Krank werden ist doppelt gefährlich: medizinische Ausrüstung ist anfällig für Hacker

Gehackte medizinische Geräte können Patienten die Gesundheit oder das Leben kosten.

Fast jeder Cyberangriff hat ein und dasselbe Ziel —Geld zu stehlen. Eine große Anzahl an Geräten ist verknüpft und daher kann ein kompromittiertes Device weitaus ernstere Konsequenzen haben als einen Geldverlust. Was ist mit der Gesundheit und dem Leben der Menschen?

Vernetzte Autos sind ein perfektes Beispiel. Die Kontrolle über ein fahrendes Auto zu übernehmen kann leicht zu einem Autowrack führen. Intelligente medizinische Ausrüstung ist auch gefährdet. Geräte, die dazu entwickelt wurden, uns fit und gesund zu halten, können auch für gegenteilige Zwecke verwendet werden.

Bis jetzt ist uns noch kein dokumentierter Fall bekannt, in dem kompromittierte medizinische Ausrüstung die menschliche Gesundheit gefährdet hat. Jedoch finden Experten immer mehr neue Schwachstellen in medizinischen Geräten, einschließlich Defekte, die verwendet werden können, um Menschen ernsthaften Schaden zuzufügen.

Da es etwas Anderes ist, jemandem finanziell zu schaden, als ihm physischen Schaden zuzufügen, bleibt zu hoffen, dass Hacker aus ethischen Gründen davon absehen, sich die Schwachstellen zunutze zu machen. Wahrscheinlicher ist jedoch, dass Kriminelle allein deswegen nicht auf solche Methoden zurückgreifen, weil sie (noch) nicht wissen, wie sie von solchen Angriffen Nutzen ziehen.

Genau genommen haben Cyberkriminelle wiederholt Krankenhäuser mit Trojanern und anderer verbreiteter Malware angegriffen. Zum Beispiel gab es Anfang dieses Jahres mehrere Ransomware-Infektionen in verschiedenen Gesundheitszentren in den USA, einschließlich dem Hollywood Presbyterian Medical Center in Los Angeles.

Das Krankenhaus in Los Angeles zahlte 17.000 $, um seine Datensätze zurückzuerhalten. Als das Kansas Heart Hospital auf eine ihm gestellte Lösegeldforderung einging, gaben die Betrüger die verschlüsselten Daten jedoch nicht frei und verlangten stattdessen mehr Geld. Sie sehen also, dass man nicht auf die ethischen Grundsätze von Kriminellen setzen kann: sie werden nicht davor zurückschrecken, medizinische Einrichtungen anzugreifen, sobald sie einen Weg finden, einfach an Geld zu kommen.

Medizinische Ausrüstung muss geprüft und zertifiziert werden — aber nur, was die medizinischen Aspekte betrifft — nicht unter dem Gesichtspunkt der Cybersicherheit. IT-Sicherheitsvoraussetzungen zu erfüllen, wird natürlich empfohlen, liegt jedoch im Ermessen des Verkäufers. Das Ergebnis ist, dass ein Teil der Krankenhausausrüstung offensichtliche Fehler aufweist, die kompetenten IT-Spezialisten schon lange bekannt sind.

Das US-Bundesamt Food and Drug Administration reguliert den Verkauf von medizinischen Geräten und deren Zertifizierungen. Um zu versuchen, sich der Entwicklung der Cyberumgebung anzupassen, veröffentlichte es Richtlinien für Hersteller und Gesundheitsdienstleister, um medizinische Geräte sicherer zu gestalten. Anfang 2016 wurde ein Entwurf eines ähnlichen Dokuments veröffentlicht. Aber alle Maßnahmen beider Dokumente haben lediglich eine beratende Funktion. Demnach ist es nicht verpflichtend, medizinische Geräte, die zum Retten von Leben unverzichtbar sind, zu sichern.

Schwerwiegende Unterlassung

Gerätehersteller könnten Experten für Cybersicherheit zur Beratung hinzuziehen, aber tatsächlich machen sie oftmals das Gegenteil: oft wollen Entwickler ihre Geräte nicht überprüfen lassen. Experten müssen selbst eine Ausrüstung aus zweiter Hand kaufen, um zu überprüfen, wie gut sie gesichert ist. Billy Rios zum Beispiel, der vernetzte Geräte in- und auswendig kennt, überprüft gelegentlich auch medizinische Geräte.

Vor zwei Jahren überprüfte Rios Infusionspumpen von Hospira, die an zehntausende Krankenhäuser auf der ganzen Welt ausgeliefert werden. Die Ergebnisse waren alarmierend: Die Medikamenten-Injektionspumpen ermöglichen es, Einstellungen zu verändern und Dosierungsgrenzen zu erhöhen. Dadurch kann dem Patienten eine höhere oder niedrigere Dosis des Medikaments injiziert werden. Das Ironische ist, dass diese Geräte als fehlerfrei beworben wurden.

Ein anderes anfälliges Gerät, das von Rios gefunden wurde, war die von dem Unternehmen CareFusion hergestellte Pyxis SupplyStation. Diese Geräte werden zur Dosierung von Arzneiwaren und Vereinfachung von Buchführung verwendet. 2014 fand Billy eine Schwachstelle, durch die jeder auf das System zugreifen konnte.

2016 richtete sich Rios wiederholt zusammen mit Mike Ahmadi (ein anderer Sicherheitsexperte) an Pyxis SupplyStation. Das Duo entdeckte mehr als 1400 Schwachstellen, von denen die Hälfte als gefährlich eingestuft wurde. Obwohl Drittentwickler Schuld an den meisten Fehlern waren und Experten nur alte Geräte der Pyxis SupplyStation untersuchten, sind diese Schwachstellen noch immer ein großes Problem.

Die Sache ist die, dass diese Produkte bereits das Ende ihres vorgesehenen Lebenszyklus erreicht hatten und Entwickler keine Sicherheitsaktualisierungen für sie anboten, obwohl sie weitverbreitet verwendet wurden. Stattdessen bot CareFusion neue Versionen dieser Lösung an. Organisationen, die keine Aktualisierung vornehmen wollten, erhielten eine Liste mit Tipps zur Verringerung der Risiken für diese gefährdeten Systeme.

Es ist schwer – und kostspielig – veraltete Geräte zu aktualisieren. So hatte Microsoft bereits den Support für die veralteten Betriebssysteme eingestellt, die auf diesen Geräten installiert waren, womit diese angreifbar wurden. Wie vorige Versionen von Pyxis SupplyStation, werden sie auf Windows 7 und neueren Versionen ausgeführt, und sind nicht für solche Fehler anfällig.

Kaspersky Lab stellte auch cyberstrukturelle Tests in Krankenhäusern bereit: unser Experte Sergey Lozhkin wurde gebeten, an einem Experiment teilzunehmen und medizinische Geräte zu hacken, einschließlich einen tomografischen Scanner.

Natürlich wurden alle oben genannten Fälle als Experimente durchgeführt, um zu zeigen, wie einfach Kriminelle dies wiederholen könnten, wenn sie wollten – und nicht, um Schaden anzurichten.

Wer ist schuld daran und was sollte unternommen werden?

Die Lebenszeit medizinischer Geräte ist länger als die eines Smartphones. Dutzende Jahre sind für ein teueres Gerät nicht viel. Darüber hinaus werden die neuesten Geräte, obwohl sie weniger anfällig sind als überholte Geräte, mit der Zeit so anfällig für Fehler wie ihre alten Pendants.

So erklärte dies Mike Ahmad: „Ich denke, dass es für einen Hersteller von medizinischen Geräten angemessen ist, einen festgelegten Lebenszyklus für medizinische Geräte und die Cybersicherheit dieser Geräte zu haben“.

Das Hacken von Pyxis SupplyStation hatte auch einen Vorteil. Die Entwickler ignorierten zunächst die Fehler, die von Rios gefunden wurden, jedoch wurde das Unternehmen später vom Giganten Becton Dickinson aufgekauft. Zwei Jahre später behandelte das neue Management Cyberexperten anders und unterstützte ihre Ergebnisse. Vielleicht werden in Zukunft Unternehmen der Fehlerbewältigung mehr Achtung schenken als sie es heute tun. Und wahrscheinlich werden sie mehrere Schwachstellen finden, bevor neue Geräte auf dem Markt erscheinen.

 

Tipps