Eine große Anzahl an Schwachstellen fand das BSI in seinen aktuellen Studien zur Sicherheit in der Medizin-IT. Penetrationstests oder Sicherheitsevaluierungen etwa sind vielen Herstellern unbekannt.
Zehn vernetzte Medizinprodukte aus fünf verschiedenen Kategorien (u. a. Herzschrittmacher und Insulinpumpen) sowie die entsprechenden Infrastrukturkomponenten beleuchtet das BSI-Projekt „Manipulation von Medizinprodukten“ (ManiMed) aus IT-sicherheitstechnischer Sicht. Das BSI veröffentlichte nun erste Ergebnisse der Tests.
ManiMed ist dabei das erste Projekt seiner Art: Bislang gibt es keine systematische Studie, die das Ausmaß von IT-technischen Schwachstellen in medizinischen Geräten bewertet. Neben dem aktuellen IT-Sicherheitsstand der ausgewählten Produkte zeigt das Projekt auch Strategien und Prozesse zur Behebung ebendieser auf.
SMS auf den Herzschrittmacher
Da nicht alle Geräte geprüft und bewertet werden konnten, wählten die Sicherheitsforscherinnen und -forscher anhand einer Marktanalyse stichprobenartig je zwei Geräte aus den fünf relevanten Kategorien der Medizin-IT aus. Dabei handelt es sich um implantierbare Herzschrittmacher und Defibrillatoren inkl. Equipment, Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore. Insgesamt fanden sie mehr als 150 Schwachstellen. Unter diesen waren beispielsweise Abstürze von Benutzeroberflächen oder das mögliche Versenden von SMS auf ein Gerät.
Jedoch wurden auch weitaus kritischere Schwachstellen entdeckt, welche sich sehr einfach ausnutzen lassen. Zur Analyse einer Insulinpumpe etwa merkten die Sicherheitsforscher Folgendes an: „Die Kombination der identifizierten Schwachstellen versetzt einen Angreifer in die Lage die Insulinpumpe zu übernehmen. Um einen Angriff durchzuführen, muss sich ein Angreifer in unmittelbarer Nähe der Insulinpumpe aufhalten und die Kommunikation zwischen…und einer verbundenen mobilen Applikation belauschen…Danach können Angreifer alle Funktionalitäten nutzen, die über…bereitgestellt werden. Der Hersteller räumte ein, dass dies die Patientensicherheit beeinflussen kann.“
Bei einem anderen System, bei dem Ärzte via Bluetooth die implantierten Herzgeräte mit einer iPad-App programmieren und überwachen können, konnten u. a. sog. Pufferüberläufe (Buffer Overflows) identifiziert werden. Eine Ausnutzung dieser Schwachstellen wäre möglich, wenn keine Verhinderungsmaßnahmen ergriffen werden.
eCare – Pflege und Digitalisierung
Die zweite Studie – eCare – beschäftigt sich mit der Digitalisierung in der Pflege und untersucht vernetzte Produkte (Medizin- sowie IoT-Produkte), die im Bereich der Alten- und Krankenpflege eingesetzt werden. Hierzu zählen z. B. Geräte zur Vitaldatenmessung, Hausnotrufsysteme, intelligente Pillendosen, Tablets für Senioren oder smarte Betten.
Zunächst wurden die Hersteller dazu befragt, inwieweit sie bei der Entwicklung Sicherheitsbelange mitberücksichtigt hatten und welche Sicherheits-Merkmale in ihren Produkten integriert sind. Eine Übersicht der Antworten in folgender Abbildung:
(Bild: BSI)
Sicherheitsniveau „schlecht bis sehr schlecht“
Das Fazit der zweiten Studie: Angesichts des hohen Schutzbedarfs für Gesundheitsdaten bewerten die Autorinnen und Autoren der Publikation das vorgefundene IT-Sicherheitsniveau als schlecht bis sehr schlecht. In allen Geräten fanden sie mittlere bis schwere Schwachstellen. Die Ergebnisse lassen vermuten, dass weder die Geräte noch Apps oder Cloud-Dienste je einem professionellen Penetrationstest oder einer Evaluierung unterzogen wurden. Guidelines zur Entwicklung sicherer, vernetzter Medizinprodukte, wie sie etwa vom BSI veröffentlicht werden, wurden augenscheinlich nicht zu Rate gezogen. Positiv ist allerdings anzumerken, dass die Hersteller immerhin Sicherheitsmaßnahmen wie Authentifizierung oder Verschlüsselung benutzen.
Notwendig ist ein verstärktes Bewusstsein für Sicherheitsfragen in der Medizintechnik dringend. Durch die zunehmende Digitalisierung und Vernetzung medizinischer Geräte und Anwendungen werden auch immer mehr Schwachstellen in IT-Systemen der Medizinbranche auftreten. Dies hat dann sowohl Auswirkungen auf die Patientensicherheit als auch auf die Gesundheitsinstitutionen insgesamt.
Digitalisierung des Gesundheitssystems
Im neuen Jahr stellt das Gesundheitswesen in Deutschland in vielen Bereichen auf digitale Dienste um. Nach der just gestarteten elektronischen Patientenakte (vgl. Bericht vom 1. Januar) sollen im Sommer elektronische Rezepte und im Herbst die elektronischen AUs (Krankschreibungen) folgen.
Vgl. heise-Artikel: Es krankt an der Sicherheit im Gesundheitswesen
Quellen:
https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/ManiMed_210104.html
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eHealth/Medizintechnik/Veroeffentlichungen/cybermed_node.html