Die wichtigsten Herausforderungen für die Sicherheit von IoMT-Geräten

Es ist nichts Neues: In den letzten Jahren waren Krankenhäuser und klinische Umgebungen immer wieder von Cyberattacken betroffen. Eine aktuelle Studie von Armis zeigt, welche IoT-Geräte im medizinischen Kontext am häufigsten von Cyberangriffen bedroht sind.

Im Rahmen der zitierten Studie hat Armis die Gerätedaten von mehr als drei Milliarden Devices ausgewertet und erfasst. Das Ergebnis: Schwesternrufsysteme sind die am meisten gefährdeten IoMT-Geräte (Internet of Medical Things), gefolgt von Infusionspumpen und Medikamentenverabreichungssystemen. Betrachtet man IoT-Geräte branchenübergreifend, so stehen IP-Kameras, Drucker und VoIP-Geräte (Voice Over Internet Protocol) ganz oben auf der Liste der Cyberkriminellen.

Die Studie geht davon aus, dass intelligente Krankenhäuser bis 2026 mehr als 7 Millionen IoMT-Geräte einsetzen werden. Zum Vergleich: Das sind doppelt so viele wie im Jahr 2021. Medizinische und nicht-medizinische Geräte sind zunehmend miteinander verbunden. Sie speisen automatisch Patientendaten von Überwachungsgeräten ein, die in elektronischen Krankenakten gespeichert werden. Diese Verbindungen und die Kommunikation innerhalb medizinischer Umgebungen tragen dazu bei, die Patientenversorgung zu verbessern. Der Wermutstropfen dabei: Sie machen medizinische Einrichtungen auch zunehmend anfälliger für Cyberangriffe. Mit verheerenden Folgen, denn im schlimmsten Fall führt eine Cyberattacke zu einer Unterbrechung der Patientenversorgung.

Die detaillierte Analyse von Armis zu vernetzten medizinischen Geräten und IoT-Daten kam zu diesen Erkenntnissen:

• Schwesternrufsysteme sind die risikoreichsten vernetzten medizinischen Geräte: 39 % weisen Schwachstellen und CVEs (Common Exposure Points) von kritischem Schweregrad auf, die noch nicht behoben wurden. Fast die Hälfte (48 %) der betroffenen Systeme hat unkorrigierte CVEs.

• An zweiter Stelle stehen Infusionspumpen, bei denen 27 % CVEs mit kritischem Schweregrad und ohne Korrektur sowie 30 % CVEs ohne Korrektur aufweisen.

• An dritter Stelle stehen Medikamentenverabreichungssysteme, bei denen 4 % ungepatchte CVEs mit kritischem Schweregrad aufweisen, aber ganze 86 % ungepatchte CVEs haben. Darüber hinaus arbeiten 32 % mit nicht unterstützten Windows-Versionen.

• Fast eines von fünf (19 %) angeschlossenen medizinischen Geräten verwendet nicht unterstützte Betriebssystemversionen.

• Mehr als die Hälfte der IP-Kameras in klinischen Umgebungen haben ungepatchte CVEs mit kritischem Schweregrad (56 %) und ungepatchte CVEs (59 %), was Kameras zweifellos zu den am stärksten gefährdeten IoT-Geräten macht.

• Drucker sind das am zweithäufigsten gefährdete IoT-Gerät in klinischen Umgebungen, mit 30 % ungepatchten CVEs mit kritischem Schweregrad sowie 37 % ungepatchten CVEs.

• VoIP-Geräte stehen an dritter Stelle. Während 53 % von ihnen ungepatchte CVEs aufweisen, haben nur 2 % ungepatchte CVEs mit kritischem Schweregrad.

„Diese Zahlen sind ein deutlicher Hinweis auf die Herausforderungen, denen sich medizinische Einrichtungen in allen Teilen der Welt gegenübersehen. Technologische Fortschritte sind unerlässlich, um die Geschwindigkeit und Qualität der Behandlung zu verbessern – insbesondere weil der Sektor mit einem großen Mangel an medizinischen Fachkräften konfrontiert ist. Da klinische Umgebungen jedoch zunehmend vernetzt sind, wächst auch die Angriffsfläche. Der Schutz aller Arten von vernetzten Geräten, medizinischen Geräten, IoT-Geräten und sogar Gebäudemanagementsystemen mit vollständiger Transparenz und kontinuierlicher kontextbezogener Überwachung ist für die Gewährleistung der Patientensicherheit unerlässlich“, erklärt Mohammad Waqas, Principal Healthcare Solutions Architect bei Armis.

Eines der von Armis betreuten Krankenhäuser hat beispielsweise einen besseren Überblick darüber gewonnen, welche Geräte mit dem Netzwerk verbunden sind und wie sie miteinander interagieren. Dies ist gelungen, indem Warnungen genauer analysiert wurden, die auf beobachtetem Verhalten und Firewall-Regeln basieren.

Ein großer Teil der angeschlossenen medizinischen Geräte wird nicht verwaltet, d. h. sie sind entweder ungeschützt oder gar nicht in der Lage, herkömmliche Überwachungstools wie Sicherheitsagenten und Scanner zu nutzen, so Armis. Was bedeutet das für die Branche? Sehr wahrscheinlich nehmen die Cybersicherheitsrisiken und damit auch die Risiken für die Kontinuität der Patientenversorgung weiter zu.

Neben der eingeschränkten Kontrolle über vernetzte medizinische Geräte existieren weitere Cybersicherheitsrisiken für Krankenhäuser. Für Armis sind die zehn größten Sicherheitsbedrohungen für das Internet der medizinischen Dinge die folgenden:

1. Merkliche Bedrohungen für das Gesundheitswesen – In der ersten Jahreshälfte 2022 war das Gesundheitswesen laut dem Identity Theft Resource Center (ITRC) wie schon in den drei Jahren zuvor das Hauptziel von Datenschutzverletzungen. Dabei geht es nicht nur um vertrauliche medizinische Daten, sondern auch um Ausfallzeiten bei der Patientenversorgung.

2. Die Koexistenz von OT-, IT-, IoT- und vernetzten medizinischen Geräteumgebungen erweitert die Angriffsflächen – Das Hacken eines Smart-TVs im Wartezimmer eines Krankenhauses kann Bedrohungen Tür und Tor öffnen. Denn oftmals bewegen sie sich im Anschluss seitlich durch schlecht segmentierte und unzureichend geschützte Krankenhausnetzwerke.

3. Die Komplexität des Gesundheitswesens – Die Vielfalt der Geräte und Systemtypen erschwert das Tracking von Anlagen und die Verwaltung von Schwachstellen. Hinzu kommt, dass viele der Geräte portabel und mit Netzwerken verbunden sind.

4. Medizinische Geräte können keine Agenten aufnehmen – Da medizinische und klinische Geräte gezielt als eingebettete Hardware hergestellt werden, können sie im Allgemeinen keine externe Software aufnehmen und folglich nicht durch Sicherheitsagenten geschützt oder leicht aktualisiert und gepatcht werden. Die fehlende Patch-Verwaltung ist laut dem Digital Defence Report 2021 von Microsoft eine häufig ausgenutzte Schwachstelle für Angriffe.

5. IoMT-Geräte haben oft unzureichende Sicherheitsbarrieren – Medizinische Geräte verfügen nicht über starke Sicherheitskontrollen, da ihr Design auf gewünschten Ergebnissen und gesetzlichen Anforderungen basiert.

6. Veraltete Technologie mit Cybersicherheitsrisiken – Medizinische Geräte haben im Allgemeinen einen längeren Lebenszyklus als Verbrauchertechnologie. Aufgrund von Zertifizierungsbeschränkungen der US-Gesundheitsbehörde (FDA) können Betriebssysteme und Software, die auf medizinischen Geräten laufen, unangetastet und ungepatcht bleiben, da sie sonst nicht mehr funktionsfähig sind oder die Patientenversorgung beeinträchtigt wird.

7. Vom Hersteller verwaltete Server erschweren die Sichtbarkeit medizinischer Geräte – Hersteller medizinischer Geräte gehen neue Wege, indem sie ihre eigenen verwalteten Netzwerke einrichten, d. h. einen isolierten Teil der Krankenhausnetzwerke. So kann ein Hersteller beispielsweise 30 Patientenmonitore hinter einem eigenen Gateway betreiben und so verschiedene Ebenen der Transparenz schaffen.

8. Scans und NAC verstehen den Kontext nicht – Systeme zum Scannen von Schwachstellen bieten keine kontinuierliche Überwachung in Echtzeit. Darüber hinaus sind sie auf gängige Schwachstellenbewertungssysteme (CVSS) angewiesen und sind nicht in der Lage, den Kontext zu verstehen. Andere Methoden, wie die Netzwerkzugangskontrolle (NAC), können das Geräteverhalten ebenfalls nicht untersuchen.

9. Scans können die Versorgung stören – Medizinische Geräte sind unterschiedlich empfindlich, so dass nicht bekannt ist, wie ein bestimmtes System auf Schwachstellen-Scans reagieren wird. Im schlimmsten Fall kommt es zu Unterbrechungen der Patientenversorgung, was verheerende Folgen nach sich zieht.

10. Schwache Segmentierung zwischen klinischen und IT-Netzwerken – Ein typisches Krankenhausnetzwerk ist zwischen biomedizinischen und IT-Sicherheitsteams aufgeteilt, wodurch Silos entstehen. Virtuelle Netze trennen die beiden Seiten oft voneinander, sind aber nicht immer darauf ausgelegt, die Sicherheit zu gewährleisten.