Cyberangriffe auf Gesundheitseinrichtungen sind weltweit massiv gestiegen, und der Schweiz wrid es künftig wohl nicht anders ergehen. Marc Ruef schildert gegenüber Medinisde die aktuelle Lage und ordnet ein, wieso gerade der Medizinalbereich ein attraktives Angriffsziel für Cyberkriminelle darstellt. Dabei kommen verschiedene Faktoren zum Tragen. So ist beispielsweise die Marktzulassung für Medizinalgeräte komplex und aufwändig, trotzdem befassen sich die Hersteller noch zu wenig mit den potenziellen Folgen und Auswirkungen von Schwachstellen in medizinischen Geräten. Gepaart mit dem Fakt, dass oftmals kein Budget für Cybersicherheit besteht, Cyberkriminelle immer professioneller agieren und von den Einrichtungen meist ein ganzheitliches Sicherheitskonzept fehlt, sind die Cybergefahren im Gesundheitswesen beträchtlich. Die Leidtragenden sind dabei die Patienten, diejenigen, die sich nicht wehren können; so Ruef.

Wie anfällig sind Medizingeräte tatsächlich für Cyberangriffe?

Medizinalgeräte sind oft komplexe und starre Gebilde, die in erster Linie durch Unternehmen entwickelt werden, die traditionell eher im Elektronikbereich als in der Informatik verwurzelt sind. Diese drei Faktoren führen dazu, dass das Thema Cybersicherheit nicht auf jenem Nievau gelebt wird, auf dem es gelebt werden müsste.

Was sagen Sie zu den sechs oben erwähnten Geräten? Welchen Gefahren ist das EPD ausgeliefert?

Im Rahmen von Sicherheitsanalysen haben wir viele Klassen von Medizinalgeräten untersucht. Keine von diesen ist besonders gut oder besonders schlecht. Die Grundprobleme sind bei allen ähnlich, manifestieren sich aber natürlich auf Grund der verschiedenen Einsatzgebiete der Geräte unterschiedlich. Der Diebstahl und die Erpressung mit Patientendaten ist momentan in erster Linie ein Problem für die Krankenhäuser, wird mit der Zunahme der Übergriffe aber auch gezielt gegen Patienten eingesetzt werden. Das Tragische daran ist, dass der Patient keinen Einfluss auf die Sicherheit und den Schutz seiner Daten hat. Er ist ein potentielles Opfer, das mit der Hoffnung leben muss, dass alles gut gehen wird.

Was erhoffen sich Angreifer, die es auf Medizingeräte abgesehen haben?

Medizinalgeräte sind essenziell, um in der heutigen Zeit funktionieren zu können. Werden Geräte manipuliert oder gestört, kann es zu kostspieligen oder gar fatalen Ausfällen kommen. Cyberkriminelle werden sich dessen bewusst und versuchen zu erpressen. Zudem fallen bei Medizinalgeräten Daten an, die temporär oder langfristig auf einem solchen System verbleiben. Der Diebstahl dieser kann ebenfalls für Erpressungszwecke eingesetzt werden.

Ich habe von Ihnen das Zitat «Virtueller Tod am Krankenbett» gelesen…das klingt dramatisch.

Im Rahmen einer Sicherheitsüberprüfung für ein Schweizer Spital haben wir eine Schwachstelle in einer vernetzten Infusionspumpe gefunden. Über das Netzwerk liessen sich so Patienten überdosieren. Indem wir zeitgleich die Vitaldaten des Patientenmonitors manipuliert und die Alarmierung unterdrückt haben, konnten wir so sehr konsequent eine Tötung herbeiführen. Diese konkreten Schwachstellen haben wir den Herstellern gemeldet und sie wurden mittlerweile behoben. Es gibt aber noch eine Vielzahl an unentdeckten oder nicht adressierten Sicherheitslücken.

Welchen Schutz gibt es für Medizingeräte bzw. sind sich die Hersteller der Schwachstellen bewusst?

Die Marktzulassung für ein Medizinalgerät ist komplex und aufwändig. Ein Hersteller möchte Aufwand und Kosten gering halten, weshalb Anpassungen an Systemen verhindert werden sollen. Doch eben solche Anpassungen sind erforderlich, um Sicherheitslücken mitigieren zu können. Hersteller reagieren stets als erstes mit Anwälten, bevor man gewillt ist auf technischer Ebene über die Probleme zu sprechen. Hier hat sich die US-amerikanische FDA als sehr starker Partner hervorgetan, mit dessen Hilfe wir Schwachstellen stets schnell lösen lassen können. Schliesslich will kein Hersteller seine Zulassung im grossen Markt der USA verlieren.

Laut des Security Report 2023 von Check Point Software Technologies sind Cyberangriffe im Jahr 2022 im Vergleich zum Vorjahr weltweit um 38 Prozent gestiegen, Angriffe auf den Gesundheitssektor stiegen sogar um 74 Prozent. Wie kommt es zu dieser massiven Zunahme?

Hier spielen verschiedene Faktoren zusammen: Einerseits schreitet die digitale Transformation stetig voran, wodurch ein Mehr an Systemen zum Einsatz kommen. Diese werden zudem immer komplexer, wodurch die Angriffsfläche generell ansteigt. Und immer mehr Kriminelle realisieren, dass sie deshalb mit Cybercrime eine ertragreiches Geschäftsfeld erschliessen können. Der Trend der Zunahme von Cyberangriffen wird also noch viele Jahre anhalten.

Wie sieht die Situation aktuell in der Schweiz aus?

Die Schweiz ist, mindestens in diesem Kontext, kein Sonderfall. Spitalleitungen haben oft nicht den Fokus oder noch nicht mal das Interesse, sich auf professioneller Ebene mit Cybersecurity auseinanderzusetzen. Oft fehlt das Budget, was zu löchrigen und fragilen Infrastrukturen führt. Es ist ein Wunder, dass nicht schon mehr Zwischenfälle an die Öffentlichkeit gekommen sind. Mit der Professionalisierung der Cyberkriminellen und der Zunahme ihrer Skrupellosigkeit wird wohl aber auch hierzulande der eine oder andere Fall in die Medien kommen. Die wahren Opfer sind dann die Patienten. Diejenigen, die sich nicht wehren können.

Links

• https://www.medinside.ch/%C2%ABmedizinalgeraete-anfaellig-fuer-cyberkriminelle%C2%BB-20240116

Tags