„How I hacked my hospital“: Verwundbare Krankenhaus-IT

Ein Experiment von Kaspersky Lab mit dem Titel "How I hacked my hospital" zeigt: Cybererpressung über Ransomware ist nicht der einzige wunde Punkt innerhalb der Krankenaus-IT. Auch Patientendaten und Geräte sind angreifbar. [...]

Vor einigen Tagen wurde bekannt, dass deutsche Krankenhäuser mit Ransomware-Vorfällen zu kämpfen hatten. Die Folge: zeitweise mussten Befunde per Telefon oder Fax anstatt digitalisiert übermittelt werden. Während ein Krankenhaus in den USA das geforderte Lösegeld bezahlte, um die vom Erpressertrojaner verschlüsselten Dateien wieder freizubekommen, rät das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) Betroffenen von Lösegeldzahlungen ab.

Cyberangriffsszenarien auf Krankenhäuser gehen allerdings über Ransomware-Angriffe hinaus. Über IT-Sicherheitslücken können Patientendaten manipuliert oder entwendet werden. „Hinzu kommt, dass in Krankenhäusern modernste medizinische, mit Computertechnologie ausgestatte Geräte zum Einsatz kommen. Dabei werden oftmals erforderliche IT-Schutzvorkehrungen vernachlässigt“, erklärt Holger Suhl, General Manager DACH bei Kaspersky Lab. „Dadurch könnten Cyberkriminelle Zugriff auf solche Geräte und beispielsweise auch auf sensible Patientendaten erhalten. Im schlimmsten Fall wäre auch eine Neukonfiguration der Geräte und somit Sabotage oder gefälschte Diagnosen denkbar.“

Kaspersky-Experte Sergey Lozhkin konnte in einem Experiment aufzeigen, dass Krankenhäuser über ihre IT-Infrastruktur angreifbar sind. Über Shodan — eine Suchmaschine für das Internet der Dinge (IoT) — stieß der Sicherheitsforscher auf medizinische Geräte, die sich in einem Krankenhaus befinden. Der Geschäftsführer des Krankenhauses ist mit Lozhkin befreundet.

Lozhkin und eben jener Geschäftsführer des Krankenhauses beschlossen, einen Sicherheitstest durchzuführen, um herauszufinden, ob ein Cyberangriff auf ein Krankenhausnetzwerk grundsätzlich möglich ist. Der Test fand unter strengsten Rahmenbedingungen statt. Patienten sowie deren sensible Daten wurden hermetisch abgeschirmt und somit vor dem künstlichen Cyberangriff geschützt. Für den Test wurden speziell Daten geschaffen – die Patienteninformationen imitieren – und im Netzwerk platziert.  Somit wurde sichergestellt, dass keine realen Patientendaten betroffen waren.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Der erste Versuch scheiterte: Lozhkin war es nicht gelungen, das Krankenhaus von außerhalb zu kompromittieren, da die Systemadministratoren der Klinik bei dem Fernangriffsversuch die richtigen Sicherheitsmaßnahmen trafen. Allerdings konnte der Kaspersky-Sicherheitsforscher über ein nicht sicher eingerichtetes lokales WLAN-Netz in die Infrastruktur des Krankenhauses eindringen. Indem er den Netzwerkschlüssel knackte, war er in der Lage, auf beinahe das komplette Kliniknetzwerk zuzugreifen, einschließlich einiger Geräte zur Datenspeicherung und -analyse. Über eine Applikationsschwachstelle konnte er zudem auf einen tomographischen Scanner zugreifen. Die Folgen eines möglichen Cyberangriffs wären fatal: Neben der Manipulation von Patientendaten hätte auch der Scanner direkt attackiert werden können.

SICHERHEITSMASSNAHMEN FÜR KRANKENHÄUSER

Kaspersky Lab rät Organisationen, die sensible Infrastruktursysteme unterhalten, neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk auf folgende Security-Aspekte zu achten:

  • Sensible Geräte und Systeme wie zum Beispiel medizintechnische Geräte müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen innerhalb des Internets der Dinge wird mehr Sicherheit geschaffen.
  • Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit verstärkt auseinander setzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
  • Auf Security-Schwachstellen achten: Entwickler von IoT-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ geachtet werden. (pi)

Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*