13 neue Sicherheitslücken bei medizinischen Geräten

Kürzlich entdeckte Schwachstellen in der von medizinischen Geräten verwendeten Software könnten zu Ausfällen in Krankenhauskontrollsystemen führen. Die Warnung stammt von Forschern der Forescout Research Labs. Sie haben Probleme im Nucleus TCP/IP-Stack identifiziert, der die grundlegende Kommunikation in Netzwerken regelt. Das System ist beispielsweise in Anästhesiegeräten, Beatmungsgeräten, Patientenmonitoren und anderen Geräten im Gesundheitswesen weit verbreitet.

Die Schwachstellen ermöglichen die Ausführung von Remote-Code oder Denial-of-Service-Angriffe. Drei der 13 Schwachstellen werden als kritisch eingestuft. Sie weisen CVSS-Werte (Common Vulnerability Scoring System) von 9,8 und 8,8 auf. Bei dieser Einstufung werden die wichtigsten Merkmale einer Schwachstelle analysiert und eine numerische Punktzahl ermittelt, die den Schweregrad widerspiegelt (zwischen 0 und 10).

Nucleus TCP/IP ist Teil des Nucleus Real-time Operating System (RTOS). Beide wurden ursprünglich von Accelerated Technology, Inc. (ATI) im Jahr 1993 entwickelt. 2002 wurden sie dann von Mentor Graphics und schließlich 2017 von Siemens übernommen. Sie werden in verschiedenen Branchen mit hohen Sicherheitsanforderungen eingesetzt, etwa in der Medizintechnik, der Automobilindustrie und der Industrie.

Laut Forescout hat Siemens bereits Fixes für alle 13 gefundenen Schwachstellen veröffentlicht. Etwa die Hälfte der Schwachstellen wurde bereits behoben, die CVE-IDs (Common Vulnerabilities and Exposures) wurden aber nie veröffentlicht. Laut der Siemens-Website ist das Nucleus-System in drei Milliarden Geräten im Einsatz.

Ein Video, das zwei mögliche Angriffe auf die Labore von Forescout zeigt, ist hier zu sehen.

Während vernetzte medizinische Geräte derzeit im Mittelpunkt vieler Diskussionen über Cyberangriffe stehen, warnt Forescout, dass auch andere Kategorien davon betroffen sein können. So zum Beispiel IoT- (Internet der Dinge) und OT-Geräte (Operational Technology), die in Krankenhäusern verwendet werden. Beispielsweise werden Geräte zur Gebäudeautomatisierung in Krankenhäusern für Funktionen wie Zugangskontrolle, Feueralarm, Beleuchtung, Heizung und Lüftung eingesetzt. Obwohl diese Funktionen nicht direkt mit Patienten in Verbindung stehen, sind sie für die Gesundheitsversorgung unerlässlich.

Forescout empfiehlt zum Schutz vor diesen Schwachstellen im Nucleus TCP/IP Stack, genannt NUCLEUS:13, die Installation von Patches auf den betroffenen Geräten. Die Patches werden von Siemens und den Geräteherstellern angeboten. Forescout hat ein Open-Source-Skript veröffentlicht. Dieses hilft dabei, Geräte zu identifizieren, die das Nucleus-System verwenden, das ständig mit neuen Signaturen aktualisiert wird.

Bei eingebetteten Geräten ist es jedoch nicht immer einfach, Patches zu installieren. In solchen Situationen besteht die Möglichkeit, Strategien zur Risikominderung anzuwenden. Dazu gehören z. B. die Verwendung von Segmentierungskontrollen, die Einschränkung der Kommunikationswege zur Außenwelt und die Isolierung anfälliger Geräte, bis sie gepatcht werden können. Eine weitere empfohlene Maßnahme ist die Überwachung des Netzwerkverkehrs auf bösartige Pakete, die versuchen, Schwachstellen auszunutzen.

Gesundheit in Gefahr

Der Gesundheitssektor ist eines der Hauptziele der Cyberkriminelle. Ein Cyberangriff in diesem Bereich gefährdet jedoch nicht nur die Computersysteme, sondern auch die Gesundheit und letztlich das Leben von Menschen.

Nach Angaben des CyberPeace Instituts, das die Daten von mehr als 235 Cyberangriffen auf den Gesundheitssektor in 25 Ländern über einen Zeitraum von 12 Monaten analysiert hat, wurden etwa 9,6 Millionen Datensätze gestohlen. Zu diesen gehören Sozialversicherungsnummern, medizinische Daten, HIV-Testergebnisse und private Daten von Spendern. In 89 Prozent der Fälle gingen die Systeme offline. In der ersten Hälfte des Jahres 2021 gab es im Gesundheitswesen durchschnittlich vier Ransomware-Angriffe pro Woche.

Und das ist nur die Spitze des Eisbergs: Denn in vielen Regionen gibt es einen erheblichen Mangel an öffentlichen Berichten und Daten. Dies ist ein wichtiger Knackpunkt bei der Cybersicherheit im Gesundheitswesen. Es ist inakzeptabel, dass Informationen über Cyberangriffe nur aus der Zusammenstellung von Daten stammen, die die Ransomware-Betreiber, d. h. die Kriminellen selbst, in vielen Fällen veröffentlichen. Um wirksam gegen Cyberkriminalität im Gesundheitswesen vorgehen zu können, ist es nach Ansicht des Instituts notwendig, eine transparente Berichterstattung zu fördern, die dazu beiträgt, die Bedrohungen besser zu verstehen und geeignete Maßnahmen zu deren Eindämmung zu ergreifen.