Herausforderungen für die Sicherheit in mit dem Internet verbundenen Krankenhäusern

Originalbeitrag von Mayra Rosario Fuentes und Numaan Huq, Senior Threat Researcher

Trend Micros Sicherheitsforscher haben in Zusammenarbeit mit HITRUST die Sicherheit in Krankenhäusern mit über das Internet verbundenen medizinischen Geräten und Systemen, wie Datenbanken, Admin-Konsolen und andere, analysiert. Des Weiteren untersuchten sie auch die Lieferkette, die einen häufig unterschätzten Angriffsvektor darstellt.

Aufgrund der durchgeführten Recherchen zu den Bedrohungen für Krankenhäuser, konnten die Sicherheitsforscher drei Bereiche ausmachen, in denen das Risiko, von Cyberkriminellen angegriffen zu werden, sehr hoch ist.

  • Krankenhausbetrieb — Dazu gehören Cyberbedrohungen für täglich verwendete kritische Systeme, wie etwa Mitarbeiterplanungsdatenbanken, Paging-Systeme, Gebäudekontrollsysteme, Inventur-, Gehalts- und Administrationssysteme etc.
  • Vertraulichkeit der Daten — Dazu gehören Cyberbedrohungen für verschiedene Datentypen wie persönlich identifizierbare Informationen (PII), sowohl von Patienten als auch Angestellten, einschließlich Diagnose- und Behandlungsdaten, Versicherungs- und finanzielle Informationen, Forschung und Daten von Arzneimitteltests; Gehaltsinformationen, geistiges Eigentum und andere.
  • Gesundheit der Patienten — Dazu gehören Cyberbedrohungen für medizinische Geräte und Systeme, die bei der Behandlung, fürs Monitoring und die Diagnose genutzt werden, aber auch Bedrohungen für Informationssysteme des Krankenhauses.

Es ist sinnvoll zu untersuchen, warum Krankenhäuser häufig eine mangelhafte Cybersicherheit aufweisen. Zu den möglichen Gründen gehören folgende:

  • Die primäre Zielsetzung einer Gesundheitseinrichtung ist die Patientenversorgung, und deshalb wird der Hauptteil der Ressourcen hier investiert, sodass nur ein Restbudget für die Cybersicherheit übrigbleibt.
  • Die Computer und die Diagnosegeräte im Krankenhaus haben viele Nutzer, wie Ärzte, Krankenschwestern und Techniker, die regelmäßig wechseln. Damit aber wird die Umsetzung von strikten Sicherheits-Policies und Authentifizierungsprozeduren schwierig, vor allem dann, wenn dadurch der tägliche Ablauf behindert wird.
  • Diagnosegeräte sind extrem teuer, und Krankenhäuser können es sich nicht leisten, diese für Wartung über längere Zeiträume hinweg vom Netz zu nehmen. In einigen Fällen verfällt beim Ändern von Settings oder dem Update des Embedded-Betriebssystems die Zertifizierung, Garantie und Versicherung des Geräts. Deshalb werden die Geräte nicht angefasst.
  • Die teuren Diagnostikgeräte werden nicht regelmäßig ersetzt. Solange sie korrekt funktionieren, bleiben sie im Einsatz, auch wenn der Support abgelaufen ist.
  • Die Hersteller von Diagnosegerätschaft sind dafür verantwortlich, dass ihre Produkte den HITRUST CSF®-Richtlinien für medizinische Geräte entsprechen. Da die CSF regelmäßig upgedatet werden, entsprechen die Geräte in den Krankenhäusern den Anforderungen häufig nicht mehr.
  • Nicht alle Krankenhäuser haben ein dediziertes Cybersecurity Response Team. In den meisten Einrichtungen tragen die IT-Mitarbeiter eine doppelte Verantwortung: Sie untersuchen Cyberangriffe und sind für die Wiederherstellung zuständig, aber liefern auch die allgemeinen IT-Services für das Krankenhaus— eine nicht tragbare Doppelbelastung.

Die Trend Micro-Sicherheitsforscher nutzten zum Auffinden von exponierten Geräten in Krankenhäusern Shodan, eine Search Engine für über das Internet verbundene Geräte. Sie fanden exponierte Digital Imaging and Communications in Medicine (DICOM®)-Systeme, einschließlich derer, die 21 Universitäten gehörten. Diese Systeme können Bilder für Prozeduren wie CT (Computertomographie, MRI (magnetisches Resonanz-Imaging) und PET (Positron Emission Tomography), Ultraschall, Durchleuchten, Fluoroskopie, Angiographie, Mammographie sowie Endoskopie liefern.

Den Ergebnissen in Shodan zufolge, gibt es in den USA die meisten exponierten DICOM-Server. Doch bedeutet Exponiertheit nicht automatisch, dass diese Systeme auch angreifbar sind. Dennoch sollten sie nicht allgemein sichtbar sein.

Bild 1. Top 20 Länder mit exponierten DICOM-Servern

Bild 2. Exponierte Benutzerschnittstellen für die Verwaltung von Patientendaten mit verschiedenen persönlichen identifizierbaren Informationen (PII)

Die Forscher fanden auch exponierte elektronische medizinische Datensätze. Bemerkenswert war zudem die Häufigkeit der gefundenen Apotheken-Managementsoftware-Schnittstellen. Die spezialisierte Software wird von Apotheken für verschiedene integrierte Managementfunktionen, wie Arzneimittelbestand, -Bestellungen, Nachverfolgung von Betäubungsmitteln, Patientendaten und deren Rezepte und vieles mehr verwendet. Auch fanden die Experten Systeme für Termine mit Patienten, deren Diagnoseinformationen dort enthalten waren.

Bild 3. Exponierte Apotheken-Managementsoftware

Ein weiterer durchleuchteter Aspekt in den Gesundheitsnetzwerken waren Bedrohungen für die Lieferkette von Krankenhäusern. Diese stellt durch die Partnerschaften mit Lieferanten von Waren und Services ein potenzielles Risiko dar, da hier Angreifer vertrauliche oder sensible Informationen exfiltrieren können, unerwünschte Funktionen einfügen, den täglichen Betrieb stören, Daten manipulieren, bösartige Software installieren oder manipulierte Geräte einfügen. 2016 waren 30 Prozent der Diebstähle auf Einbrüche bei Drittanbietern zurückzuführen.

Diese Partnerunternehmen haben Credentials, einschließlich Logins, Passwörter und Badge-Zugang, und die können kompromittiert werden. Auch können sie physische Records, medizinische Geräte und Büro-Equipment speichern. Krankenhäuser benötigen eine robuste Lieferkette, um Patienten einen unterbrechungsfreien Service zu bieten. Daher ist der Schutz für Krankenhaus-Lieferketten gegen Cyberattacken eine kritische Notwendigkeit.

Weitere Einzelheiten zur Untersuchung liefert das Whitepaper Securing Connected Hospitals: A Research on Exposed Medical Systems and Supply Chain Risks.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.