Krankenhäuser im Jahr 2016 unter Beschuss

Das Jahr 2016 begann mit einer recht hohen Zahl an Sicherheitsvorfällen, die auf Hacks in Krankenhäusern und von medizinischer Ausrüstung zurückzuführen sind. Dazu gehört auch eine Ransomware-Attacke auf ein Krankenhaus in Los Angeles. Dasselbe passierte in zwei deutschen Krankenhäusern. Außerdem gab es einen Fall von Eindringen in ein System zur Patientenüberwachung und Medikamentendosierung, einen Angriff auf ein Krankenhaus in Melbourne und so weiter und so fort – und das alles in den ersten zwei Monaten des Jahres 2016! Das sollte der Sicherheitsbranche eindeutig zu denken geben.

Allerdings ist es auch nicht wirklich eine Überraschung. Die IoT-Industrie ist auf dem Vormarsch, und die Medizingeräte-Branche verursacht dabei hinsichtlich der Sicherheitsfragen die größten Bauchschmerzen. Moderne medizinische Geräte sind vollfunktionale Computer mit Betriebssystemen und darauf installierten Apps. Die meisten Geräte verfügen über einen Kommunikationskanal zum Internet, externe Netzwerke und verschiedene Typen von kundenspezifischen cloudbasierten Servern. Diese Geräte sind voller raffinierter, hochmoderner Technologien, die nur zu einem Zweck entwickelt wurden: den Ärzten dabei zu helfen, ihre Patienten bestmöglich zu behandeln. Doch so wie alle anderen Industriesysteme werden auch diese Geräte mit einem Fokus auf diese Technologien entwickelt: Sie sollen exakt sein, sie sollen vom Standpunkt der medizinischen Wissenschaft aus hilfreich sein, aber der Sicherheitsaspekt kommt erst an dritter Stelle. Und genau das bereitet uns jetzt Sorgen. Schwachstellen in der Softwarearchitektur und im Programmdesign, unsichere Autorisierung, unverschlüsselte Kommunikationskanäle und schließlich kritische Softwarebugs – all das führt zu potenziellen Gefährdungen.

Unautorisierter Zugriff auf diese Geräte könnte ernsthafte Auswirkungen haben und nicht nur zum Diebstahl persönlicher Daten führen – so wichtig dieser Aspekt auch ist –, sondern auch direkt die Gesundheit oder sogar das Leben der Patienten gefährden. Manchmal ist es geradezu gruselig, wie einfach es ist, sich in ein Krankenhaus zu hacken, dort persönliche Informationen von einem medizinischen Gerät zu stehlen oder sich Zugriff auf dieses Gerät zu verschaffen – und gleichzeitig auch Zugriff auf das Dateisystem oder die Benutzeroberfläche zu erhalten. Stellen Sie sich einmal folgendes Szenario vor, das man wirklich als „zielgerichtete Attacke“ bezeichnen kann: Cyberkriminelle mit uneingeschränktem Zugriff auf die medizinische Infrastruktur einer bestimmten Einrichtung sind in der Lage, die Diagnoseergebnisse oder die Behandlungssysteme zu manipulieren. Da die Ärzte in einigen Fällen stark von diesen fortschrittlichen medizinischen Systemen abhängig sind, könnte eine solche Manipulation dazu führen, dass der Patient falsch behandelt wird und sich sein Zustand verschlechtert.

In der Studie, die ich auf dem Kaspersky Security Analysts Summit vorgestellt habe, erläuterte ich anhand eines Beispiels, wie einfach es war, ein solches Krankenhaus zu finden, Zugriff auf seine internen Netzwerke zu erhalten und mir schließlich die Kontrolle über einen Kernspintomographen zu verschaffen. Auf ihm fand ich die persönlichen Daten von Patienten, Informationen zu ihrer Krankengeschichte und den Behandlungsprozeduren, und konnte anschließend sogar auf das Dateisystem des Gerätes zugreifen. Das Problem liegt nicht allein in dem schwachen Schutz von medizinischer Ausrüstung, sondern es ist viel weiter gefasst – die gesamte IT-Infrastruktur moderner Krankenhäuser ist nicht ordentlich organisiert und geschützt, und dieses Problem existiert weltweit.

Schauen wir uns einmal an, wie Cyberkriminelle solche Attacken durchführen könnten. Ich habe in meinem Vortrag über den korrekten Schutz einer medizinischen Einrichtung drei grundlegende Fehler besonders hervorgehoben:

Erstens: Verbindung zum Internet ohne jegliche Autorisierung

Es gibt verschiedene Wege, angreifbare Geräte zu finden, beispielsweise indem man die Suchmaschine Shodan benutzt. Mit den richtigen Suchanfragen an Shodan findet man tausende medizinische Geräte, die am Internet hängen: Ein Hacker könnte Kernspin-Scanner, Radiologie-Ausrüstung, radioaktives medizinisches Equipment und andere fachbezogene Geräte entdecken, die alle mit dem Internet verbunden sind. Viele dieser Geräte laufen noch unter dem Betriebssystem Windows XP und haben Dutzende alte, ungepatchte Schwachstellen, die zur kompletten Kompromittierung eines entfernten Systems führen könnten. Überdies haben diese Geräte in einigen Fällen nicht geänderte Standard-Passwörter, die problemlos in im Internet veröffentlichten Anleitungen zu finden sind.

hospitals_1

Suchergebnisse bei Shodan

Als ich meine Untersuchungen und Pen-Tests an einem realen Krankenhaus durchführte, fand ich einige Geräte, die mit dem Internet verbunden waren. Sie waren jedoch recht gut geschützt: keine Standard-Passwörter, keine Sicherheitslücken in den Webcontrol-Interfaces und so weiter. Doch selbst wenn die Einrichtung Internet-seitig geschützt ist, würde das einen Cyberkriminellen nicht davon abhalten, nach anderen Einbruchs-Methoden zu suchen, wenn es sein erklärtes Ziel wäre, auf was auch immer Zugriff zu erhalten.

Und hier der zweite Fehler: Die Geräte sind nicht vor dem Zugriff von lokalen Netzwerken aus geschützt.

In meinem Fall war ich gerade auf dem Weg zum Krankenhaus und entdeckte eine Reihe von Wi-Fi-Zugriffspunkten, die zu dem Krankenhaus gehörten. Einer davon hatte ein schwaches Wi-Fi-Passwort, das ich innerhalb von zwei Stunden knacken konnte. Mit diesem Passwort konnte ich mir Zugriff zum internen Krankenhaus-Netzwerk verschaffen, und ich fand dasselbe medizinische Equipment, das ich vorher im Internet gefunden hatte, allerdings mit einem großen Unterschied: Jetzt war ich in der Lage, mich mit den Geräten zu verbinden, da das lokale Netzwerk ein vertrauenswürdiges Netzwerk für sie war. Die Hersteller von medizinischen Geräten schützen diese, wenn sie ein ganzes System entwickeln, vor externem Zugriff. Aber aus irgendeinem Grund meinten sie wohl, dass – wenn jemand versucht, intern darauf zuzugreifen – es standardmäßig vertrauenswürdig ist. Das ist komplett falsch – man sollte sich nicht auf lokale Systemadministratoren verlassen und darauf, wie sie den internen Netzwerkschutz eines Krankenhauses organisieren.

Hier tritt der dritte Fehler zutage: Sicherheitslücken in der Software-Architektur.

Als ich mich mit einem Gerät verband und den standardmäßigen Login-Bildschirm passiert hatte, erhielt ich umgehend Zugriff auf die Steuerungsschnittstelle und die persönlichen Daten und Diagnoseinformationen der Patienten des Krankenhauses. Aber das ist es gar nicht, was meine Aufmerksamkeit erregte. In die Benutzeroberfläche war eine Command Shell implementiert, die mir Zugang zu dem Dateisystem auf dem Gerät verschaffte.

hospitals_2

Ergebnis einer Kernspintomographie eines Patienten

Meiner Meinung nach ist das eine grundlegende Schwachstelle im Programmdesign. Es gab überhaupt keinen entfernten Zugriff – doch warum haben die Softwareentwickler diese Möglichkeit dann eingebaut, um Kommandozeilen-Zugriff auf das Interface des Arztes bereitzustellen? Diese Option hat hier definitiv standardmäßig nichts zu suchen. Genau das habe ich schon zu Beginn zum Ausdruck gebracht: Man kann einen zuverlässigen Schutz von einer Seite gewährleisten, aber es könnte daran scheitern, dass man andere Seiten komplett außer Acht lässt. Und jemand, der einen Angriff plant, wird so etwas höchstwahrscheinlich entdeckten, um dann das gesamte Gerät zu kompromittieren.

Der zweite Grund zur Sorge bezüglich Softwareschwachstellen betrifft natürlich veraltete Betriebssystemversionen und Schwierigkeiten beim Patch-Management. Hier handelt es sich um eine komplett andere Umgebung als in einer Standard-IT-Infrastruktur für PCs oder mobile Geräte – man kann nicht einfach einen Patch für eine Sicherheitslücke herausgeben und ihn dann auf medizinische Geräte hochladen. Es ist vielmehr ein komplexer manueller Prozess, und in vielen Fällen bedarf es eines qualifizierten Ingenieurs seitens des Krankenhauses, um ein System upzugraden und zu testen, ob die Geräte nach dem Update auch noch reibungslos funktionieren. Das kostet Zeit und Geld, daher ist es unerlässlich, ein von Grund auf und von Anfang an – in der Entwicklungsphase – geschütztes System zu kreieren, mit so wenig Programm-Sicherheitslücken wie möglich.

Die Anbieter von medizinischer Ausrüstung und die IT-Teams der Krankenhäuser sollten dem Aspekt Cybersicherheit große Aufmerksamkeit widmen, denn im cyberkriminellen Untergrund stehen sie mittlerweile auf der Liste der lohnenden Ziele. Wir werden es künftig immer häufiger mit Angriffen auf medizinische Einrichtungen zu tun bekommen, darunter auch zielgerichtete Attacken, Ransomware-Infektionen, DDoS-Attacken und sogar Angriffe, die darauf abzielen, medizinische Geräte physisch zu beschädigen. Doch schließlich wird nun auch die Branche selbst aktiv. So hat beispielsweise die US-amerikanische Food and Drug Administration (FDA) einen Leitfaden herausgebracht, in dem wichtige Sicherheitsmaßnahmen beschrieben werden, die die Hersteller von medizinischen Geräten umsetzen sollten, um Cyberbedrohungen dauerhaft zu vermeiden und damit die Patienten und die öffentliche Sicherheit besser zu schützen.

Ich möchte an dieser Stelle den IT-Mitarbeitern in Krankenhäusern einige Empfehlungen geben:

  • Seien Sie sich dessen bewusst, dass Cyberkriminelle jetzt auch medizinische Einrichtungen angreifen. Lesen Sie Berichte über diese Vorfälle und versuchen Sie herauszufinden, ob diese Angriffsmethoden auch Ihre eigene Infrastruktur gefährden könnten.
  • Halten Sie sich so strikt wie möglich an die bei Ihnen geltenden IT-Sicherheitsregeln und entwickeln Sie ein zeitlich gesteuertes Patch-Management ebenso wie Regeln zur Schwachstellenbewertung.
  • Konzentrieren Sie sich nicht nur darauf, Ihre Infrastruktur vor externen Bedrohungen wie Malware oder Hackerangriffen zu schützen, sondern auch darauf, die strikte Kontrolle darüber zu bewahren, was innerhalb Ihres lokalen Netzwerks vor sich geht, wer worauf Zugriff hat sowie über alle anderen Dinge, die dazu führen könnten, dass Ihre lokalen Systeme kompromittiert werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.