“Vernetzte” Medizin und ihre Diagnose

Medizinische Daten migrieren langsam, aber unaufhaltsam von der Papierform in die “digitale” Infrastruktur medizinischer Einrichtungen. Heute sind sie gleichmäßig über Datenbanken, Portale, medizinisches Equipment und so weiter “verstreut”. Dabei wird der Sicherheit der Netzinfrastruktur solcher Organisationen in manchen Fällen keine Aufmerksamkeit geschenkt, und auf die Ressourcen, die die medizinischen Daten verarbeiten, kann von außerhalb zugegriffen werden.

Die Ergebnisse einer Untersuchung, über die wir hier bereits berichtet haben, gaben uns Anlass, eine detailliertere Analyse des Sicherheitsproblems medizinischer Einrichtungen von innen heraus durchzuführen (selbstverständlich mit dem Einverständnis ihrer Betreiber), um die Fehler herauszuarbeiten und den IT-Experten, die die medizinische Infrastruktur betreuen, eine Reihe von Empfehlungen zu geben.

Falsche Diagnostik – der erste Schritt zum tödlichen Ausgang

Die Gewährleistung der Datensicherheit in der Medizin ist ein ernsthafteres Problem als es auf den ersten Blick den Anschein haben mag. Das offensichtlichste Szenario – der Diebstahl und Verkauf der Daten auf dem Schwarzmarkt – ist weitaus weniger erschreckend als die Möglichkeit, dass Cyberkriminelle die Diagnosedaten verändern könnten. Ganz unabhängig davon, welches Ziel die Verbrecher verfolgen (Erpressung von Lösegeld von den Betreibern der Klinik oder eine zielgerichtete Attacke auf konkrete Patienten), die Patienten erwartet nichts Gutes: Wenn sie falsche Daten erhalten haben, könnte es sein, dass die Ärzte auch die falsche Therapie zur Heilung wählen. Selbst wenn der Austausch der Daten rechtzeitig bemerkt wird, könnte der normale Betrieb der medizinischen Einrichtung behindert werden, da nun alle Informationen auf ihre Richtigkeit geprüft werden müssten, die in der kompromittierten Ausrüstung gespeichert sind.

Laut einem Bericht des Centers for Disease Control and Prevention (CDC) sind medizinische Fehler die dritthäufigste Todesursache in den USA. Das Erstellen einer richtigen Diagnose hängt neben der Qualifikation des Arztes auch von der Richtigkeit der Daten ab, die von dem medizinischen Gerät geliefert und auf den medizinischen Servern gespeichert werden. Und das bedeutet, dass diese Ressourcen der “vernetzten Medizin” für Cybergangster von großem Interesse sind.

Was ist “vernetzte” Medizin?

Dieser Terminus umfasst eine Vielzahl von Workstations, Servern und speziellem medizinischen Equipment, die an das Netzwerk einer medizinischen Einrichtung angeschlossen sind (ein vereinfachtes Modell ist auf der Abbildung unten dargestellt).


Topologie eines Netzwerks der “vernetzten Medizin”

Moderne medizinische Diagnosegeräte können an das lokale Netz einer Organisation oder beispielsweise via USB an Workstations angeschlossen werden. Recht häufig verarbeiten sie Daten (beispielsweise Aufnahmen des Patienten) im DICOM-Format, dem Branchenstandard für Bilder und Dokumente. Zur Speicherung und um zu gewährleisten, dass auf diese Bilder und Dokumente von außen zugegriffen werden kann, wird das PACS-System verwendet (Picture Archiving and Communication System), das ebenfalls für Cyberkriminelle von Interesse sein könnte.

Empfehlung Nr. 1: Verhindern Sie, dass auf die Knoten, die medizinische Daten verarbeiten, öffentlich zugegriffen werden kann

Eine offensichtliche Tatsache: Medizinische Daten sollten ausschließlich innerhalb des lokalen Netzwerks der Einrichtung verfügbar sein. Doch zum gegenwärtigen Zeitpunkt kann auf mehr als tausend DICOM-Geräte öffentlich zugegriffen werden, wie eine Statistik belegt, die mit Hilfe des Suchsystems Shodan erstellt wurde.


Geografische Verbreitung von DICOM-Geräten (Daten stammen vom Suchdienst Shodan)

In der Regel sind alle erdenklichen PACS-Server “öffentlich zugreifbar”, auf denen sich (für Cyberkriminelle) wertvolle Informationen befinden. Man sollte PACS-Systeme unbedingt innerhalb des Unternehmensperimeters belassen, sie vor unautorisierter Nutzung durch Dritte abschirmen und regelmäßig Backups der darauf befindlichen Inhalte erstellen.

Empfehlung Nr. 2: Geben Sie Ihren Ressourcen keine “sprechenden” Namen

Schon während des Auskundschaftens kann ein Angreifer wichtige Daten für die Attacke sammeln. So könnte er beispielsweise bei der Aufzählung der verfügbaren Ressourcen bereits die Namen der internen Ressourcen (Server und Workstations) herausfinden und dank dieser bestimmen, welche Knoten im Netz für ihn von Interesse sind und welche nicht.


Daten über Ressourcen im lokalen Netzwerk einer Organisation, die mit Hilfe offener Quellen gesammelt wurden

Als Beispiel für solche “interessanten” Ressourcen könnten Datenbankserver und andere “Sammelplätze” medizinischer Informationen dienen. Zudem könnte ein Angreifer, der offensichtliche Ressourcennamen benutzt, Workstations mit angeschlossenen medizinischen Geräten finden.


Beispiel für eine unglückliche Namensgebung interner Ressourcen im lokalen Netzwerk einer medizinischen Einrichtung, die einem Angreifer verrät, wo sich wertvolle Daten befinden

Um den Cyberangreifern das Leben schwer zu machen, sollte man unbedingt auf sprechende Namen verzichten. Es gibt sogar Empfehlungen zur Namensgebung von Workstations und Servern, die von angesehenen Organisationen zusammengestellt wurden.

Empfehlung Nr. 3: Aktualisieren Sie regelmäßig die installierte Software und löschen Sie überflüssige Programme

Bei einer Analyse der Software, die auf den Knoten installiert sind, die wertvolle Informationen verarbeiten, könnten Angreifer viele potentielle Eintrittspunkte finden. In dem unten dargestellten Beispiel ist auf einer Workstation eine Reihe von Programmen installiert, die überhaupt nichts mit Medizin zu tun haben (der Wurm W32.Mydoom und der Gameserver Half-Life Engine). Außerdem stehen auf der Liste einige Programme, die kritische Sicherheitslücken enthalten, für die bereits Exploits veröffentlicht wurden.


Beispiel für Software, die auf einer Workstation installiert ist, die mit medizinischem Gerät vernetzt ist

Ein weiteres Beispiel für einen solchen unverantwortlichen Ansatz ist die Installation von Dritt-Software auf einem Server, der für die Funktionsfähigkeit des Webportals verantwortlich ist, das Ärzten und Patienten den entfernten Zugriff auf medizinische Daten ermöglicht.


Auf einem Server mit installierter App zum Ansehen von DICOM-Bildern befindet sich ebenfalls Dritt-Software

Um die Möglichkeit auszuschließen, dass über Drittsoftware auf die Daten zugegriffen wird, muss regelmäßig eine Inventarisierung sowie ein Update der installierten Programme durchgeführt werden. Auf den Workstations, die mit medizinischem Equipment verbunden sind, darf sich nichts Überflüssiges befinden.


Beispiel für ein angreifbares Webportal, das kritische Sicherheitslücken enthält, die zu medizinischen Daten führen

Empfehlung Nr. 4: Verzichten Sie darauf, hochpreisiges medizinisches Gerät mit dem lokalen Hauptnetzwerk der Organisation zu verbinden!

Medizinische Ausrüstung die zu Diagnosezwecken oder für Operationen verwendet wird, ist meist sehr teuer und für ihre Wartung (z.B. die Kalibrierung) muss der Betreiber häufig erhebliche Summen aufwenden.

Ein Cyberverbrecher, der sich darauf oder auf eine Workstation, die mit solcher Ausrüstung verbunden ist, Zugriff verschafft, könnte:

  • medizinische Daten direkt aus dem Gerät auslesen;
  • die Diagnoseinformationen austauschen (Spoofing);
  • die Konfiguration durcheinanderbringen, was zur Ausgabe nicht vertrauenswürdiger Informationen oder zum zeitweisen Ausfall des Gerätes führen könnte.

Um sich Zugriff auf die Daten zu verschaffen, die ein Gerät ausgibt, muss ein Angreifer lediglich nach einer speziellen Software suchen.


In der Liste der auf einer Workstation installierten Software könnte ein Angreifer die medizinischen Anwendungen heraussuchen und die Funktionsparameter des Equipments verändern

Um unautorisierten Zugriff auf die Ausrüstung zu verhindern, müssen alle medizinischen Geräte und die mit ihnen verbundenen Workstations in einem separaten Segment des lokalen Netzwerks untergebracht werden und alle Ereignisse, die in diesem Segment passieren, müssen aufmerksam verfolgt werden (siehe auch Empfehlung Nr. 5).

Empfehlung Nr. 5: Stellen Sie sicher, dass schädliche Aktivität im lokalen Netz rechtzeitig erkannt wird

Wenn es keine Möglichkeit gibt, Schutzlösungen direkt auf dem Gerät selbst zu installieren (in manchen Fällen verfällt die Herstellergarantie, wenn irgendwelche Veränderungen auf Betriebssystemebene vorgenommen werden), müssen unbedingt alternative Varianten zur Erkennung und/oder Abwehr von Cyberangreifern angewandt werden. Eine dieser Lösungen stellen wir in dem Bericht “Deceive in order to detect” vor.

Auf der schützenden Seite könnten verschiedene spezialisierte Fallen eingerichtet werden – Knoten des lokalen Netzwerks, die medizinische Ausrüstung imitieren. Jeder nicht sanktionierte Zugriff darauf könnte ein Signal dafür sein, dass irgendjemand das Netzwerk kompromittiert hat, und das bedeutet, dass die IT-Abteilung der medizinischen Einrichtung unbedingt entsprechende Maßnahmen ergreifen sollte.

Es gibt eine Vielzahl von Möglichkeiten und Methoden, schädliche Aktivität zu erkennen und es ergibt keinen Sinn, diese in Form von Empfehlungen aufzuzählen: Jede IT-Abteilung wählt die Technologien, Produkte und Strategien zur Gewährleistung der IT-Sicherheit aufgrund einer Vielzahl von Faktoren aus (z.B. Größe des Netzwerks, Wichtigkeit der Ressourcen, zur Verfügung stehendes Budget usw.). Doch dabei darf man das Wichtigste nicht vergessen: Das Fehlen von Schutzmechanismen in einer medizinischen Infrastruktur kann Patienten das Leben kosten.

Ähnliche Beiträge

Leave a Reply

Your email address will not be published. Required fields are marked *