CPS Security Report: Medizinische Geräte mit Sicherheitsproblemen – Krankenhausbesuch wird zum Abenteuer!

Im aktuellen Bericht „State of CPS Security Report: Healthcare 2023“ von Claroty sind ernsthafte Sicherheitsprobleme bei medizinischen Geräten aufgedeckt worden. Und damit meine ich keine kleinen Probleme wie eine lose Schraube oder ein fehlendes Kabel. Nein, wir reden hier von Schwachstellen, die direkt die Versorgung der Patienten beeinflussen können. Das ist so, als würde man einem Hochseilartisten eine Bananenschale unter die Füße werfen – keine gute Idee!

Laut dem Bericht sind 23 % aller medizinischen Geräte von Schwachstellen betroffen, die bereits in der Datenbank der US-Cyber-Sicherheitsbehörde CISA aufgeführt sind. Das ist als würde man ein Schloss mit einem Haufen Schlüsselbunden rumliegen lassen – da braucht man gar nicht erst einen Meisterdieb, um das zu knacken.

Und als wäre das nicht schon genug, befinden sich knapp zwei Drittel dieser Schwachstellen auch noch in medizinischen Netzwerken. Das ist wie ein Loch im Zaun um ein Hochsicherheitsgefängnis – da braucht man nicht mal ein Seil und einen Sturzhelm, um da reinzukommen.

Der Bericht wurde von Team82, der Forschungseinheit von Claroty, speziell für das Gesundheitswesen erstellt. Ihr Ziel war es, die Risiken der weitreichenden Vernetzung von medizinischen Geräten aufzuzeigen. Und ich muss sagen, sie haben da wirklich ein Wespennest aufgemacht.

Während ihrer Untersuchungen sind ihnen regelmäßig Sicherheitslücken und Implementierungsfehler aufgefallen. Das ist so, als würde man einen Formel-1-Rennwagen ohne Bremsen auf die Strecke schicken – da ist das Ziel wohl eher der Crash als die Ziellinie.

Natürlich hat die Vernetzung von medizinischen Geräten auch ihre Vorteile. Ärzte können zum Beispiel Diagnosen aus der Ferne stellen und Behandlungen effizienter durchführen. Aber wie bei allem im Leben, gibt es auch hier ein „Aber“.

Mit der wachsenden Vernetzung ist es unerlässlich, eine geeignete Netzwerkarchitektur zu implementieren und sich der Anfälligkeit für Angriffe bewusst zu sein. Das ist so, als würde man eine Mauer bauen, um sich vor Einbrechern zu schützen – aber vergessen, ein Tor einzubauen.

Gesundheitseinrichtungen und ihre Sicherheitspartner müssen daher Richtlinien und Strategien entwickeln, um die Bedeutung widerstandsfähiger medizinischer Geräte und Systeme hervorzuheben. Das ist so, als würde man einen Verteidigungsplan gegen Zombie-Angriffe erstellen – man kann nie wissen, wann die Untoten zuschlagen.

Besonders gefährlich ist die Verbindung von Gastnetzwerken, die Patienten und Besuchern WLAN-Zugang ermöglichen, mit internen Netzwerken. Laut dem Bericht sind 22 Prozent der Krankenhäuser betroffen. Das ist so, als würde man einen Fremden in sein Haus lassen und ihm die Kontrolle über das Sicherheitssystem geben – da braucht man sich nicht wundern, wenn am nächsten Tag alles weg ist.

Die Untersuchungen haben ergeben, dass 4 Prozent der chirurgischen Geräte über Gastnetzwerke kommunizieren. Und das sind Geräte, die einen erheblichen Einfluss auf die Patientenversorgung haben können. Das ist so, als würde man einem Chirurgen eine Kettensäge in die Hand drücken und sagen: „Viel Spaß beim Operieren!“

Außerdem werden bei 14 Prozent der vernetzten medizinischen Geräte veraltete Betriebssysteme verwendet. Das ist so, als würde man immer noch mit einem Nokia 3310 telefonieren – ja, es kann Snake spielen, aber das war’s auch schon.

Der Bericht hat auch Geräte mit einer hohen Wahrscheinlichkeit der Ausnutzung von Sicherheitslücken untersucht. 11 Prozent der Patientengeräte wie Infusionspumpen und 10 Prozent der chirurgischen Geräte weisen Sicherheitslücken auf, die mit hohen Werten für die Ausnutzungswahrscheinlichkeit verbunden sind. Das ist so, als würde man einen Panzer ohne Panzerung bauen – da braucht man sich nicht wundern, wenn der Feind schnell durchkommt.

Und als ob das alles noch nicht genug wäre, sind auch noch lebenswichtige Geräte wie Defibrillatoren und robotergestützte Chirurgiesysteme über Fernzugriffsfunktionen erreichbar. Das ist so, als würde man einen Herzschrittmacher mit einer Fernbedienung ausstatten – da kann man nur hoffen, dass der Batteriestand der Fernbedienung in Ordnung ist.

Also, liebe Gesundheitseinrichtungen und ihre Sicherheitspartner, es wird Zeit, die Ärmel hochzukrempeln und sich dieser Sicherheitsprobleme anzunehmen. Sonst könnte es passieren, dass die Patienten nicht nur vor ihren Krankheiten, sondern auch vor Hackerangriffen geschützt werden müssen. Und das wäre wirklich eine ganz neue Art von Krankenhausbesuch.

Schlagwörter: State of CPS + Claroty + Team82

Wie bewerten Sie den Schreibstil des Artikels?