Krankenhäuser gegen Cyberangriffe härten

Im September 2020 musste die Uniklinik Düsseldorf aufgrund eines Cyberangriffs die Notfallversorgung im Krankenhaus kurzfristig einstellen. Im März 2021 wurde die Evangelische Klinik in Lippstadt Opfer einer Cyberattacke. Den Klinikverbund „Medizin Campus Bodensee“ traf es im Januar 2022. Das sind nur einige Beispiele von vielen. Die Zahl der Angriffe auf die IT von Krankenhäusern und Gesundheitsnetzwerken wächst seit Jahren, denn Hacker haben auch die Gesundheitsinfrastruktur als lohnendes Ziel ausgemacht.

Bisher handelt es sich bei den Cyberangriffen vorwiegend um Ransomware-Attacken, bei denen Systeme und Daten verschlüsselt und erst gegen Zahlung von hohen Lösegeldern wieder freigegeben werden. Neuerdings werden dabei häufig sensible Daten vorher abgezogen und gedroht, sie bei Zahlungsunwilligkeit der Opfer im Darknet zu veröffentlichen. Die Konsequenzen solcher Angriffe sind aber nicht nur finanzieller Natur, sie betreffen beispielsweise auch die Reputation der Klinik. Aber die wohl gravierendste Folge ist eine Einschränkung oder Unterbrechung des Krankenhausbetriebs. Schließlich kann es dabei auch zu Gefährdungen für die Gesundheit und Sicherheit von Patienten kommen – wenn etwa Notaufnahmen geschlossen und Operationen verschoben werden müssen oder Patienten ihre Medikamente und Therapien nicht mehr erhalten.

Allerdings steht die Patientengesundheit nicht nur bei Angriffen auf die IT-Infrastruktur von Krankenhäusern auf dem Spiel: Sicherheitslücken in vernetzten Medizin- und Telemedizinprodukten machen auch direkte Angriffe auf diese Geräte möglich. So warnte 2021 das Heimatschutzministerium der Vereinigten Staaten vor Sicherheitslücken bei einem Herzschrittmacher, die es Angreifern erlaubten, Speicherwerte von implantierten Geräten zu lesen und zu verändern. Bereits vier Jahre zuvor hatte eine Studie des Security-Unternehmens Whitescope bei vier verschiedenen implantierbaren Herzschrittmachern und Defibrillatoren mehr als 8.000 Sicherheitslücken offengelegt.

In Deutschland fand das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei einer „Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte“ (Projekt „ManiMed“) bei zehn untersuchten Medizinprodukten insgesamt 150 Sicherheitslücken. In einigen Fällen war dabei auch die Patientensicherheit gefährdet. So wäre es im Fall einer untersuchten Insulinpumpe einem Angreifer möglich gewesen, die Insulindosis zu ändern. Eine weitere BSI-Studie offenbarte zahlreiche Sicherheitslücken bei vernetzten Medizinprodukten in der Alten- und Krankenpflege (eCare-Studie). Unter anderem war es bei allen untersuchten Produkten (darunter ein mobiles Schlafapnoe-Therapiegerät oder ein Pulsoximeter) möglich, sensible Daten abzugreifen – oft ohne, dass dies durch die Nutzer bemerkt werden konnte.

Die Beispiele zeigen: In Zeiten von Digitalisierung, E-Health und Telemedizin sind die Gesundheit der Patienten und die Sicherheit ihrer Daten eng verknüpft mit der Cybersicherheit der im Internet of Medical Things (IoMT) vernetzten medizinischen Geräte und Systeme. Die seit 2021 europaweit gültige Medizinprodukteverordnung (MDR) formuliert daher klare Anforderungen an deren Cybersicherheit. Hersteller, die ein netzwerkfähiges Medizinprodukt entwickeln wollen, müssen demnach während des gesamten Produktlebenszyklus eine Reihe von Vorgaben umsetzen, um Geräte und Software vor unbefugter Manipulation zu schützen.

Die MDR fordert, Cybersecurity bereits in der Requirements- und Entwicklungsphase zu berücksichtigen (Security by Design). Das Risikomanagement insgesamt wird als kontinuierlicher Prozess gesehen, der eine systematische Aktualisierung erfordert. Daraus ergibt sich implizit, dass es neben einem Meldesystem für Securityrelevante Vorfälle und einem Problemlösungsprozess auch die Möglichkeit regelmäßiger Updates und Patches geben muss.

Bei vernetzten Produkten müssen die Hersteller darüber hinaus Mindestanforderungen an die IT-Umgebung umsetzen, und zwar in Hinblick auf die Hardware, die Eigenschaften von IT-Netzen, die IT-Sicherheitsmaßnahmen sowie auf Vorkehrungen gegen unbefugte Zugriffe. Hersteller mobiler Produkte sind verpflichtet, auch die Eigenschaften der mobilen Plattform einzubeziehen.

Als Gesetzeswerk bietet die MDR kaum Hinweise zur konkreten Umsetzung der Vorgaben. Durch Beachtung der einschlägigen Normen können Hersteller aber sicherstellen, dass ihr Produkt dem „allgemein anerkannten Stand der Technik“ in Bezug auf die Cybersicherheit entspricht – wie es die MDR fordert. Insbesondere die Normen DIN EN ISO 14971 (Risikomanagement), IEC 62304 (Software-Lebenszyklus) sowie die IEC 81001-5-1 (Entwicklung und Wartung sicherer Gesundheitssoftware) bieten eine gute Orientierung.

Darüber hinaus kommt einer weiteren Norm große Bedeutung zu: der IEC 62443 (Industrielle Kommunikationsnetze). Obwohl es sich hier um eine Industrienorm handelt, lassen sich ihre Cybersecurity-Anforderungen weitgehend auf vernetzte Medizinprodukte übertragen. Die IEC 62443 wird daher auch umfassend vom Technical Report IEC TR 60601-4-5 (IT-Sicherheit vernetzter elektrischer Medizingeräte) referenziert.

Die Bedeutung der Norm liegt vor allem in ihrem konsequenten Defense-in-Depth-Ansatz. Auf Basis einer detaillierten Bedrohungs- und Schwachstellenanalyse wird dabei das Gesamtsystem in verschiedene Sicherheitszonen („Zones“) segmentiert und diese ebenso wie die Übergänge bzw. Kommunikationskanäle („Conduits“) zwischen den Zonen separat abgesichert. Darüber hinaus bietet die Norm u. a. eine Bewertung unterschiedlicher Cybersecurity-Tools, Gegenmaßnahmen und Technologien sowie Empfehlungen für ein sicheres Patch-Management.

Um die Security-Anforderungen und die MDR-Vorgaben umzusetzen, müssen Hersteller von digitalen, vernetzten Medizingeräten alle Security-Aspekte bereits im Design berücksichtigen, insbesondere auch die Wechselwirkung zwischen Geräten und IT-Umgebung. Über den gesamten Produktlebenszyklus sind ein entsprechendes Risikomanagement inklusive Verifizierung und Validierung sowie ein sicheres Update-Management erforderlich.

Hersteller benötigen also neben einer guten Kenntnis der gesetzlichen Vorgaben auch Erfahrung in Security-Design-Prozessen sowie der Umsetzung der einschlägigen Normen. Allerdings haben viele Medizingerätehersteller zwar umfangreiches Know-how im Bereich der Safety-Entwicklung (funktionale Sicherheit), verfügen aber kaum über eine entsprechende Expertise im Security Design. Hier können externe Experten wie das auf Safety- und Security spezialisierte Unternehmen Newtec beratend und beim Aufbau von Security-Expertise unterstützen, ebenso wie mit Gap-Analysen, Penetrationstests oder dem kompletten Security Design eines neuen Produkts.

Markus Willbold, Teamleiter Security Medical bei Newtec.