IT-Sicherheit in Krankenhäusern: Mehrheit der Geräte mit Internetanschluss ist gefährdet

Seit Jahrzehnten hat die Patientenversorgung sichtbare Verbesserungen durch die Daten, Erkenntnisse und Aktualität erfahren, die von vernetzten Geräten bereitgestellt werden. Mit der wachsenden Zahl dieser Geräte sind jedoch auch die Bedrohungen und Schwachstellen gestiegen.

Ein neuer Bericht von Cynerio, der Daten von mehr als 10 Millionen IoT- und IoMT-Geräten in mehr als 300 Krankenhäusern und Gesundheitseinrichtungen auf der ganzen Welt analysiert hat, stellt fest:  Mehr als die Hälfte der in Krankenhäusern verwendeten internetfähigen Geräte weisen heute eine Schwachstelle auf. Diese könnten die Patientensicherheit, vertrauliche Daten oder die Benutzerfreundlichkeit eines Geräts gefährden.

Die Infusionspumpe ist das am häufigsten eingesetzte vernetzte Gerät in Krankenhäusern. Sie kann aus der Ferne eine Verbindung zu elektronischen Krankenakten herstellen, die richtige Dosis eines Medikaments oder einer anderen Flüssigkeit ermitteln und sie dem Patienten schließlich verabreichen. Laut dem Bericht sind Infusionspumpen daher auch die Geräte, die am ehesten von Hackern für Schwachstellen ausgenutzt werden – 73 Prozent wiesen eine Sicherheitslücke auf.

Experten befürchten, dass Hacks auf solche Geräte, die unmittelbar mit den Patienten verbunden sind, genutzt werden könnten, um ihnen direkt zu schaden. Theoretisch könnte jemand auf die Systeme zugreifen und zum Beispiel die Dosierung eines Medikaments verändern.

Nie wurde deutlicher, wie eng digitale Sicherheit und Patientensicherheit miteinander verknüpft sind. Es ist letztendlich auch der Schutz der Geräte, der die Versorgung der Patienten garantiert und damit ihre Gesundheit, ihre Sicherheit sowie ihr Wohlergehen gewährleistet.

Gesundheitseinrichtungen sind heute ein beliebtes Ziel für Hacker – und obwohl ein direkter Angriff auf mit dem Internet verbundene medizinische Geräte scheinbar noch nicht stattgefunden hat, halten Experten ihn für durchaus möglich. Die aktivste Bedrohung geht allerdings von Gruppen aus, die sich über ein anfälliges Gerät in Krankenhaussysteme einhacken und die digitalen Netzwerke der Klinik sperren. Dies hat zur Folge, dass Ärzte und Krankenschwestern nicht mehr auf Patientenakten, Geräte und andere digitale Hilfsmittel zugreifen können – für die Entsperrung verlangen die Hacker meistens ein Lösegeld. Solche Angriffe haben in den letzten Jahren zugenommen und verlangsamen die Funktionsfähigkeit von Krankenhäusern so sehr, dass sie Patienten erheblich schaden können.

Fast 80 % der IoT-Geräte im Gesundheitswesen arbeiten rund um die Uhr. Da es kaum Standzeiten gibt, ist es für die Cybersicherheitsteams von Krankenhäusern schwierig, die Geräte auf Risiken und Angriffe zu überprüfen, die neuesten Patches anzuwenden und eine Segmentierung zum Schutz anderer Geräte im Netzwerk vorzunehmen.

Außerdem werden die meisten dieser Geräte von Anlagen gesteuert, auf denen Linux und Dutzende anderer proprietärer Betriebssysteme laufen. Dies macht die meisten IT-Sicherheitslösungen, die überwiegend für Windows-Rechner entwickelt wurden, für die Cybersicherheit im IoMT unzureichend.

Der Bericht von Cynerio stellt aber fest, dass die meisten Sicherheitslücken bei medizinischen Geräten leicht zu beheben sind: Denn häufig werden schwache oder voreingestellte Passwörter verwendet und Rückrufaufforderungen von den Krankenhäusern nicht beachtet. Viele Einrichtungen des Gesundheitswesens verfügen einfach nicht über die Ressourcen oder das Personal, um ihre Systeme auf dem neuesten Stand zu halten. Möglicherweise wissen sie gar nicht, ob es ein Update oder eine Warnung für eines ihrer Geräte gibt.

Die in den letzten 12 Monaten vielfach gemeldeten Schwachstellen, wie URGENT/11 oder Ripple20, sind die häufigsten Risiken für diese Geräte. Natürlich sollten sich die Krankenhäuser dagegen schützen. Die vielen Artikel, die über diese Schwachstellen geschrieben wurden, haben zwar das allgemeine Bewusstsein für die IoT-Sicherheit im Gesundheitswesen geschärft – der Bericht warnt jedoch davor, dass diese nur einen kleinen Teil der Gefahren für die meisten IoT-Geräte im Gesundheitswesen darstellen.

Krankenhäuser unterschätzen oft die Bedeutung ihres zugrundeliegenden Netzwerks sowie ihrer Infrastruktur, wenn sie vernetzte Gesundheitsgeräte und -dienste einsetzen. Ein großes, nicht segmentiertes und nicht überwachtes Netzwerk bietet eine enorme Angriffsfläche, die es Eindringlingen ermöglicht, sich auf der Suche nach wichtigen Daten und Ressourcen ungehindert zu bewegen.

Mit dem richtigen Maß an Segmentierung wird die Konnektivität des Netzwerks nicht beeinträchtigt – es ist aber auch nicht so offen zugänglich, dass Sicherheitsrisiken entstehen. Die Konzeption der Segmentierung muss sich entsprechend an den potenziellen Bedrohungsvektoren, den möglichen nutzbaren Schwachstellen und dem klinischen Kontext jedes Geräts orientieren.

Zu erwähnen sind auch die beiden Hauptformen der Segmentierung – Ost-West und Nord-Süd. Bei der Ost-West-Segmentierung werden alle wichtigen Geräte und die Kommunikation über das LAN blockiert. Die Nord-Süd-Segmentierung blockiert dagegen unwichtige Kommunikationsvorgänge, um zu verhindern, dass böswillige Einheiten innerhalb des Netzwerks Daten exfiltrieren. Natürlich kann bei Geräten mehr als ein Risikofaktor gleichzeitig vorhanden sein und mehrere Segmentierungsmaßnahmen erfordern.

Eine Überwachung findet in den Krankenhäusern wiederum bereits statt: IT-Komponenten wie Speichersysteme, Netzwerke oder Server werden standardmäßig beobachtet. Auch moderne medizinische Geräte und Systeme bieten native Möglichkeiten für Überwachungsfunktionen. Was fehlt, ist eine zentrale Sicht auf das große Ganze – und diese können nur wenige Monitoring-Lösungen bieten.

Oft ist die digitale Infrastruktur von Krankenhäusern fragmentiert oder aufgrund von Silos so komplex geworden, dass sie ein koordiniertes und strukturiertes Arbeiten in den Kliniken verhindert. Dies führt unweigerlich zu einer weniger effizienten Bereitstellung von Gesundheitsdiensten oder sogar zu schwerwiegenden Folgen für die Patienten.

Tatsächlich befinden sich die Krankenhäuser jeweils an unterschiedlichen Punkten der digitalen Transformation. Die Effizienz der Kliniken und der Patientenversorgung hängt allerdings davon ab, wie gut sich die digitale Gesundheitsinfrastruktur in der Klinik an neue Technologien, Maschinen, Geräte und medizinische Systeme anpasst – und diese auch aktualisiert.

Daher spielt die IT-Abteilung des Krankenhauses eine Schlüsselrolle bei der Schaffung einer digitalen Infrastruktur, um digitale und physische Silos zu überwinden, die von Anfang an bestehen.

Dieser einheitliche Überwachungsansatz verschafft den Krankenhausadministratoren einen fundierten Überblick über die physische und virtuelle IT-Infrastruktur und unterstützt das Personal bei Standardaufgaben, die mithilfe von Technologie effizienter erledigt werden können.

So können Silos für eine effizientere Infrastruktur abgebaut werden, die sich auf die Gesamtstruktur der Einrichtung auswirken kann. Ein umfassender Überblick hilft außerdem dabei, den Schutz von Patientendaten zu gewährleisten, ohne die betriebliche Effizienz zu beeinträchtigen.