Arxan Technologies Vernetzte Medizingeräte ziehen Cyberkriminelle an

Autor / Redakteur: Mirko Brandner / Christoph Seyerlein

Ob vernetzte Insulinpumpen oder mobiler Zugriff von Ärzten auf Patientendaten – mit dem Internet der Dinge lassen sich Patienten besser versorgen und Arbeitsabläufe optimieren. Doch wo viel Licht ist, ist auch viel Schatten.

Firmen zum Thema

Je mehr vernetzte Medizingeräte und WLAN-Schnittstellen es im Gesundheitswesen gibt, desto mehr Angriffsflächen bieten sich den potentiellen Cyber-Angreifern.
Je mehr vernetzte Medizingeräte und WLAN-Schnittstellen es im Gesundheitswesen gibt, desto mehr Angriffsflächen bieten sich den potentiellen Cyber-Angreifern.
(Foto: Pixabay)

In Sachen Datenschutz und Patientensicherheit stellen vernetzte Medizingeräte und medizinische Anwendungen IT-Verantwortliche in Kliniken und Praxen vor große Herausforderungen. Der wachsende Markt zieht auch Hacker und Cyberkriminelle an. Gesundheitswesen und Medizingeräteindustrie beschwichtigen, warnen vor unnötiger Panikmache. Nichtsdestotrotz ist die Gefahr real. Denn je mehr vernetzte Geräte und WLAN-Schnittstellen existieren, desto mehr Angriffsflächen bieten sich den potentiellen Cyber-Angreifern.

Dass man lebensnotwendige medizinische Geräte wie Insulinpumpen, Herzschrittmacher oder Infusionspumpen über Schwachstellen angreifen und manipulieren kann, hat schon so mancher Sicherheitsexperte demonstriert. Erst vor wenigen Monaten haben Forscher von schweren Sicherheitslücken bei einer Infusionspumpe einer namhaften Firma berichtet. Demnach war es möglich, sensible Einstellungen der Pumpe, wie die Medikamentendosierung, über die Schnittstelle mit dem Krankenhaus-Netzwerk zu verändern.

Ein weiterer lebensgefährlicher Angriffspunkt sind Herzschrittmacher: Mehr als vier Millionen Schrittmacher werden Herzkranken pro Jahr implantiert, zirka 75.000 davon in Deutschland.

Die größten Gefahren bilden Manipulationen und Datenklau

Moderne Geräte senden die Werte ihrer Patienten fortlaufend über Signale an externe Transmitter, die die Daten analysieren und an den behandelnden Arzt übermitteln. Unregelmäßigkeiten können auf diese Weise sofort erkannt und behandelt werden. Für Hacker ergeben sich so verschiedene Möglichkeiten des Angriffs. So könnten sie die Kommunikation zwischen Schrittmacher, Transmitter und Arzt unterbinden und Rhythmusstörungen des Patienten unentdeckt lassen. Eine gezielte Manipulation des Implantats bis zum völligen Ausfall ist ebenfalls denkbar, auch wenn der Angreifer bei derartigen Szenarien sehr versiert sein muss.

Sicherheitsexperten fürchten den Datenklau fast so sehr wie lebensgefährliche Manipulationen der Geräte. Nicht nur medizinische Geräte sind davon betroffen, sondern auch Fitness- und Gesundheits-Apps, die mittlerweile nicht nur im privaten Umfeld zum Einsatz kommen. So wird die mit iOS 8 eingeführte Gesundheits-Applikation App-Health von Apple beispielsweise von amerikanischen Krankenhäusern zur Fernüberwachung von Patienten, beispielsweise der Blutdruck-Kontrolle, genutzt. Und auch Google und Samsung sind dabei, mit ähnlichen Anwendungen in diesen gewinnbringenden Markt vorzudringen.

Hinsichtlich des Datenschutzes sind solche Applikationen problematisch. Sie sammeln Unmengen an sensiblen und persönlichen Daten, die zum Teil detaillierte Einblicke in den Alltag ihrer Nutzer geben. Verfügt die Applikation über keine sichere Verschlüsselung, ist es für Hacker ein Leichtes, die App anzugreifen, personenbezogene Daten zu klauen und daraus Gewinn zu schlagen.

Eine verbreitete Schwachstelle ist veraltete Krankenhaus-IT

Auch in Sachen IT-Sicherheit muss sich im Gesundheitswesen einiges verbessern: Nimmt man die Krankenhaus-IT einmal genauer unter die Lupe, stößt man in vielen Kliniken auf veraltete Netzwerke, Soft- und Hardware. Viele Geräte in deutschen Kliniken laufen noch auf Windows XP, für das es schon seit einiger Zeit keinen Support und keine automatischen Updates mehr gibt.

Dass es um die Krankenhaus-IT derart schlecht bestellt ist, liegt vor allem am fehlenden Budget in vielen Krankenhäusern. Das macht es oft unmöglich in neue IT-Systeme, die Aus- und Weiterbildung der IT-Mitarbeiter und letztlich ihre eigene und die Sicherheit der Patienten zu investieren. Umso wichtiger ist es, dass Medizingerätehersteller und Entwickler medizinischer Applikationen ihre Software auf Sicherheitslücken und Schwachstellen untersuchen und vor Cyberangriffen und Exploits schützen – und zwar noch bevor diese auf den Markt kommt.

Nutzen können sie hierfür zum Beispiel App-Härtungs-Technologien, das heißt mehrschichtige und dynamische Schutzmaßnahmen, die zum Abschluss des Entwicklungsprozesses automatisch in den Binärcode eingefügt werden (In-App-Protection), oder White-Box-Kryptographie zur sicheren Verschlüsselung. Nur so kann man das Risiko schadhafter Manipulationen oder das Einspielen von Malware verringern.

Immerhin: Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz hat die Sicherheit von Daten und informationstechnischen Systemen – auch im Gesundheitswesen – ein Stück weit mehr ins Licht gerückt. Das Bundesamt für Sicherheit in der Informationstechnik ist demnach künftig umfassender befugt, IT-Produkte im Gesundheitsbereich und andere kritische Infrastrukturen zu überprüfen. Hier muss nichtsdestotrotz noch viel getan werden – von allen Seiten, denn die nächste Sicherheitslücke kommt bestimmt.

Autor: Mirko Brandner betreut als Technical Manager in Deutschland Kunden der amerikanischen Arxan Technologies, Inc.

Dieser Artikel ist ursprünglich bei unserer Schwesterpublikation DeviceMed erschienen. Verantwortliche Redakteurin: Kathrin Schäfer

(ID:43866183)