Bei Einsatz in Krankhäusern: Roboter sind anfällig für Hackerangriffe

Hunderte von Robotern sind in Krankenhäusern auf der ganzen Welt im Einsatz. Experten haben nun jedoch fünf Schwachstellen festgestellt, die es Hackern leicht machen, die Patientenversorgung zu gefährden und sogar den Diebstahl vertraulicher Informationen zu ermöglichen. Diese Roboter sind mit verschiedenen Aufgaben betraut. Dazu zählen der Transport von Medikamenten oder medizinischen Materialien sowie Reinigungsarbeiten. Technologisch sind sie mit Funksystemen, Sensoren, Kameras und anderen Hilfsmitteln ausgestattet. Damit sind Roboter in der Lage, Türen zu öffnen, Fahrstühle zu bedienen und sich in Krankenhäusern ohne fremde Hilfe zu bewegen – und das ohne gegen Menschen oder Gegenstände zu stoßen. Die Roboter können sich in den Krankhäusern völlig selbstständig bewegen. Gerade diese Technologie macht ihre Anfälligkeit für Hackerangriffe jedoch so gefährlich.

Unter dem Namen JekyllBot:5 machte Cynerio, ein Anbieter von Sicherheitslösungen für das Internet der Dinge (IoT) im Gesundheitswesen, die Schwachstellen der Geräte öffentlich. Die betroffenen Roboter führt das Unternehmen unter der Bezeichnung Aethon TUG. Die Sicherheitslücken befinden sich in der JavaScript-Implementierung und der API des TUG-Homebase-Servers. Außerdem in einem WebSocket, das für die Übertragung von Befehlen auf eine zuverlässige Kommunikation zwischen dem Server und den Robotern angewiesen ist, erklärt das Cynerio-Team.

Nutzen Hacker diese Schwachstellen aus und wird dabei ein CVE-Wert von 9,8 erreicht, drohen schwerwiegendste Angriffsszenarien. Diese sind:

• Unterbrechung der ordnungsgemäßen Lieferung von Medikamenten und Laborproben;
• Beeinträchtigung der Behandlung und der Betreuung von Patienten in einem kritischen Zustand bzw. Intensivpatienten durch abgeschaltete oder blockierte Aufzüge und Türschließsysteme;
• Überwachung oder Video- und Fotoaufnahmen von wehrlosen Patienten, Mitarbeitern und der internen Krankenhausumgebung sowie Zugang zu vertraulichen medizinischen Unterlagen;
• Zugang zu und Kontrolle von Sperrbereichen, Interaktion mit Patienten oder Zusammenstöße mit Personal, Besuchern und Geräten;
• Hijacking ermöglicht den Zugriff auf Verwaltungssitzungen auf dem Portal des Bots und die Installation von Malware zur Durchführung neuer Cyberangriffe.

„Diese Schwachstellen lassen sich mit ein wenig Geschick ausnutzen. Um einen erfolgreichen Angriff auszuführen, sind keine Zugriffsrechte und keine Interaktionen erforderlich. Sind die Roboter einmal gehackt, ist es möglich, die Kontrolle über sie zu übernehmen. Dann lässt sich in Echtzeit auf Kameras und Daten zugreifen und mit den Maschinen Chaos und Zerstörung in Krankenhausumgebungen anrichten“, sagt Asher Brass, Leiter der Netzwerkanalyse bei Cynerio.

Cynerio gibt an, die Schwachstellen bei einem Einsatz in einem Krankenhaus entdeckt zu haben, dessen Namen das Unternehmen nicht nennen möchte. Die Experten stellten einen anomalen Netzwerkverkehr fest, der mit den Aufzugsensoren in Verbindung zu stehen schien. Weitere Untersuchungen führten dann zu einem offenen HTTP-Port. Dieser ermöglichte den Zugang zu einem Portal mit Informationen über den aktuellen Status der Aethon-TUG-Roboter, den Lageplänen des Krankenhauses sowie Fotos und Videos, die die Roboter aufnahmen. Nachforschungen ergaben, dass es über diesen unautorisierten Zugang auch möglich war, die Kontrolle über die Roboter zu übernehmen.

Aethon behauptet, dass die Sicherheitslücken durch einen Patch entschärft wurden. Zudem gäbe es keine Nachrichten darüber, dass die Schwachstellen auf der Website der Firma in falsche Hände geraten sein könnten. Darüber hinaus warnte Aethon vor falschen oder irreführenden Aussagen über diese Angelegenheit.

Bevorzugtes Ziel von Klagen

Die Folgen von Datenschutzverletzungen sind immens: Einerseits ist es schwierig, die IT-Umgebungen wieder zu sichern, Patches zu installieren und strengere Cybersicherheitsmaßnahmen einzuführen. Andererseits häufen sich auch zunehmend Rechtsstreitigkeiten, von denen einige Organisationen im Gesundheitswesen bereits betroffen sind. Bei großen Datenschutzverletzungen kommt es sehr oft zu Sammelklagen, doch auch kleinere Zwischenfälle enden immer häufiger vor Gericht.

Für ihren jüngsten Bericht über Datensicherheitsvorfälle analysierte die US-amerikanische Anwaltskanzlei BakerHostetler mehr als 1.200 Begebenheiten im Jahr 2021. Mit 23 % der untersuchten Fälle war der Gesundheitssektor am stärksten von den Klagen betroffen.

In der Vergangenheit wurden in mehreren Verwaltungsbezirken vor allem nach größeren Datenschutzverletzungen Zivilprozesse eingeleitet. Im Jahr 2021 zeichnete sich nach der Meldung eines Vorfalls jedoch eine neue Tendenz zu mehreren Klagen innerhalb wenigen Wochen vor ein und demselben Gericht ab. Das betraf auch kleinere Gerichtsverfahren. Im Zuge dieses Zwischenfalls wurden zudem Verfahren an US-amerikanischen Bundes- und Staatsgerichten eröffnet. Diese Welle von Doppelklagen hat aufgrund der Anzahl der beteiligten Anwälte die Kosten für die zivilrechtliche Strafverteidigung und die Verfahrenskosten deutlich erhöht, so die Anwaltskanzlei BakerHostetler.

Der Bericht hebt hervor, dass Ransomware-Angriffe auf die Daten von Gesundheitsdienstleistern eine besondere Gefahr darstellen. So können beispielsweise Unterbrechungen im Krankenhausbetrieb zu lebensbedrohlichen Situationen führen. Wenn diese Attacken den Zugriff auf Patientendaten und zugehörige Systeme unmöglich machen, müssen alternative Maßnahmen ergriffen werden – zum Beispiel das Abbrechen von Behandlungen, die Umleitung von Krankenwagen und sogar die Verlegung kritischer Patienten in andere Einrichtungen.

Ein weiteres spezifisches Problem von Sicherheitslücken im Gesundheitswesen ist die Notwendigkeit, manchmal ganze Gruppen von Patienten zu warnen. Die Attacken werden immer raffinierter und erfolgreicher, wenn es darum geht, mehrere Terabytes an Daten zu stehlen und alle Spuren zu verwischen. Daher gibt es oft keine forensischen Beweise, um genau festzustellen, welche Patienten betroffen sind. Anstatt also Zeit und Geld für die Überprüfung der betroffenen Dateien aufzuwenden, benachrichtigen die Gesundheitsdienstleister einfach eine große Gruppe potenziell betroffener Patienten.

Nur um eine Vorstellung von der Größe dieser Gruppen zu bekommen: Nach Angaben des Cyber Peace Institute erbeuten die Hackerangriffe auf Gesundheitsdienstleister im Durchschnitt etwa 155.000 Datensätze aller Art (z. B. bei Sozialversicherungsnummern, Patientendaten, Finanzdaten oder Testergebnisse). Diese Zahl kann durchaus noch viel höher sein, da bei einigen Vorfällen in der Vergangenheit mehr als 3 Millionen Datensätze betroffen waren.