. Zudem scheinen sie sich nicht ernsthaft für das Thema zu interessieren, sondern ignorieren derzeit die Gefahr.“
Sebastian Kriesmer räumt darüber hinaus ein: „Und das obwohl Krankenhäuser und Kliniken per Kritis-Verordnung, dem seit Juni 2015 geltenden IT-Sicherheitsgesetz, dazu verpflichtet sind, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Meldung zu machen. Diese Hürde muss aber überwunden werden, denn sobald das Landeskriminalamt oder der Verfassungsschutz eingeschaltet werden und mit der Forensik anfangen, tritt der Fall meist über verängstigte Mitarbeiter an die Öffentlichkeit.“
Mit dem IT-Sicherheitsgesetz und der Kritis-Verordnung hat Deutschland dennoch im positiven Sinn Nägel mit Köpfen gemacht. Krankenhäuser und Kliniken sind verpflichtet innerhalb von zwei Jahren ihre Einrichtungen zu prüfen, mit einer Risikoanalyse zu bewerten und Sicherheitslücken zu schließen. Außerdem muss beim BSI ein Ansprechpartner benannt werden.
Alles eine Frage des Geldes – oder vielmehr der Reputation?
Ja und nein. Ein proaktiver Umgang mit Sicherheitsproblemen würde Vieles wesentlich einfacher machen. Aus Marketingsicht würde es Krankenhäusern möglicherweise sogar einen Wettbewerbsvorteil verschaffen, würden sie sich mit den eigenen Schwachstellen und Sicherheitslücken offen auseinandersetzen.
In großen Häusern stehen in der Regel für die Umsetzung einer sicheren IT-Infrastruktur genügend Ressourcen zur Verfügung und die Anforderungen der Kritis-Verordnung können gut umgesetzt werden. Kleineren Einrichtungen fehlt oft das nötige Kleingeld. Allerdings müssen die Lösungen nicht unbedingt teuer sein. Eine IT-Sicherheitsanalyse durch externe Beratungsdienstleister kann Probleme bereits eindämmen, ohne dass das Ziel der Vernetzung grundsätzlich ad acta gelegt werden muss.
Daneben müssen Mitarbeiter geschult und sensibilisiert werden. „Regelmäßige Schulungen mit aktuellen Inhalten und Informationen an die Mitarbeiter reichen bereits aus, um 80 Prozent Sicherheit auf breiter Ebene zu erzeugen“, ist sich Sebastian Kriesmer sicher. Auch die IT-Abteilung kann durch einfache Maßnahmen das System sichern, beispielsweise, indem Patches regelmäßig aktualisiert werden. Eine zentrale Steuerung der Abteilung kann helfen, den Verwaltungsaufwand zu minimieren.
Liebe Krankenhäuser- und Klinikentscheider, schützt eure IT-Infrastruktur!
Sicherheit kostet nicht Unmengen von Geld, sondern Engagement und vorausschauendes Denken. Szenarien wie sie im Roman „Kammerflimmern“ beschrieben werden, sind längst keine bloßen Fantasien des Autors mehr. Die Gefahr wird weiterhin steigen, solange die Medizin 4.0 ihren Einzug in die Krankenhäuser hält. Deshalb muss jetzt reagiert werden, um die gewünschte Vernetzung auch sicher zu machen.
08.06.2016