"IT-Sicherheit spielt nur eine untergeordnete Rolle"

6. Januar 2021, 14:59
  • medizin
  • e-health
  • security
  • gesundheitsbranche
image

Die IT-Securitybehörde BSI hat implantierte Herzschrittmacher und andere vernetzte Medizin- und Altenpflegeprodukte untersucht. Sie fanden über 150 IT-Lücken.

"Durch die fortschreitende Digitalisierung und Vernetzung im Gesundheitswesen tauchen zunehmend Schwachstellen in vernetzten Medizin-, IoT- und Altenpflegeprodukten auf", schreibt das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI.
Die deutsche Cybersecurity-Behörde hat deshalb 2 Studien zum Thema publiziert, welche ein spannendes Licht auf die untersuchten, neueren Produkte werfen, die mit drahtlosen Kommunikationsschnittstellen wie Bluetooth oder physikalischen Schnittstellen wie USB ausgestattet sind.
Bei der erste Studie namens "ManiMed" untersuchten IT-Security-Experten 10 unterschiedliche, vernetzte Medizin-Technologieprodukte samt den dazugehörigen Infrastrukturkomponenten. Als Stichproben nahmen sich die Experten netzwerkfähige implantierbare Herzschrittmacher und Defibrillatoren vor, zudem Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore.

Hacker könnten Funktion stören oder Daten manipulieren

Viele dieser in Deutschland zugelassenen, verbreiteten und relativ neuen Med-Tech-Produkte wiesen in Proof of Concept und selbst entwickelten Exploits bezüglich Vertraulichkeit, Integrität oder auch Verfügbarkeit Lücken auf.
Je nach Betriebsmodus (Konfiguration, regulärer Betrieb, Wartung/Updates) zeigten sich bei den Herstellern, darunter 2 Schweizer Firmen, unterschiedlich schwere Lücken, beziehungsweise unterschiedlich gute Security-Massnahmen.
In andern Worten: Kriminelle hätten mehrere getestete Geräte mit aktuellen Angriffsmethoden erfolgreich hacken können, um sie ausser Funktion zu setzen oder Daten zu manipulieren.
In der Kategorie "implantierbare Herzschrittmacher und Defibrillatoren" konnten die Prüfer bei einem Produkt ein SMS direkt an das Gerät senden, ohne dass sie dieses Eindringen aber nachfolgend störend ausnutzen konnten. In einem weiteren Produkt konnten die Experten drei Buffer Overflows im zugehörigen Ökosystem identifizieren. Der Hersteller versicherte, dass die eigenen IT-Security-Systeme dies verhindern würden, was vom BSI nicht überprüft wurde.
Etwas beunruhigender ist die Lage bei Insulinpumpen. "Die Kombination der identifizierten Schwachstellen versetzt einen Angreifer in die Lage die Insulinpumpe zu übernehmen", heisst es da. Schwache Authentifizierung und unsichere kryptografischen Schlüssel gehören zu den Lücken. Allerdings heisst es auch: "Um einen Angriff durchzuführen, muss sich ein Angreifer in unmittelbarer Nähe der Insulinpumpe aufhalten."
Eine weitere Insulinpumpe wurde durch den Einsatz älterer Software und nicht gepatchte, bekannte Schwachstellen unsicher. Die Hauptfunktionen der Pumpe könnte ein Hacker allerdings nicht stören, heisst es dazu. "Lediglich die Kommunikation zwischen der mobilen Anwendung und dem Backend war anfällig für Man-in-the-Middle-Angriffe."
Bei weiteren Med-Tech-Geräten konnten die Prüfer verhindern, dass das Gerät aufstartet, bei einem anderen wurde in der administrativen Web-Schnittstelle eine Cross-Site-Scripting-Schwachstelle gefunden. Diese ermöglicht es, Messungen zu verunmöglichen oder zu manipulieren.
Ein weitere Med-Tech-Lösung ist anfällig für DDoS-Angriffe, womit zwar keine direkten Patientengefahr bestünde, aber die Überwachung seiner Vitaldaten gestört würde. Eine weiterer Fund: Die REST-API eines Produktes unterstützt keine Transportverschlüsselung, und die Authentifizierung gegenüber dem Dienst ist nur über HTTP Basic Authentication möglich.

Grosse Unterschiede zwischen den Herstellern

Es zeigten sich, so bilanzieren die Autoren, dass die Schwachstellen häufig in der dazugehörigen IT-Infrastruktur (Cloud, API, Datenverkehr, Zugriffskontrolle, Patch-Management), jedoch selten in Medizinprodukten selbst auftauchen. "Die IT-Sicherheitslage ist von Hersteller zu Hersteller sehr unterschiedlich und hängt stark vom Reifegrad des einzelnen Herstellers ab", heisst es dazu. Die Studie enthält als Weiterbildung denn auch Empfehlungen der Cybersecurity-Behörde.
Alle Hersteller wurden aufgefordert, entsprechende Massnahmen zu ergreifen, um die total 150 gefundenen Lücken zu schliessen, was offenbar auch geschehen ist bei allen – freiwillig teilnehmenden – Herstellern, die also auch profitierten. Der "ManiMed"-Bericht steht als PDF mit Detaillinfos und Empfehlungen zum Download bereit.

"Kenntnisse eines Amateur-Hackers genügen"

Die zweite BSI-Studie "eCare" untersucht die IT-Security bei der Digitalisierung in der Pflege und vernetzte Medizin- sowie IoT-Produkte, die für die Alten- oder Krankenpflege eingesetzt werden. Dazu zählen beispielsweise Geräte zur Vitaldatenmessung, Hausnotrufsysteme, "smarte" Pillendosen, Betten oder ein Tablet für Senioren.
Hier sind die Hersteller bezüglich IT-Security wenig reif. Das "smarte Alters- und Pflegeheim" scheint noch in der Ferne. Denn das IT-Security-Niveau der untersuchten Geräten sei schlecht bis sehr schlecht, so die Experten. Sie fanden in allen Geräten Schwachstellen mit mittleren bis schweren Lücken. Zum Teil genügen laut BSI die Kenntnisse eines Amateur-Hackers, um alle Nutzerdaten zu erbeuten. In einem andern Beispiel werden sensible Daten unverschlüsselt übermittelt.
Bekannte Security-Massnahmen wie Pen-Tests oder Audits scheinen in den modernen Produkten nicht umgesetzt zu werden. IT-Security habe bei der Geräteentwicklung nur "eine untergeordnete Rolle" gespielt, so die Autoren. Auch seien keine Guidelines zur Entwicklung sicherer, vernetzter Medizinprodukte zurate gezogen worden, obwohl solche unter anderem vom BSI selbst publiziert wurden.
Die Hersteller nutzen immerhin grundlegende Sicherheitsmassnahmen wie Authentifizierung oder Verschlüsselung, allerdings genüge die Freiwilligkeit nicht, um eine ausreichende IT-Security zu erreichen, glauben die Autoren.
Bei den getesteten Geräten handelte es sich nicht um eigentliche Medizinprodukte, die strengeren Regulierungen unterliegen, so die Autoren. Der Bericht "eCare" ist ebenfalls zum Download bereit (PDF).

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023