Woran die IT-Sicherheit im medizinischen Bereich krankt

KASPERSKYs Experiment „How I hacked my hospital“ zeigt Gefährdung moderner Krankenhäuser auf

[datensicherheit.de, 20.02.2016] Ein von KASPERSKY lab durchgeführter Test mit dem Titel „How I hacked my hospital“ hat nach eigenen Angaben aufgezeigt, dass Cybererpressung über Ransomware nicht der einzige wunde Punkt innerhalb der Krankenaus-IT ist. Auch Patientendaten und Geräte seien angreifbar.

Vielfältige Angriffsszenarien für Krankenhäuser

In den letzten Tagen wurden Schadensvorfälle an deutschen Krankenhäuser aufgrund von Angriffen mit Ransomware-Vorfällen publik. Laut Medienberichten hätten zeitweise Befunde per Telefon oder Fax anstatt in digitaler Form übermittelt werden müssen.
Cyberangriffs-Szenarien auf Krankenhäuser gehen allerdings über solche Ransomware-Angriffe hinaus. Über IT-Sicherheitslücken könnten Patientendaten manipuliert oder entwendet werden. Bei den in Krankenhäusern verwendeten modernsten medizinischen, mit Computertechnologie ausgestatteten Geräten würden oftmals erforderliche IT-Schutzvorkehrungen vernachlässigt, erklärt Holger Suhl, „General Manager DACH“ bei KASPERSKY lab. Dadurch könnten Cyberkriminelle Zugriff auf solche Geräte und beispielsweise auch auf sensible Patientendaten erhalten. Im schlimmsten Fall wäre auch eine Neukonfiguration der Geräte und somit Sabotage oder gefälschte Diagnosen denkbar.

KASPERSKY-Experiment zeigt Bedeutung von „Shodan“

KASPERSKY lab hat laut Sergey Lozhkin in einem Experiment aufzeigen können, dass Krankenhäuser über ihre IT-Infrastruktur angreifbar seien.
Über „Shodan“ — eine Suchmaschine für das Internet der Dinge (IoT) — sei der Sicherheitsforscher auf medizinische Geräte in einem Krankenhaus gestoßen, dessen Geschäftsführer mit Lozhkin befreundet sei. Lozhkin habe mit ihm beschlossen, einen Sicherheitstest durchzuführen, um herauszufinden, ob ein Cyberangriff auf ein Krankenhausnetzwerk grundsätzlich möglich sei. Dieser Test habe unter strengsten Rahmenbedingungen stattgefunden. Patienten sowie deren sensible Daten seien hermetisch abgeschirmt und somit vor dem künstlichen Cyberangriff geschützt gewesen. Für den Test seien speziell Test-Daten geschaffen und im Netzwerk platziert worden; so sei sichergestellt gewesen, keine realen Patientendaten anzutasten.

WLAN als Schachstelle

Der erste Versuch sei noch gescheiterte – Lozhkin sei es nicht gelungen, das Krankenhaus von außerhalb zu kompromittieren, da die
Systemadministratoren der Klinik bei dem Fernangriffsversuch die richtigen Sicherheitsmaßnahmen getroffen hätten. Allerdings habe er sich dann über ein nicht sicher eingerichtetes lokales WLAN in die Infrastruktur des Krankenhauses Zugang verschafft. Indem er den Netzwerkschlüssel geknackt habe, sei er in der Lage gewesen, auf beinahe das komplette Kliniknetzwerk zuzugreifen, einschließlich einiger Geräte zur Datenspeicherung und -analyse. Über eine Applikationsschwachstelle habe er zudem auf einen tomographischen Scanner zugreifen können.
Die Folgen eines möglichen Cyberangriffs wären fatal: Neben der Manipulation von Patientendaten hätte auch der Scanner direkt attackiert werden können, so Lozhkin.

KASPERSKYs Sicherheitsempfehlungen für Krankenhäuser

Organisationen, die sensible Infrastruktursysteme unterhalten, sollten neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk laut KASPERSKY lab auf folgende Sicherheitsaspekte achten:

• Sensible Geräte und Systeme wie zum Beispiel medizintechnische Apparate müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen innerhalb des Internets der Dinge wird mehr Sicherheit geschaffen.
• Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit verstärkt auseinandersetzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
• Auf Sicherheits-Schwachstellen achten: Entwickler von „IoT“-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ geachtet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2016
Locky-Attacken: Vorsorgemaßnahmen gegen Cybererpressung

KASPERSKA lab DAILY, 11.02.2016
Medizintechnik unter Beschuss: Wie man ein Krankenhaus hackt

Kaspersky Lab auf YouTube, 09.02.2016
How I hacked my hospital