Sicherheitslücken in vernetzten medizinischen Geräten (IoMT)

Ein Herzschrittmacher wird gehackt und infolgedessen kommt der Patient mit kritischem Zustand ins Krankenhaus. Ein Horrorszenario, das man sonst nur aus Kriminalromanen kennt. Doch wie realistisch ist das in der heutigen Zeit, wo beinahe alles unter bestimmten Umständen gehackt werden kann? In diesem Artikel werden vergangene und aktuelle Herausforderungen von IT-Sicherheit in vernetzten medizinischen Geräten – auch Internet of Medical Things (IoMT) genannt – beleuchtet, sowie mögliche Lösungsansätze angegangen.

Potentielle Cybersecurity-Gefahren im Gesundheitswesen

Cybersecurity Experten und Hersteller sind sich darüber uneinig, wie hoch tatsächlich die Priorität bei der Sicherung der Gesundheitsbranche sein muss. Zwar teilte das FBI vor einiger Zeit in einer Stellungnahme mit, dass durch den klinischen Einsatz von veralteten und ungepatchten medizinischen Geräten die Anzahl an Sicherheitslücken wachsen würde. Jedoch wird darüber gestritten, wie wahrscheinlich es ist, dass Angreifer Zugriff auf diese erlangen könnten und ob sich die hohen Kosten mit der potentiellen Gefahr rechtfertigen ließen.

Kein neues Phänomen: Sicherheitslücken in vernetzten medizinischen Geräten (IoMT)

Sicherheitslücken sind im Gesundheitssektor kein Unbekannter. Bereits seit über einem Jahrzehnt sorgt das Thema für Gesprächsstoff innerhalb der IT-Security-Branche. Erstmals relevant wurde das Thema im Jahr 2011, als auf der „Black Hat“ Konferenz in Amerika der Sicherheitsforscher Jerome Radcliffe zeigte, wie drahtlose Insulinpumpen mithilfe eines Hacks ferngesteuert werden konnten und potentiell zu Todesfällen von Patienten führen könnten.

Einige Jahre nach der Black Hat Konferenz und der Demonstration von Jerome Radcliffe zum Hacken von Insulinpumpen fand TrapX Security, ein Startup für Täuschungstechnologie, einen Angriffsvektor, der auf den Namen MedJack getauft wurde. Eine Abkürzung für „medical device hijack“ (medizinische Geräteentführung).

Dieser dominierte in den Jahren 2015 und teilweise 2016 die IT-Security Medien und so wurden Medjack und die darauffolgenden Versionen Medjack.2 – Medjack.4 von Angreifern erfolgreich genutzt, um medizinische Geräte zu übernehmen. Darunter Röntgengeräte, Blutgasanalysatoren und CT-Scanner.

In einer RSA-Konferenz Anfang des Jahres 2017 wurde von den Sicherheitsforschern jedoch dargelegt, dass in fast allen Fällen die Geräte nicht kompromittiert wurden, um damit Schaden an Patienten anzurichten, sondern um darüber in das Krankenhausnetzwerk zu gelangen.

Wenn es eskaliert: WannaCry verschlüsselt Geräte in Krankenhäusern

Bereits im Mai desselben Jahres konnten Hacker des nordkoreanischen Staates mithilfe der Schwachstelle EternalBlue eine große Welle von sogenannten WannaCry-Ransomware-Angriffen ausführen, der vor allem Krankenhäuser in England und Schottland zum Opfer fielen. Dabei waren der neben Computern auch Kernspintomographen, Blutkonserve-Kühlfächer und diverse OP-Ausstattung vom Angriff betroffen.

Zwar patchte Microsoft die Schwachstelle bereits im März 2017 – also kurz nach der RSA-Konferenz – tat dies jedoch nicht für zu dem Zeitpunkt bereits veraltete Systeme wie Windows XP oder Windows 8. Letzteres war bei etwa 90 % der betroffenen Krankenhausgerätschaften im Einsatz. Durch die WannaCry-Angriffe entstandene Schäden schätzte das Department of Health and Social Care auf etwa 92 Millionen Pfund.

Modernisierung in Krankenhäusern schreitet nur langsam voran

Die technologische Modernisierung in Krankenhäusern ist in den USA mindestens genauso notwendig wie in Deutschland. Das Problem vor dem Betreiber von Krankenhäusern stehen, ist, dass medizinische Geräte sehr teuer und dafür in der Regel sehr langlebig sind. So werden in vielen Fällen aktuell noch Geräte aus einer Zeit verwendet, zu der diese Art von Angriffen noch kaum existierten.

Sicherheitsforscher der Firma Trellix warnen davor, dass diese Schwachstellen von Angreifern zum Teil leicht nutzbar – jedoch viele davon nicht kritisch – seien. Dennoch gehen sie davon aus, dass diese leicht nutzbaren Schwachstellen bald zum Ziel von Angreifern werden könnten.

Das Problem sind nicht nur die medizinischen Geräte

Doch oft ist nicht nur die Hardware der Geräte das Problem. Viele der Geräte wurden – eben weil sie so langlebig sind – noch für ältere Betriebssysteme wie Windows 7 oder teilweise noch Windows XP konzipiert. Da es sich hierbei längst um End-of-Life Betriebssysteme handelt, und sie somit keine Sicherheitsupdates mehr bekommen, sind sie besonders anfällig für Angriffe – vor allem, wenn diese Geräte auch noch aus dem Internet erreichbar sind.

Und das sind sie dank der fortschreitenden Digitalisierung des Gesundheitswesens immer öfter. Die Vernetzung der Geräte über das Internet hat viele Vorteile. Elektronische Patientenakten, die von überall in Sekundenschnelle eingesehen und geteilt werden können, oder die Fähigkeit von medizinischen Geräten, Ärzte über den Zustand eines Patienten zu informieren, wären nur zwei Beispiele.

Es kann unter Umständen sichergestellt werden, dass die Betriebssoftware der Geräte immer auf den neusten Stand gepatcht wird. Trotzdem scheitert es oft an fehlenden Funktionen wie dem Sammeln von Logs oder Konfiguration von Endpunktsicherheit auf den Geräten, um eine möglichst nahtlose Sicherheitsumgebung zu gewährleisten.

Neue Schwachstellen in medizinischen Geräten finden sich immer wieder

Kürzlich von Sicherheitsforschern entdeckte Schwachstellen in besonders kritischen medizinischen Geräten sind in der Lage Angreifer zu ganzen Remote-Netzwerkangriffe zu befähigen. Bei Analysen der CVEs (Common Vulnerabilites and Exposures) für medizinische Geräte der letzten 4 Jahre kamen die Forscher der Firma Trellix zu dem Ergebnis, dass rund 30 % zur Remote-Codeausführung missbraucht werden konnten. Gleichzeitig hieß es im Bericht der Forscher, dass die Ausnutzung der Schwachstellen eher unwahrscheinlich ist, diese aber dennoch ein Risiko darstellen.

Weiterhin kamen sie zu der Erkenntnis, dass durch die umfangreiche Wiederverwendung vom gleichen oder zumindest sehr ähnlichen Software-Code unter verschiedenen Geräten Angreifer ihre Angriffstaktiken ziemlich agil von einem Gerät auf das andere übertragen können.

So erklärte Joshua Corman, Vizepräsident der Firma Claroty, dass ein medizinisches Gerät im Schnitt rund 1000 bekannte CVEs hat, wovon nicht alle verheerend sind.

Sicherheitslücken in vernetzten medizinischer Geräten mit verheerendem Schadenspotenzial

Um wieder auf die Infusionspumpen zurückzukommen. Diese kommen weltweit jährlich in hunderten Millionen Fällen zum Einsatz und sind nach wie vor leichte Beute für Angreifer. Sie gelten prinzipiell als sichere Methode der Medikamentenverabreichung und machen daher die Schwachstelle besonders erschreckend.

Denn 2021 wurde eine explizite Möglichkeit gefunden, ein bestimmtes Modell der Firma B. Braun so zu manipulieren, dass sich aus der Ferne die Dosierung eines Medikaments ändern lässt und erst deutlich nach der Medikamentengabe entdeckt werden kann. Der Hersteller reagierte prompt und behob die Schwachstelle für neuere Modelle. Ältere Pumpen sind aber wegen der hohen Anschaffungskosten noch immer im Einsatz. Tatsächlich gibt es bis heute keine Berichte über den tatsächlichen Missbrauch der benannten Schwachstellen.

In einem anderen Beispiel stellten Forscher der Fachhochschule Münster bei Netzwerkscans in Krankenhäusern überraschend fest, dass bestimmte Medizingeräte den Scan ihre Netzwerkschnittstelle erkennen, diesen als Angriff werten und sich daraufhin als Sicherheitsmechanismus „tot stellen“. Das Gerät ist dann funktionsuntüchtig bis der Hersteller es auf seine Werkseinstellung zurücksetzt. Kaum auszumalen, welche Folgen ein solcher Vorfall bei einem wichtigen Medizingerät während einer laufenden OP hätte.

Regulierung gegen die Risiken vernetzter medizinischer Geräte

Während Krankenhäuser zur kritischen Infrastruktur gehören und daher in der Regel über gut ausgebildete Security-Teams verfügen, beschränkt sich deren Hauptaugenmerk in der Regel auf die Sicherheit der internen Netzwerke. Selten wird auf die medizinischen Geräte geachtet. Doch nur weil ein Gerät klein und unbedeutend scheint, kann es sich – alleine durch das Vorhandensein einer Internetanbindung – schnell zu einem Problem entwickeln.

Die Food and Drug Administration, kurz FDA (amerikanische Behörde für die Zulassung und Überwachung von Lebensmitteln, Arzneimitteln sowie Kosmetika und Medizinprodukten), hat im März 2023 neue Leitlinien veröffentlicht, die vorschreiben, dass neu eingereichte medizinische Geräte eine Einschätzung zur Cybersicherheit beinhalten müssen. Seit dem 1. Oktober 2023 hat die FDA außerdem die Befugnis auf dieser Grundlage Geräte vor der Markteinführung abzulehnen. Ebenso werden in Europa mit der bis zum Oktober 2024 von den Mitgliedstaaten umzusetzenden NIS2-Richtlinie bald sämtliche Hersteller medizinischer Geräte dazu verpflichtet, Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu treffen.

Außerdem wurde in den USA kürzlich der PATCH Act beschlossen, der zusätzlich darauf abzielt, Cybersicherheit von medizinischen Geräten verbessern, indem er Hersteller dazu verpflichtet, Geräte so herzustellen, dass sie lange Zeit über Patches und Updates auf den neusten Sicherheitsstand gebracht werden können, sind vielversprechende Lösungsansätze.

Es bleibt nur zu hoffen, dass die Hersteller nicht mit einer Verkürzung der Lebensdauer der Geräte reagieren und so die Ausgaben für den Gesundheitssektor deutlich steigen.