Anzeige

Gesundheitswesen

Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten.

Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Ein Interview mit Jonathan Knudsen, Senior Security Strategist bei Synopsys.

Jonathan Knudsen: Der Gesundheitssektor ist wie jeder andere Industriezweig essentiell auf Software angewiesen. Sie spielt in praktisch allen Bereichen eine entscheidende Rolle. Bei der Diagnose, bei sämtlichen bildgebenden Verfahren und Messungen, der Überwachung, der Verabreichung von Medikamenten und beim Führen von Krankenakten. Ganz zu schweigen von administrativen Funktionen wie Terminplanung und Abrechnung. Leider ist die Cybersicherheit dabei oft zu kurz gekommen oder wurde gänzlich ignoriert. Für Dienstleister im Gesundheitswesen stehen Patientensicherheit und funktionaler Komfort im Mittelpunkt. Zudem fehlt es sowohl an Budget als auch an Fachwissen im Bereich Cybersicherheit. Das führt nicht selten dazu, dass Systeme und Netzwerke so konfiguriert sind, dass sie für Ärzte, Pflegepersonal und Verwaltung gut funktionieren, aber leider gleichzeitig eine breite und durchlässige Angriffsfläche bieten.

Warum sind vernetzte medizintechnische Geräte besonders anfällig für Software-Schwachstellen?

Jonathan Knudsen: Im Wesentlichen sind es drei Gründe, warum gerade medizintechnische Geräte eine große Herausforderung sind.

Erstens steht die verhältnismäßig lange Lebensdauer von medizinischen Geräten und die vorherrschende Einstellung „wenn es noch funktioniert, warum sollte ich es reparieren“ im krassen Widerspruch zu einer Kultur des „frühzeitig und häufig veröffentlichen“ bei der Software-Entwicklung.

Zweitens. Wenn wir die Sicherheit von Geräten verbessern wollen, müssen wir sehr viel früher ansetzen. Also schon zu einem Zeitpunkt, an dem das Produkt für den Hersteller noch Zukunftsmusik ist. Hersteller sollten bei der Produktentwicklung einen Secure Development Life Cycle (SSDL oder SDLC) nutzen, um das Risiko für sich selbst, ihre Kunden und insbesondere die Patienten zu minimieren. Der SSDL legt in jeder Phase besonderen Wert auf Sicherheitsaspekte, angefangen bei der Entwicklung des Produkts, über die Implementierung, einschließlich automatisierter und integrierter Sicherheitstests bis hin zur Produktveröffentlichung und -wartung. Da Gerätehersteller ihre Sicherheitsprogramme und -prozesse ständig weiterentwickeln, sollten Dienstleister im Gesundheitswesen überprüfen wie hier der Stand der Dinge ist. Das kann man beispielsweise während des Beschaffungsprozesses tun, indem man Fragen zum SSDL, zur Art der durchgeführten Sicherheitstests, zu den bereits erzielten Ergebnissen und so weiter stellt.

Drittens verlängert die behördliche Kontrolle von medizinischen Produkten und Geräten die Produktentwicklungszeiten. Das erschwert es, die raschen, inkrementellen Aktualisierungen, die für Softwareprodukte typisch sind, im Gesundheitswesen korrekt zu implementieren.

Welches Risiko ist mit Schwachstellen wie BlueKeep und URGENT/11 verbunden?

Jonathan Knudsen: Geräte und Systeme, auf denen veraltete Softwareversionen mit bekannten Schwachstellen laufen, stellen ein ernstes Risiko dar. Angreifer können solche Schwachstellen ausnutzen, um die Kontrolle über Geräte zu übernehmen, Prozesse zu unterbrechen oder zu manipulieren, die Geräte zum Stillstand zu bringen oder sie als Ausgangspunkt für weitere Angriffe zu nutzen. 

Wie genau funktionieren diese Software-Schwachstellen? Und welche sind für vernetzte medizinische Geräte besonders schwerwiegend?

Jonathan Knudsen: Schwachstellen sind einfach Fehler im Konzept, in der Konfiguration oder im Code eines Geräts. Die beste Verteidigungsmaßnahme für den Hersteller besteht darin, einen SSDL zu benutzen. Dann werden die meisten Schwachstellen vor der Veröffentlichung des Produkts gefunden und können behoben werden. Besonders alarmierend sind Schwachstellen, die remote von einem Angreifer ausgenutzt werden können. Häufig potenziert sich das Risiko eines solchen Angriffs durch eine unzureichende Netzwerkkonfiguration. Gerade im Gesundheitswesen. Hat der Angreifer sich einmal Zutritt zum Netzwerk verschafft, kann er von seinem Ausgangspunkt nicht selten jeden Winkel des Unternehmens ungehindert erreichen.

Worin liegt hinsichtlich vernetzter Geräte das höchste Risiko?

Jonathan Knudsen: Das Hauptrisiko besteht ganz offensichtlich für die Gesundheit der Patienten. Obwohl vernetzte medizinische Geräte viele hilfreiche Funktionen bieten, müssen Gesundheitsdienstleister bei Konfiguration, Einsatz und Wartung der Geräte sehr umsichtig vorgehen.

Was können Krankenhäuser, aber auch Hersteller in Zukunft besser machen?

Jonathan Knudsen: Für Hersteller von medizintechnischen Geräten ist ein SSDL von nicht zu unterschätzender Bedeutung. Richtig implementiert, gewährleistet der SSDL, dass ein freigegebenes Produkt lediglich ein Minimum an Schwachstellen aufweist, was sich direkt in einer Risikominderung und einer höheren Patientensicherheit niederschlägt. Dazu kommt der erfreuliche Nebeneffekt, dass die Gesamtkosten für den Hersteller sinken. Denn bessere Produkte brauchen weniger Korrekturen und Updates. Nach der Produktveröffentlichung sind die erheblich teurer. Dienstleister im Gesundheitswesen brauchen aber auch ihre eigenen Sicherheitsprogramme. Die erst gewährleisten, dass Richtlinien, Netzwerkdesign, Gerätebeschaffung und Wartungsprozesse aufeinander abgestimmt sind. Dieses Vorgehen senkt das mit Softwarefehlern verbundene Risiko, wenn es dann (versehentlich oder absichtlich) wirklich zu einem Angriff kommt.

Vor welchen Herausforderungen stehen Krankenhäuser und Gesundheitsdienstleister, die ihre medizintechnischen Geräte besser vor Cybersicherheitsbedrohungen schützen wollen?

Jonathan Knudsen: Die größte Herausforderung liegt ganz eindeutig im Bereich der Ressourcen. Fachwissen in Sachen Cybersicherheit ist rar gesät, und Gesundheitsdienstleister zögern nicht selten, mehr Zeit und Geld für die Sicherung von Software und Netzwerken aufzuwenden. Wenn die Risiken richtig eingegrenzt werden, erkennt aber jedes Unternehmen die zentrale Bedeutung eines umfassenden, proaktiven Cybersicherheit-Ansatzes.   

Jonathan Knudsen, Senior Security Strategist
Jonathan Knudsen
Senior Security Strategist, Synopsys Software Integrity Group

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

USB
Apr 02, 2020

Hospitality-Gewerbe im Visier eines BadUSB Social Engineering-Angriffs

Der aktuelle Sicherheitsvorfall mit einem USB-Stick gestattet einen Blick daraufzu…
Daten Gesundheitswesen
Feb 25, 2020

Datenschutzverletzungen im Gesundheitswesen

Bitglass, hat seinen sechsten jährlichen „Healthcare Breach Report“ veröffentlicht. Der…
Krankenhaus Security
Jan 29, 2020

Krankenhäuser unterschätzen IT-Schwachstellen

Etliche Hackerangriffe zeigen, dass viele deutsche Krankenhäuser ihre IT-Systeme noch…

Weitere Artikel

Sicherheit

DDos-Angriffe verhindern mit Zero Trust

Dass DDoS-Attacken nach wie vor zu den beliebtesten Angriffsmethoden von Cyberkriminellen zählen, liegt zum großen Teil an der Einfachheit, den geringen Kosten und der Anonymität solcher Angriffe.
Cyberattack

Schadprogramm IceRat hat es auf Nutzerpasswörter und illegales Coin-Mining abgesehen

Die Schadsoftware IceRat spioniert die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und kann bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben - durch verdecktes illegales Coin-Mining.
Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!