Über digitale medizinische Geräte können uns Hacker buchstäblich an die Nieren gehen. silicon.de-Blogger Mirko Brandner von Arxan sieht Chancen und Risiken und er kennt praktische Beispiele für unsichere Geräte.
Die Digitalisierung in der Medizin schreitet unaufhörlich voran. Vernetzte Herzschrittmacher und Insulinpumpen, Datenbanken, auf denen Befunde, Rezepte und Bilder landesweit abgerufen werden können, und medizinische Apps für den Hausgebrauch sind nur einige wenige Möglichkeiten, die uns das digitalisierte Gesundheitswesen heute bietet.
Die zunehmende Vernetzung bedeutet einerseits enorme Chancen hinsichtlich einer optimierten Gesundheitsversorgung, führt uns andererseits aber auch unsere digitale Verwundbarkeit vor Augen. Kritische Sicherheitslücken und fatale Sorglosigkeit ziehen Hacker und Cyberkriminelle an und stellen die Gesundheitsbranche und die Medizingeräteindustrie vor große Herausforderungen.
Gesundheits-Apps und vernetzte Medizingeräte – Angriffspunk für Cyberkriminelle
Gesundheitsbezogene Applikationen für Smartphone, Tablet-PC oder Wearables werden immer beliebter. Weltweit stehen mittlerweile mehr als 350.000 Apps aus den Kategorien Gesundheit, Fitness, Ernährung und Medizin zum Download bereit. Knapp 30 Prozent der 18 bis 45 Jährigen nutzen mobile Apps, um etwa ihre Medikamentendosis zu berechnen, einen Ernährungsplan zu führen oder Blutdruckwerte an ihren behandelnden Arzt zu übermitteln.
Dabei gibt der Nutzer der App oft sensible und sehr persönliche Daten frei, die einen detaillierten Einblick in sein Alltagsleben gewähren und daher eigentlich einen lückenlosen Datenschutz erfordern. Dass dieser in vielen Fällen nicht oder nur schlecht umgesetzt wird, ist allerdings traurige Realität. Welche Risiken gesundheitsbezogene Applikationen darstellen, zeigt uunter anderem eine aktuelle Untersuchung von ePrivacy. Das Unternehmen prüfte 140 medizinische Anwendungen (iOS und Android) auf Datensicherheit und Datenschutz und brachte dabei erschreckende Ergebnisse zu Tage. Demnach konnten durch einen sogenannten Man-in-the-Middle-Angriff bei 80 Prozent der getesteten Applikationen sensible Login-Daten und bei immerhin mehr als der Hälfte der Apps kritische Gesundheitsdaten abgefangen werden. Zwei Drittel der aller Apps ließen zudem eine Manipulation der gesendeten sowie empfangenen Daten zu.
Mobile Health-Apps sind für Hacker besonders attraktiv, da sie – im Gegensatz zu Web-Applikationen – in verteilten, weitestgehend nicht regulierten und daher potentiell gefährdeten Umgebungen von Mobilgeräten laufen. Aber auch eingebettete medizinische Software, etwa in Narkosegeräten, Infusionsapparaten oder Überwachsungsmonitoren, ist von Cyberangriffen bedroht. Über die Klinik-Netzwerke können Malware und schädliche Viren eindringen, die die vernetzten Medizingeräte infizieren und zu Unregelmäßigkeiten bei der Ausführung oder dem Ausfall der Geräte führen.
Auch gezielte Manipulationen sind denkbar, etwa wenn Hacker über Sicherheitslücken ins System eindringen, Passwörter ausspionieren und das Gerät fremdsteuern. Wie real diese Gefahr ist, haben verschiedene Studien im Laufe der letzten Jahre bereits mehrfach bewiesen. So war es dem amerikanischen Sicherheitsforscher Billy Rios vor einigen Monaten gelungen, eine handelsübliche Infusionspumpe zu hacken. Das Gerät, das in Krankenhäusern weltweit eingesetzt wird und Patienten in regelmäßigen Abständen mit Betäubungsmitteln, Antibiotika oder anderen Medikamenten versorgt, lässt sich laut Rios über eine Sicherheitslücke von außen umprogrammieren. Ein Angreifer wäre dann in der Lage, zum Beispiel die Arzneibibliothek auszutauschen und die Gesundheit der Patienten so massiv zu bedrohen.
Mangelndes Sicherheitsbewusstsein und dürftige IT-Systeme
Sicherheit hat in der Gesundheits- und Medizingerätebranche von jeher oberste Priorität. Umso erstaunlicher ist es, dass gerade dieser Sektor in Sachen IT-Sicherheit und Datenschutz unserer Zeit um Jahre hinterherhinkt. Die Zahl der innovativen, über Internet, Klinik-IT und Mobilgeräte vernetzten Medizingeräte ist in den letzten Jahren rasant gestiegen – und damit logischerweise auch das Risiko von Sicherheitslücken. Dies scheint allerdings noch nicht bei allen angekommen zu sein. Doch was muss passieren, um die momentanen Sicherheits-Defizite in unserem Gesundheitswesen zu beheben?
Für die IT-Verantwortlichen von Kliniken ist diese Frage leicht zu beantworten:
Sie müssen endlich in eine moderne IT-Infrastruktur und ein den aktuellen Standards der Datensicherheit entsprechendes Krankenhausinformationssystem (KIS) investieren. Denn daran hapert es in vielen Kliniken. Laut einer Untersuchung aus dem Jahr 2014 ist eine Verschlüsselung sensibler gespeicherter Patientendaten nur in 40 Prozent der deutschen Krankenhäuser üblich. Und auch digitale Signaturen zum Schutz kritischer Informationen vor unautorisiertem Zugriff werden bisher nur in jeder vierten Klinik genutzt.
Auf die Sicherheit der eingesetzten Medizingeräte haben Kliniken selbst natürlich kaum Einfluss, hier sind die Produkthersteller und Anwendungs-Entwickler gefragt. Sie müssen bedenken, dass der Einsatz herkömmlicher Sicherheitsmaßnahmen wie Firewalls, Anti-Virus-, oder Geräteüberwachungslösungen keine umfassende Sicherheit mehr bietet. Hier gilt es, auf innovative Schutztechnologien zurückzugreifen, um die Software von innen heraus zu härten und für eine aktive Verschlüsselung aller kryptographischen Schlüssel zu sorgen. Nur so sind die Anwendungen in der Lage, Hackerangriffe und Manipulationen erfolgreich abzuwehren.
Zu guter Letzt sollte man natürlich auch den Risikofaktor Mensch nicht aus den Augen verlieren. Immerhin können auch die Endnutzer, das heißt medizinisches Personal, Patienten und Nutzer von medizinischen Smartphone-Apps durch fehlerhaftes Handeln ihre eigene bzw. die Sicherheit anderer gefährden. Ärzte und Pflegepersonal müssen dahingehend sensibilisiert werden, kritische Patientendaten nicht unverschlüsselt, zum Beispiel über SMS oder WhatsApp, weiterzuleiten und mögliche Auffälligkeiten bei der Nutzung medizinischer Geräte sofort mit einem verantwortlichen Techniker abzuklären. App-User sollten vor allem darauf achten, dass heruntergeladene Applikationen eine Datenschutzerklärung anbieten, die sie ausführlich und umfassend über die Verwendung und Speicherung aller persönlichen Gesundheitsdaten informiert.
Gestohlene Patientendaten sind auf dem Schwarzmarkt höchst begehrt und mittlerweile ebenso viel wert wie Konto- und Kreditkarteninformationen. Das sollten sich Ärzte und Patienten stets vor Augen führen, wenn sie Patientendaten übermitteln oder eine neue Gesundheits-Apps aufs Smartphone laden.