Interview

Was den Gesundheitssektor so anfällig für Cyberangriffe macht

LinkedInXingPocketWhatsAppFlipboard

Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten.

Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Ein Interview mit Jonathan Knudsen, Senior Security Strategist bei Synopsys.

Anzeige

Jonathan Knudsen: Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Für Dienstleister im Gesundheitswesen stehen Patientensicherheit und funktionaler Komfort im Mittelpunkt. Zudem fehlt es sowohl an Budget als auch an Fachwissen im Bereich Cybersicherheit. Das führt nicht selten dazu, dass Systeme und Netzwerke so konfiguriert sind, dass sie für Ärzte, Pflegepersonal und Verwaltung gut funktionieren, aber leider gleichzeitig eine breite und durchlässige Angriffsfläche bieten.

Warum sind vernetzte medizintechnische Geräte besonders anfällig für Software-Schwachstellen?

Jonathan Knudsen: Im Wesentlichen sind es drei Gründe, warum gerade medizintechnische Geräte eine große Herausforderung sind.

Erstens steht die verhältnismäßig lange Lebensdauer von medizinischen Geräten und die vorherrschende Einstellung „wenn es noch funktioniert, warum sollte ich es reparieren“ im krassen Widerspruch zu einer Kultur des „frühzeitig und häufig veröffentlichen“ bei der Software-Entwicklung.

Zweitens. Wenn wir die Sicherheit von Geräten verbessern wollen, müssen wir sehr viel früher ansetzen. Also schon zu einem Zeitpunkt, an dem das Produkt für den Hersteller noch Zukunftsmusik ist. Hersteller sollten bei der Produktentwicklung einen Secure Development Life Cycle (SSDL oder SDLC) nutzen, um das Risiko für sich selbst, ihre Kunden und insbesondere die Patienten zu minimieren. Der SSDL legt in jeder Phase besonderen Wert auf Sicherheitsaspekte, angefangen bei der Entwicklung des Produkts, über die Implementierung, einschließlich automatisierter und integrierter Sicherheitstests bis hin zur Produktveröffentlichung und -wartung. Da Gerätehersteller ihre Sicherheitsprogramme und -prozesse ständig weiterentwickeln, sollten Dienstleister im Gesundheitswesen überprüfen wie hier der Stand der Dinge ist. Das kann man beispielsweise während des Beschaffungsprozesses tun, indem man Fragen zum SSDL, zur Art der durchgeführten Sicherheitstests, zu den bereits erzielten Ergebnissen und so weiter stellt.

Drittens verlängert die behördliche Kontrolle von medizinischen Produkten und Geräten die Produktentwicklungszeiten. Das erschwert es, die raschen, inkrementellen Aktualisierungen, die für Softwareprodukte typisch sind, im Gesundheitswesen korrekt zu implementieren.

Welches Risiko ist mit Schwachstellen wie BlueKeep und URGENT/11 verbunden?

Jonathan Knudsen: Geräte und Systeme, auf denen veraltete Softwareversionen mit bekannten Schwachstellen laufen, stellen ein ernstes Risiko dar. Angreifer können solche Schwachstellen ausnutzen, um die Kontrolle über Geräte zu übernehmen, Prozesse zu unterbrechen oder zu manipulieren, die Geräte zum Stillstand zu bringen oder sie als Ausgangspunkt für weitere Angriffe zu nutzen. 

Wie genau funktionieren diese Software-Schwachstellen? Und welche sind für vernetzte medizinische Geräte besonders schwerwiegend?

Jonathan Knudsen: Schwachstellen sind einfach Fehler im Konzept, in der Konfiguration oder im Code eines Geräts. Die beste Verteidigungsmaßnahme für den Hersteller besteht darin, einen SSDL zu benutzen. Dann werden die meisten Schwachstellen vor der Veröffentlichung des Produkts gefunden und können behoben werden. Besonders alarmierend sind Schwachstellen, die remote von einem Angreifer ausgenutzt werden können. Häufig potenziert sich das Risiko eines solchen Angriffs durch eine unzureichende Netzwerkkonfiguration. Gerade im Gesundheitswesen. Hat der Angreifer sich einmal Zutritt zum Netzwerk verschafft, kann er von seinem Ausgangspunkt nicht selten jeden Winkel des Unternehmens ungehindert erreichen.

Worin liegt hinsichtlich vernetzter Geräte das höchste Risiko?

Jonathan Knudsen: Das Hauptrisiko besteht ganz offensichtlich für die Gesundheit der Patienten. Obwohl vernetzte medizinische Geräte viele hilfreiche Funktionen bieten, müssen Gesundheitsdienstleister bei Konfiguration, Einsatz und Wartung der Geräte sehr umsichtig vorgehen.

Was können Krankenhäuser, aber auch Hersteller in Zukunft besser machen?

Jonathan Knudsen: Für Hersteller von medizintechnischen Geräten ist ein SSDL von nicht zu unterschätzender Bedeutung. Richtig implementiert, gewährleistet der SSDL, dass ein freigegebenes Produkt lediglich ein Minimum an Schwachstellen aufweist, was sich direkt in einer Risikominderung und einer höheren Patientensicherheit niederschlägt. Dazu kommt der erfreuliche Nebeneffekt, dass die Gesamtkosten für den Hersteller sinken. Denn bessere Produkte brauchen weniger Korrekturen und Updates. Nach der Produktveröffentlichung sind die erheblich teurer. Dienstleister im Gesundheitswesen brauchen aber auch ihre eigenen Sicherheitsprogramme. Die erst gewährleisten, dass Richtlinien, Netzwerkdesign, Gerätebeschaffung und Wartungsprozesse aufeinander abgestimmt sind. Dieses Vorgehen senkt das mit Softwarefehlern verbundene Risiko, wenn es dann (versehentlich oder absichtlich) wirklich zu einem Angriff kommt.

Vor welchen Herausforderungen stehen Krankenhäuser und Gesundheitsdienstleister, die ihre medizintechnischen Geräte besser vor Cybersicherheitsbedrohungen schützen wollen?

Jonathan Knudsen: Die größte Herausforderung liegt ganz eindeutig im Bereich der Ressourcen. Fachwissen in Sachen Cybersicherheit ist rar gesät, und Gesundheitsdienstleister zögern nicht selten, mehr Zeit und Geld für die Sicherung von Software und Netzwerken aufzuwenden. Wenn die Risiken richtig eingegrenzt werden, erkennt aber jedes Unternehmen die zentrale Bedeutung eines umfassenden, proaktiven Cybersicherheit-Ansatzes.   


Jonathan

Knudsen

Synopsys Software Integrity Group -

Senior Security Strategist

Anzeige

Artikel zu diesem Thema

3. November 2021
Bessere Entscheidungen und neue Geschäftsmodelle durch Predictive Maintenance
21. Juni 2021
SoSafe und Zurich Versicherung starten Kooperation
31. Mai 2021
Cloud-Lösungen zertifiziert für SAP S/4HANA® Cloud

Weitere Artikel

Cybercrime
Aufdeckung jahrzehntelanger rumänischer Botnet-Operation: RUBYCARP
Cybercrime
StrelaStealer-Kampagne attackiert Unternehmen in der EU und den USA
Cybercrime
Ransomware-Vorfälle durch ERP-Kompromittierung verfünffacht
Cybercrime
Nordkoreanische Hackergruppe mit neuen Spionagetaktiken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.