Cyberkriminalität: Operation Willküre

23. September 2015
Teilen

Kliniken gefährden Patienten durch Lecks in der IT-Infrastruktur. Während Heilberufler jüngerer Semester entsprechende Bedrohungen besser einschätzen können, üben sich erfahrene Manager in Zurückhaltung. Die Katastrophe ist im wahrsten Sinne des Wortes vorprogrammiert.

Ein Krankenhaus in Süddeutschland. Das Narkosegerät läuft, alle Parameter sind im grünen Bereich. Plötzlich schrillt ein Alarmsignal, und nichts geht mehr. Beatmungsfrequenz, Sauerstoffsättigung und alle weiteren Regler lassen sich vom anwesenden Narkosearzt nicht mehr steuern – Hacker haben das Gerät virtuell gekapert und lahmgelegt.

Zu Knacken mit „mittlerem Know-How“

Bei der Cyberattacke handelte es sich nur um einen Test. IT-Spezialist Florian Grunow, in der Branche kein Unbekannter, wollte demonstrieren, wie leicht Angriffe auf lebenswichtige Medizintechnik möglich sind. Er hackte sich über das krankenhausinterne Netzwerk direkt auf ein Narkosegerät und übernahm diverse Regler. „Jeder mit mittlerem Know-How hätte das machen können“, sagt Grunow. Schließlich stoppte er das Gerät; Ärzte hätten in der Realität keine Chance, zu reagieren. Einige Zeit zuvor war es dem Informatik-Experten bereits gelungen, ein MRT in Beschlag zu nehmen – über den hauseigenen WLAN-Zugang für Gäste. Welche Hersteller er im Visier hat, bleibt geheim. Florian Grunow will Firmen warnen, aber keine Menschen gefährden.

Tödliche Therapie über das Netz

Sicherheitsforscher aus den USA suchen ebenfalls nach virtuellen Achillesfersen – und sind prompt fündig geworden. Billy Rios kritisiert, manche Infusionspumpen von Hospira ließen sich von außen fremdsteuern. Dazu erwarb er handelsübliche Geräte und überprüfte serielle Schnittstellen. Es gelang dem Tüftler nicht nur, wie vorgesehen Firmware-Updates durchzuführen, sondern Einstellungen direkt am Gerät zu ändern. Rios zufolge sind von der Sicherheitslücke die Modelle PCA3 LifeCare, PCA5 LifeCare, die Symbiq-Serie und Plum A+ betroffen. Diese speichern Nutzerdaten im Klartext und überprüfen nicht, ob Signale wirklich vom Server kommen. Einige Monate zuvor hatte Rios bereits herausgefunden, dass sich Dosierlimits über das Kliniknetz leicht manipulieren lassen. Fest eingestellte Höchstgrenzen zum Schutz von Patienten werden schlichtweg außer Kraft gesetzt. In einer Stellungnahme verweist Hospira darauf, dass Hacker zuerst mehrere Firewalls des Krankenhauses durchdringen müssten – eine gefährliche Argumentation, falls man die aktuelle Sicherheitslage genauer betrachtet.

Auf dem Stand der 90er-Jahre

Welche Ausmaße virtuelle Kriminalität mittlerweile annimmt, zeigt eine branchenübergreifende Untersuchung von BITKOM: Etwa jeder zweite Konzern ist in den letzten zwei Jahren von digitalen Verbrechern heimgesucht worden. Dabei geht es nicht nur um Datenklau, sondern auch um Sabotage oder um Erpressung. „Digitale Angriffe sind eine reale Gefahr für Unternehmen“, sagt Bitkom-Präsident Professor Dieter Kempf. „Viele Unternehmen schützen ihre materiellen und immateriellen Werte nicht ausreichend.“ Als Einfallstore nennt er Datennetze und IT-Systeme. Genau hier sieht es bei Kliniken und bei Medizinprodukten düster aus: modernste Elektronik, aber Sicherheit auf dem Stand der 1990er-Jahre. Die Welt hat sich gedreht. Im „Internet der Dinge“ kommunizieren Geräte virtuell miteinander. Schlecht gesicherte Netzwerke bieten Hackern von außen Zugriff auf so manche Gerätschaft. Über Suchmaschinen wie Shodan finden sie Server, Router, Webcams und viele andere Tools mit Internetverbindung. Und so manche Gerätschaft geht mit dem Benutzernamen und dem Passwort „admin“ online. Ähnlich kreativ sind Kombinationen wie „admin“ und „1234“.

Virtuelle Burgmauer

Dabei wäre es leicht, erfolgreich zu intervenieren. BITKOM empfiehlt neben einem Grundschutz aus sinnvollen Zugangsdaten, Virenscannern, Firewalls und regelmäßigen Updates auch Angriffserkennungssysteme. Sensible Daten sollten generell verschlüsselt werden. Hinzu kommen organisatorische Aspekte wie unterschiedliche Berechtigungsstufen und Notfallszenarien. Um schwarze Schafe zu erkennen, raten Experten zur Überprüfung neuer Mitarbeiter in sensiblen Bereichen. Dort sollten nicht unbedingt kurzzeitig beschäftigte Hilfskräfte ohne großes Fachwissen arbeiten, etwa Studenten in unteren Semestern. Bleiben noch externe Audits, um Schwachstellen jenseits der eigenen Betriebsblindheit zu erkennen.

Digitalstrategie? Fehlanzeige!

Soviel zur Theorie. Dass Klinken gewaltigen Nachholbedarf haben, zeigt die Untersuchung „Digitalisierung in der Gesundheitswirtschaft“. Rochus Mummert Healthcare Consulting hat mehr als 300 Führungskräfte an deutschen Krankenhäusern zur Digitalstrategie ihres Hauses befragt. Nur 28 Prozent aller Einrichtungen besitzen umfassende Konzepte. Weitere 46 Prozent der Kliniken haben zumindest Einzelprojekte auf den Weg gebracht. „Die von uns befragten Klinik-Manager verweisen hier vor allem auf fehlende finanzielle Ressourcen sowie eine immer noch in vielen Kliniken anzutreffende allgemeine Angst vor Veränderungen“, erklärt Studienleiter Dr. Peter Windeck. „Die Digitalisierung der Medizin ist also nicht nur eine technologische, sondern auch eine Führungsherausforderung.“ Hersteller von Medizinprodukten müssen ebenfalls Farbe bekennen. Von der US Food and Drug Administration kommt sogar ein Leitfaden zur Cyber-Sicherheit. Nur gemeinsam kann es Krankenhäusern und Firmen gelingen, Angriffe von Hackern abzuwehren.

87 Wertungen (4.78 ø)

Die Kommentarfunktion ist nicht mehr aktiv.

20 Kommentare:

Gast
Gast

Wer hier von “Katastrophe” redet, darf allerdings auch nicht gleich im übernächten Beitrag schimpfen, dass “die Ärzteschaft” nicht genügend “digitalisiert” sei, oder auch das hohe Lied von der “Telemedizin” singen.

#20 |
  0
Arzt
Arzt

@Prof. Dr. Dr. Carl-Martin Kirsch danke für die info

#19 |
  0
Gast
Gast

Vergessen Sie nicht, die “legale” Datenpreisgabe bei der “Fernwartung” der Medizin-Produkte. Große Firmen wie Siemens lassen durch ihre Subunternehmer in USA, China, Indien, Malysia und sonst wo, die Geräte warten.
Und das unterschreibt der Käufer Arzt/Krankenhaus, das steht in dem Kleingedruckten.

#18 |
  0
Prof. Dr. Dr. Carl-Martin Kirsch
Prof. Dr. Dr. Carl-Martin Kirsch

Ich empfehle den IT Entscheidungsträgern und allen Interessierten und ggf. Betroffenen das Essay im aktuellen Spiegel (39/2015, S. 68,69) “Jeder ist angreifbar” von Frank Rieger zu lesen und hoffentlich zu beherzigen. Er ist Sprecher des Chaos Computer Clubs und sicher ein sehr fundierter Kenner der Materie. Er empfiehlt einen grundlegenden Umbau der digitalen Technologien mit der langfristigen Strategie der Abwehr. Solide Kenntnisse, auch im Detail, auf allen Ebenen sind hierfür Voraussetzung.
Es wird kein Entkommen aus der digitalen Welt geben – es sei denn man schaltet den Strom ab – also muss man sich zukunftsorientiert damit auseinandersetzen.

#17 |
  0
Gast
Gast

Netzverbindung in der Klinik braucht kein Mensch. Die Tragik und Reichweite wird dem Bürger aber auch nicht ausreichend nahegelegt. Er unterzeichnet in der Klinik bei seiner Aufnahme auch dafür, dass seine Daten in der EDV erhoben werden dürfen. Eigentlich ist er oft gar nicht in der Lage dies einzuschätzen, erst recht nicht, wenn es ihm wirklich schlecht geht. Wie das einmal rechtlich aussieht, wenn da wirklich die ersten Klagen auftreten, wird spannend. Das sieht man ja jetzt bei VW. Wenn ein Interesse daran bestanden hätte, würde die Problematik allerdings viel früher erkannt worden wären. Aber jetzt geht es dafür gleich mal wieder um Milliarden, die nach Amerika wandern müssen. Von dort kommt doch auch die IT-Idee her, oder?

#16 |
  0
gast
gast

Selbst der in der Klinik tätige IT-Laie merkt, dass der Einzug der PCs dort keine Verbesserung gebracht hat. Es wird immer mehr Zeit für Datenerhebung vergeudet, Daten, die keiner mehr überblicken kann und somit auch kein wirklicher Nutzen entsteht. Das ganzebei immer mehr Personalabbau im Pflegebereich. Hier hat sich schlicht und ergreifend ein abkömmlicher Berufsstand eingeschlichen, für den das sehr lukrativ ist ( Beachte man nur, welche Massen an Reichtümern die IT-Helden bereits auf ihre Konten gehortet haben ) Und jetzt kommen natürlich die Folgekosten betreffs Sicherheit. Das Netz wird nie sicher sein, aber immer mehr Kontrolle schränkt die Vorteile vollkommen ein. Im Übrigen läuft es nicht nur in dem Bereich so. Auch die Öffnung der Grenzen in Europa hat diesen Effekt. Das Problem dabei ist, dass damit immer wieder das nächste Problem künstlich geschaffen wird und das alles darf der Steuerzahler oder der Kassen-Patient bezahlen. Politiker werden gewählt, um genau solche Pribleme vorausschauend zu verhindern, zum Wohle der Bevölkerung. Aber genau diese Aufgaben erfüllen sie nicht mehr.

#15 |
  0
Heilpraktiker

@#14 / Dr. med. Jan Schiefer: “back to the basics” ist exakt richtig. In allen Bereichen. Wenn die “basics” schon nicht verstanden werden, wie soll dann ein proprietäres System, auf das die eigentliche Software und zusätzlich die “Features”, die vom eigentlichen ablenken, aufgeflanscht sind, verstanden werden? Je unübersichtlicher, desto mehr Sicherheitslücken. Ebenso proprietäre Windows-Rechner im Netzwerk. Was die im Hintergrund machen, bleibt verborgen. Zu Risiken und Nebenwirkungen fragen Sie den Hersteller, Sie werden keine ehrliche Antwort bekommen …

#14 |
  0

Medizinprodukte werden heutzutage oft mit fraglich sinnvollen “Features” ausgeliefert (z. B. Internetbrowser am Narkosegerät, Fernsteuerungsfeatures für Infusionspumpen und Beatmungsgeräte etc.). Dadurch vergrößert sich natürlich die Angriffsfläche. Vor Allem bei schlampiger Implementation dieser “Features” und wenn diese nicht abschaltbar sind. Deshalb kann man nur plädieren für “back to the basics”. Medizinprodukte sollten tun, wofür die bestimmt sind und nicht mehr. Scheininnovationen sollten kritisch hinterfragt werden.

Daneben zählt auch vor allem eine sinnvolle Basisstrategie bzgl. IT-Sicherheit wie z. B. sichere Passwörter, Firewall, Antivirus-Software, sinnvolle Benutzerrechtevergabe, Intrusion Detection, regelmäßige Updates und ggf. alternative Betriebssysteme mit ordentlich implementiertem Sicherheitskonzept (z. B. Linux, *BSD).

#13 |
  0

Naja, dann beginne ich zu ahnen bzw. verstehen, wie die z.Zt. hochbrisante Situation manipulierter Dieselmotoren von VW ( Volkswagen ) a u c h entstanden sein könnte. Dr. Fr.-K. Gburek, Walsrode

#12 |
  0

Tja, Abrechnung darf nur noch online, Dokumentationen ebenso, als muss der Praxis Rechner ins Internet. Ginge auch mit einer einfachen CD, die ich immer persönl. zur KV gebracht habe.
Aber die Konzern/Commerz-Gläubigkeit wird halt bis zumj grossen Crash durchgehalten.

#11 |
  0

@ #2 Lieber Herr Kollege Herseler!
Komisch, dass wieder nur ein Zahnarzt auf das Nächstliegende kommt: Warum muss man hochsensible Geräte mit dem heiklen Internet verbinden (oder verbinden können)?
Der berühmte Datenschutz von Patientenakten ist doch demgegenüber Pipifax: huch, Frau Maier hat eine Krone auf links oben sieben!!

#10 |
  0
Heilpraktiker

@ Dipl.-Psych. Tom John Wolff: … ebenso Online-Apotheken. Schon wenn jemand ein Hypericum-Präparat ordert, kann gedrückte Stimmung, Stimmungslabilität, innerer Unruhe, Ängstlichkeit, Spannungszuständen und damit einhergehenden Ein- und Durchschlafstörungen, leichte und mittelgradig depressive Episoden zugeordnet werden.

#9 |
  0
Psychotherapeut

Hinzu kommt, dass im Bereich Psychotherapie der Patient ein Vertrauensverhältnis mit mir aufbaut und mir privateste Dinge teilweise in emotionalen Außnahmezuständen erzählt. Sobald er das getan hat, hat er keine volle Verfügungsgewalt über die Daten mehr. Die Informationen gehören ihm nicht mehr. Ich kann sie nach gutdünken in die Akte schreiben. Patienten können nicht verlangen, dass ihre Daten aus der Akte gelöscht werden. Das muss man sich mal vorstellen. Ich habe dazu extra mal einen Klinik-Datenschutzmann befragt. Wenn Patienten im Zustand emotionaler Ruhe und geistiger Klarheit vollumfänglich aufgeklärt werden würden, würden sie mir danach wohl nichts mehr erzählen. Ich würde es jedenfalls nicht tun wollen. Solche Akten sind doch Fundgruben für jeden zukünftigen Arbeitgeber. Das da noch nirgendwo einer solche elektronischen Akten massenweise abgesahnt hat und als Daten-CD illegal ans Finanzamt oder irgendwelche Arbeitgeber verkloppt wundert mich. Naja, das wird leider sicher noch kommen. Ich bin für die Abschaffung elektronischer Akten, zumindest die Trennung der Systeme vom Internet. Bei vielen Krankenhäusern, die ich kennengelert habe ist eh noch eine Papierakte vorhanden, also alles doppelt 8und oft doppelte Arbeit).

#8 |
  0
Heilpraktiker

@ #4 / Gast: Ich musste herzlich lachen, als ich das gelesen habe …

#7 |
  0
Gast
Gast

vor allem muss man sich von USA fernhalten,
auch keine emails etc. nichts.

#6 |
  0
Gast
Gast

Was genau ist diese “Katastrophe”, Herr van den Heuvel?
ich hab gehört von diese E-card.
Mein Hausarzt hat mich beruhigt, er würde da keine Behandlungsdaten rein schreiben.

#5 |
  0
Gast
Gast

@Jürgen C. Bauer, besonders gefährlich sind diese “Datenschutzbeauftragten”, das sind die heimlichen Chefs, die alles wissen und die Alle in der Hand haben.
Unsere Firma hat sich daher entschlossen, die zeitlich begrenzt einzustellen, das wird denen natürlich zunächst nicht mitgeteilt, danach werden Sie auf eine Dienstreise in Ausland geschickt, von der Sie dann nicht mehr zurückkehren.

#4 |
  0
Gast
Gast

Sie meinen, Herr van den Heuvel, da troft was raus aus den Lecks?
Und das tropft irgendwie auf die ungeschützten Patienten?

#3 |
  0

Man kann kein Netzwerk der Welt gegen Angriffe von außen schützen, es sei denn man verbindet es erst gar nicht mit der Außenwelt.
Worin besteht der Nutzen Infusionspumpen mit einem Netzwerk mit Außenzugang zu verbinden??
-Abgesehen davon, dass menschliche Arbeitskräfte eingespart werden.-

#2 |
  0
Heilpraktiker

Ja, das ist ein Thema, das in allen Bereichen vernachlässigt wird. Weil das Bewusstsein fehlt und weil keine technische Diversität gefördert wird. Wie sieht es denn mit den Datenschutzbeauftragten aus? Von Praxen ab 9 Mitarbeitern, die mit Daten umgehen, bis zu Kliniken müssen die tätig sein. Und die Versicherungen? Da habe ich kein grosses Vertrauen. Datenschutz ist “Neuland” …

#1 |
  0
Copyright © 2017 DocCheck Medical Services GmbH
Sprache:
DocCheck folgen: