Medizintechnik unter Beschuss: Wie man ein Krankenhaus hackt

11 Feb 2016

Es lässt sich nicht vermeiden, dass wir irgendwann im Laufe unseres Lebens, sei es wegen Krankheit oder aufgrund einer Verletzung, eine Zeit im Krankenhaus in der Obhut von Ärzten verbringen. Dabei müssen wir nicht nur den Ärzten vertrauen, die umfassende theoretische Kenntnisse sowie Praxiserfahrung haben, sondern sind auch den medizinischen Hightechgeräten ausgeliefert, die zu Diagnose oder zur Behandlung eingesetzt werden. Das bedeutet, dass wir unsere Sicherheit und unser Wohlbefinden auch in die Hände von Hard- und Softwareentwicklern geben, die das medizinische Equipment entwickelt haben, sowie der Systemadministratoren, die die Geräte justieren.

my-hacked-hospital-featured

Im Laufe der Zeit werden medizinische Geräte immer komplexer und miteinander vernetzt und es kommen immer mehr Gerätschaften in Krankenhäusern zum Einsatz.

All diese Sensoren und intelligenten Maschinen verfügen über hochkomplexe Software. Da Cybersicherheit üblicherweise nicht die oberste Priorität für die Hersteller medizinischer Geräte ist, treten häufig Sicherheitslücken auf. Und wo es Bugs und Schwachstellen gibt, wird es auch Sicherheitsverletzungen geben. Aber stellt das wirklich eine so große Gefahr dar?

Was kann passieren, wenn ein Krankenhaus gehackt wird?

Kurz gesagt: alles

Zunächst einmal können Cyberkriminelle Sicherheitslücken ausnutzen, um Patientendaten zu stehlen oder das Netzwerk mit Schadsoftware zu infizieren. Das ist aber noch nicht das Schlimmste, was passieren kann.

Hacker können elektronisch gespeicherte Patientendaten aber auch ändern: Sie können aus einem Gesunden einen Kranken machen und umgekehrt, sie können Testergebnisse modifizieren oder die verschriebene Medikamentendosis — und das kann gravierende gesundheitliche Schäden zur Folge haben. Es ist auch möglich, medizinische Geräte falsch zu justieren und dadurch entweder dem Equipment Schaden zuzufügen oder dem Patienten, der mithilfe des Geräts behandelt wird.

Von der Theorie zur Praxis

Auf dem Security Analyst Summit 2016 berichtete der Kaspersky-Lab-Experte Sergey Lozhkin, wie er ein Krankenhaus gehackt hat.

Lozhkin hatte Shodan benutzt (die Suchmaschine für das Internet der Dinge) und war dabei auf medizinische Geräte eines Krankenhauses gestoßen, dessen Name ihm irgendwie bekannt vorkam — es stellte sich heraus, dass es einem Freund von ihm gehört. Lozhkin kontaktierte den Besitzer und gemeinsam trafen die beiden die Entscheidung, einen geheimen Penetrationstest durchzuführen, um herauszufinden, ob es möglich ist, ein Krankenhaus zu hacken.

Außer den Führungskräften ließen die beiden niemanden von dem Test wissen. Diese Verantwortlichen schirmten echte Patienten ab und stellten sicher, dass deren Daten nicht durch den „Hackerangriff“ gefährdet werden konnten.

Der erste Versuch scheiterte: Lozhkin war es nicht gelungen, das Krankenhaus von außerhalb zu hacken, da die Systemadministratoren im Fall eines Fernangriffs ordnungsgemäß funktionierten.

Vom Krankenhaus aus konnte sich Lozhkin allerdings mit dem lokalen Wi-Fi-Netzwerk verbinden, das nicht korrekt eingerichtet war. Er hackte den Netzwerkschlüssel und erlangte Zugriff auf ungefähr alles im Netzwerk, einschließlich einiger Geräte zur Datenspeicherung und -analyse. Dabei ist Lozhkin auch auf einen tomografischen Scanner gestoßen, der über das lokale Netzwerk zugänglich war. Das Gerät speicherte großen Datenmengen über verschiedene (fiktive) Patienten (da die tatsächlichen Daten zuvor von den Verantwortlichen gesichert worden waren).

Indem Lozhkin im nächsten Schritt eine Sicherheitslücke einer Applikation ausnutzte, konnte er auf das Dateisystem und alle darin enthaltenen Daten zugreifen. An diesem Punkt angelangt, hätte Lozhkin viel Schaden anrichten können: er hätte Daten stehlen, ändern oder vernichten können und sogar den tomografischen Scanner knacken und funktionsuntüchtig machen können.

Als erste Sicherheitsmaßnahme hat Lozhkin daher empfohlen, einen qualifizierten Systemadministrator einzustellen, der gar nicht erst auf die Idee gekommen wäre, einen tomografischen Scanner sowie andere wichtige Gerätschaften mit einem öffentlichen Netzwerk zu verbinden. Allerdings ist das allein noch keine Lösung für das Problem, denn Schuld an dem hohen Sicherheitsrisiko tragen in erster Linie die Entwickler des Gerätes. Sie hätten mehr in die IT-Sicherheit ihres Produktes investieren müssen.

Wer ist Schuld daran und was können wir tun?

Lozhkins Bericht macht deutlich, dass viel getan werden muss, um die IT-Sicherheit medizinischer Geräte zu gewährleisten. Inbesondere zwei Personengruppen sollten sich intensiver mit dieser Problematik auseinandersetzen — Entwickler medizinischer Geräte und die Vorstände von Krankenhäusern.

http://twitter.com/samgadjones/status/697024521166004228/photo/1

Entwickler sollten unbedingt IT-Sicherheitstests für ihre Geräte durchführen und sicherstellen, dass eventuelle Schwachstellen rechtzeitig behoben werden. Die Vorstände sollten die Netzwerksicherheit gewährleisten und sich versichern, dass kritische Infrastrukturausrüstung unter keinen Umständen mit einem öffentlichen Netzwerk verbunden wird.

Beide Gruppen müssen IT-Sicherheitstests und -revisionen einführen. Krankenhäuser können Penetrationstests machen — Entwickler sollten vor Markteinführung ihres Produktes umfangreiche Sicherheitsprüfungen durchführen.