Suchen

IT-Sicherheit in Krankenhäusern Alte Windows-Systeme und fehlende Sicherheitskultur

| Autor / Redakteur: Kristian von Mejer* / Julia Mutzbauer

Eine Studie des BSI zum Thema KRITIS-Sektor Gesundheit stellte fest, dass in Krankenhausorganisationen eine IT-spezifische Sicherheitskultur fehlt. Häufig wechselndes Personal aufgrund von Schichtwechsel, Teilzeitarbeit, Leiharbeit oder durch Belegärzte erschweren die Sensibilisierung der Beschäftigten im Bereich IT-Sicherheit. Neben diesem eher organisatorischem Aspekt spielt auch der technische Hintergrund eine wichtige Rolle.

Kristian von Mejer: „Alle mit dem Internet und dem internen Netzwerk verbundenen medizinischen Geräte müssen aufgrund der potenziellen Sicherheitsrisiken abgesichert werden“
Kristian von Mejer: „Alle mit dem Internet und dem internen Netzwerk verbundenen medizinischen Geräte müssen aufgrund der potenziellen Sicherheitsrisiken abgesichert werden“
(© wladimir1804 - stock.adobe.com)

Nach den Angaben des BSI verfügen Krankenhäuser in der Regel über eine Vielzahl von IT-Anschlüssen. Dabei seien 30.000 mit dem Netzwerk verbundene Geräte keine Seltenheit. Diese Summe wird noch durch eine unbekannte Anzahl von vernetzten Medizingeräten ergänzt. Daraus ergeben sich klare Herausforderungen für die IT-Abteilungen der Krankenhäuser, denn sie müssen auf der einen Seite für die IT-Sicherheit und auf der anderen Seite für einen möglichst unterbrechungsfreien Betrieb der IT-Systeme sorgen.

Mit der Umsetzung der technischen Maßnahmen ist das BSI weitgehend zufrieden, bei den organisatorischen Maßnahmen gibt es jedoch noch Nachholbedarf. Besonders interessant ist in diesem Fall ein nicht überall umgesetztes Risikomanagement bzw. die nur teilweise risikobasierte Planung von IT-Sicherheitsmaßnahmen. Sorgen machen die Aussagen, dass „eine virtuelle Netztrennung und Netzsegmentierung in Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz (…) oftmals noch nicht vollständig vollzogen (wurde)“. Im Hinblick auf die unbekannte Anzahl von medizinischen IoT, die eingangs erwähnt wurden, ist dies für jeden Sicherheitsexperten ein Fingerzeig, wie es um die IT-Sicherheit der untersuchten Krankenhäuser stehen muss.

Keine IT-Sicherheit ohne Sichtbarkeit

Das Grundproblem, das zwar bereits jetzt besteht, aber sich mit jedem Jahr und der fortschreitenden Digitalisierung des Gesundheitswesens auf allen Ebenen verschärft, ist die fehlende Sichtbarkeit. Damit ist gemeint, dass ein Überblick über alle im Krankenhaus befindlichen internetfähigen Geräte fehlt und damit einhergehend auch zu wenig Wissen darüber vorhanden ist, welche Daten von welchem Sensor erfasst und wohin übertragen werden. Immer mehr Medizingeräte werden vernetzt und erheben eigenständig pausenlos hochsensible Daten. Diese Geräte kommunizieren jedoch oft nicht nur im internen Netz, sondern auch extern. Und wenn es nur ein Ping ist, um damit dem Hersteller oder der externen IT-Supportfirma zu signalisieren, dass sie noch funktionieren.

Ganz gleich, welche Absicht die Geräte mit ihrer Aktivität verfolgen und ob sie auf den ersten Blick harmlose oder aber kritische Informationen senden, alle mit dem Internet und dem internen Netzwerk verbundene medizinische Geräte müssen aufgrund der potenziellen Sicherheitsrisiken im Hinblick auf das Gesundheitsrisiko für Patienten abgesichert werden. In einer Untersuchung stellten Sicherheitsexperten fest, dass 35 Prozent der im Gesundheitswesen eingesetzten Geräte mit nicht mehr unterstützten Betriebssystem-Versionen von Windows arbeiten. Im Gesundheitswesen sind außerdem bei fast 20 Prozent der Geräte der Standard-SMB-Port 445 und bei fast 12 Prozent der Geräte der Standard-RDP-Port 3389 offen.

Die Geräte beziehungsweise Systeme mit dem größten Risiko in Krankenhäusern sind im Einzelnen:

  • Pneumatische Röhren-Systeme
  • Unterbrechungsfreie Stromversorgung
  • Health Level 7 Gateways
  • PACS Archive
  • Radiotherapie Systeme
  • Sterilisationsgeräte
  • Physische Zugangskontrolle (PAC)
  • PLCs die in Medizintechnikgeräten verbaut wurden

Nicht alle dieser Geräte gehören zur Gruppe der Medizintechnik, letztlich sind aber zumeist die unscheinbaren Dinge, die das größte Einfallstor darstellen.

Anzahl der Cyberattacken unverändert hoch

Leider lässt sich auch in der aktuellen Krisensituation eine Zunahme der Anzahl und Raffinesse von ausgenutzten Schwachstellen in medizinischen Geräten und Cyberattacken auf Krankenhäuser feststellen. Letztlich zielen diese Attacken aber selten direkt auf medizinische Geräte ab. Gezielte Angriffe auf lebenserhaltende und lebensrettende Geräte könnten sowohl für Patienten als auch für Organisationen des Gesundheitswesens verheerende Folgen haben. Sicherheitsforscher haben verschiedene Angriffe nachgewiesen, die auf HL7- und DICOM-Systeme abzielen. Andere Angriffe sind auf Schwachstellen in intelligenten Gebäude-Automationssystemen zurückzuführen. Die zunehmende Bekanntheit von Schwachstellen-Suchmaschinen wie Shodan und anderen spezialisierten Werkzeugen zum Auffinden von exponierten OT- und IoT-Geräten und potenziellen Exploits hilft Angreifern, solche Angriffe zu starten.

Fazit und Empfehlungen

Das BSI empfiehlt den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) und dessen Weiterentwicklung. Es muss natürlich mit den technischen Maßnahmen abgestimmt werden, um effektiv zu sein. Des Weiteren wird vorgeschlagen, Richtlinien einzuführen und in diese auch die Rahmenbedingungen für ein IT-Risikomanagement einzubetten. Daraus abgeleitet, sollten letztlich alle vernetzten Geräte, also alle IoT, darunter auch Medizintechnikgeräte, in eine Risikoanalyse einbezogen werden. Nach der Inventarisierung und Klassifizierung aller im Krankenhausnetzwerk befindlichen IoT „bedarf es einer stringenten Netztrennung beziehungsweise Netzsegmentierung“, wie es in dem Bericht steht.

Weitere technische Kontrollen minimieren das Risiko von Cyberangriffen auf bisher unentdeckte IoT und deren Schwachstellen. Neben der Netzwerksegmentierung sollten IT-Abteilungen von Krankenhäusern eine Isolierung und Kontrolle des Netzwerkzugriffs bei gefährdeten Geräten vornehmen. Automatisierte Warnmeldungen zur Information von internen oder externen (je nach Budget und IT-Strategie) IT-Sicherheitsabteilungen und Incident Response-Teams tragen dazu bei, dass nur die wirklich wichtigen Alarme Aufmerksamkeit erhalten und die Sicherheitsvorfälle frühzeitig erkannt werden.

Kristian von Mejer
Kristian von Mejer
(© Forescout Technologies Inc.)

Darüber hinaus unterstützen Security Awareness-Trainings die Belegschaft dabei, Richtlinien der grundlegenden IT-Sicherheit einzuhalten und aufmerksamer und kritischer im Umgang mit den IT-Systemen zu werden.

*Der Autor: Kristian von Mejer, Global Account Executive bei Forescout Technologies Inc.

(ID:46747901)