Arxan Technologies Vernetzte Medizingeräte ziehen Hacker und Cyberkriminelle an

Autor / Redakteur: Mirko Brandner / Nico Litzel

Ob vernetzte Insulinpumpen oder mobiler Zugriff von Ärzten auf Patientendaten – mit Mobile Computing und dem Internet der Dinge lassen sich Patienten besser versorgen, Arbeitsabläufe optimieren und besser verwalten. Doch wo viel Licht ist, ist auch viel Schatten.

Firmen zum Thema

Je mehr vernetzte Medizingeräte und WLAN-Schnittstellen es im Gesundheitswesen gibt, desto mehr Angriffsflächen bieten sich den potentiellen Cyber-Angreifern.
Je mehr vernetzte Medizingeräte und WLAN-Schnittstellen es im Gesundheitswesen gibt, desto mehr Angriffsflächen bieten sich den potentiellen Cyber-Angreifern.
(Bild: Andrey Popov / Fotolia)

In Sachen Datenschutz und Patientensicherheit stellen vernetzte Medizingeräte und medizinische Anwendungen IT-Verantwortliche in Kliniken und Praxen vor große Herausforderungen, denn der wachsende Markt zieht auch Hacker und Cyberkriminelle an. Gesundheitswesen und Medizingeräteindustrie beschwichtigen, warnen vor unnötiger Panikmache. Nichtsdestotrotz ist die Gefahr real. Denn je mehr vernetzte Geräte und WLAN-Schnittstellen existieren, desto mehr Angriffsflächen bieten sich den potentiellen Cyber-Angreifern.

Dass man lebensnotwendige medizinische Geräte wie Insulinpumpen, Herzschrittmacher oder Infusionspumpen über Schwachstellen angreifen und manipulieren kann, hat schon so mancher Sicherheitsexperte demonstriert. Erst vor wenigen Monaten haben Forscher von schweren Sicherheitslücken bei einer Infusionspumpe einer namhaften Firma berichtet. Demnach war es möglich, sensible Einstellungen der Pumpe, wie die Medikamentendosierung, über die Schnittstelle mit dem Krankenhaus-Netzwerk zu verändern.

Bildergalerie

Ein weiterer lebensgefährlicher Angriffspunkt sind Herzschrittmacher: Mehr als vier Millionen Schrittmacher werden Herzkranken pro Jahr implantiert, zirka 75.000 davon in Deutschland.

Die größten Gefahren bilden Manipulationen und Datenklau

Moderne Geräte senden die Werte ihrer Patienten fortlaufend über Signale an externe Transmitter, die die Daten analysieren und an den behandelnden Arzt übermitteln. Unregelmäßigkeiten können auf diese Weise sofort erkannt und behandelt werden. Für Hacker ergeben sich so verschiedene Möglichkeiten des Angriffs. So könnten sie die Kommunikation zwischen Schrittmacher, Transmitter und Arzt unterbinden und Rhythmusstörungen des Patienten unentdeckt lassen. Eine gezielte Manipulation des Implantats bis zum völligen Ausfall ist ebenfalls denkbar, auch wenn der Angreifer bei derartigen Szenarien sehr versiert sein muss.

Fast so sehr wie lebensgefährliche Manipulationen der Geräte fürchten Sicherheitsexperten den Datenklau. Nicht nur medizinische Geräte sind davon betroffen, sondern auch Fitness- und Gesundheits-Apps, die mittlerweile nicht nur im privaten Umfeld zum Einsatz kommen. So wird die mit iOS 8 eingeführte Gesundheits-Applikation App-Health von Apple beispielsweise von amerikanischen Krankenhäusern zur Fernüberwachung von Patienten, beispielsweise der Blutdruck-Kontrolle, genutzt. Und auch Google und Samsung sind dabei, mit ähnlichen Anwendungen in diesen gewinnbringenden Markt vorzudringen.

Hinsichtlich des Datenschutzes sind solche Applikationen problematisch, denn sie sammeln Unmengen an sensiblen und persönlichen Daten, die zum Teil detaillierte Einblicke in den Alltag ihrer Nutzer geben. Verfügt die Applikation nicht über eine sichere Verschlüsselung, ist es für Hacker ein Leichtes, die App anzugreifen, personenbezogene Daten zu klauen und daraus Gewinn zu schlagen.

Weiterlesen auf der nächsten Seite

Eine verbreitete Schwachstelle ist veraltete Krankenhaus-IT

Auch in Sachen IT-Sicherheit muss sich im Gesundheitswesen noch einiges verbessern: Nimmt man die Krankenhaus-IT einmal genauer unter die Lupe, stößt man in vielen Kliniken auf veraltete Netzwerke, Soft- und Hardware. Viele Geräte in deutschen Kliniken laufen noch auf Windows XP, für das es schon seit einiger Zeit keinen Support und keine automatischen Updates mehr gibt.

Dass es um die Krankenhaus-IT derart schlecht bestellt ist, liegt vor allem daran, dass vielen Krankenhäusern schlicht das Budget fehlt, um in neue IT-Systeme, in die Aus- und Weiterbildung der IT-Mitarbeiter und letztlich ihre eigene und die Sicherheit der Patienten zu investieren. Dies ist sicherlich ein Fehler. Umso wichtiger ist es, dass Medizingerätehersteller und Entwickler medizinischer Applikationen ihre Software auf Sicherheitslücken und Schwachstellen untersuchen und vor Cyberangriffen und Exploits schützen – und zwar noch bevor diese auf den Markt kommt. Nutzen können sie hierfür zum Beispiel App-Härtungs-Technologien, das heißt mehrschichtige und dynamische Schutzmaßnahmen, die zum Abschluss des Entwicklungsprozesses automatisch in den Binärcode eingefügt werden (In-App-Protection), oder White-Box-Kryptographie zur sicheren Verschlüsselung. Nur so kann man das Risiko schadhafter Manipulationen oder das Einspielen von Malware verringern.

Immerhin – das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz hat die Sicherheit von Daten und informationstechnischen Systemen – auch im Gesundheitswesen – ein Stück weit mehr ins Licht gerückt. Das Bundesamt für Sicherheit in der Informationstechnik ist demnach künftig umfassender befugt, IT-Produkte im Gesundheitsbereich und andere kritische Infrastrukturen zu überprüfen. Getan werden muss hier allerdings noch viel – von allen Seiten, denn die nächste Sicherheitslücke kommt bestimmt.

Autor: Mirko Brandner betreut als Technical Manager in Deutschland Kunden der amerikanischen Arxan Technologies, Inc.

Dieser Artikel ist ursprünglich bei unserer Schwesterpublikation DeviceMed erschienen. Verantwortliche Redakteurin: Kathrin Schäfer

(ID:43845339)