Cybersecurity im Gesundheitswesen

Der Krimi, der durch die US-Presse ging, beginnt im Herbst 2013. Damals fliegt Billy Rios für einen Auftrag zur Mayo Clinic nach Rochester im US-Bundesstaat Minnesota. Rios ist ein so genannter White Hat Hacker, also ein Hacker mit „weißer Weste“. Er versucht nicht, in bösartiger Absicht Schäden anzurichten. Vielmehr dringt er im Kundenauftrag in Netzwerke ein, um Sicherheitslücken aufzudecken. Das hatte er in der Vergangenheit bereits für renommierte Kunden wie das Pentagon und Softwareriesen wie Microsoft und Google getan.

Der Job der Mayo Clinic erweist sich für den IT-Security-Experten dennoch als Überraschung, denn gemeinsam mit einem Dutzend anderer Hacker soll er in einer Woche erstmals medizinische Geräte hacken. 40 verschiedene Geräte bekommen sie zur Verfügung gestellt – und dann heißt es: Hackt, was ihr könnt, gebt alles. Rios und seinen Kollegen ist schnell klar, warum die IT-Administratoren der Klinik Hacker fürchteten: Sie finden unerwartet viele Einfallstore, über die Hacker mit bösartigen Absichten leichtes Spiel hätten. Dazu gehören ungeschützte Betriebssysteme und generische Passwörter, die fest vercodet und damit vom Krankenhauspersonal nicht veränderbar sind.

Die Mayo Clinic zieht umgehend ihre Lehren aus den Workshop-Ergebnissen und formuliert einen Katalog mit IT-Sicherheitsanforderungen, die sie seitdem den Medizintechnikherstellern beim Kauf neuer Geräte als Checkliste vorlegt. „Dieses Vorgehen ist vorbildhaft“, weiß Frederik Humpert-Vrielink, Geschäftsführer des Münsteraner Beratungshauses Cetus Consulting. „Doch nur wenige Krankenhäuser in Deutschland verfahren heute so und fühlen den Medizintechnikherstellern genauer auf den Zahn, indem sie von ihnen Basis-Informationen einfordern wie etwa, ob und wenn ja, welcher Viren-Scanner mit dem Gerät verträglich ist und über welche Netzwerk-Ports kommuniziert wird.“ Damit sei unklar, wie die Geräte gesichert werden könnten.

Dabei seien derartige Sicherheitsanforderungen elementar für jedes Krankenhaus, denn genauso wie jeder Laptop oder jeder Drucker verfügen heute viele medizinische Geräte über eine IP-Adresse und kommunizieren somit mit dem lokalen Netzwerk und dem Internet. Viele Geräte wie CT oder MRT werden beispielsweise über eine Internet-Verbindung ferngewartet. „Dies sind alles potenzielle Einfallstore für Hacker, die geschützt werden müssen. Glücklicherweise ist noch kein Fall bekannt, bei dem Patienten durch Hacker zu Schaden kamen, aber dies ist nicht ausgeschlossen“, so Humpert-Vrielink. „Doch die wenigsten Medizintechnikhersteller kümmern sich auch nach der Auslieferung ihrer vernetzen Geräte kontinuierlich um deren IT-Sicherheit.“

Axel Wirth, Healthcare Solution Architect beim IT-Security-Softwarehaus Symantec, kennt die Gründe: Medizinische Geräte haben eine lange Lebensdauer. Durch die scharfen regulatorischen Anforderungen dauert der Prozess zur Veröffentlichung neuer Software-Releases einschließlich aller Testzyklen sehr lange, sodass sich die Verfügbarkeit von Patches verzögert. Zudem seien die Geräte meist rund um die Uhr im Einsatz, die Zeit für Upgrades und Patches sei daher rar. Ein großes Risiko stellen nach seiner Darstellung vor allem Geräte dar, deren Betriebssysteme am Ende des Lebenszyklusses angekommen und schlecht gepatcht sind: Sie sind nicht unbedingt Angriffsziele von Hackern, aber hochgradig anfällig für Schadprogramme. Laut Wirth gab es in der Vergangenheit Fälle, bei denen Notfallpatienten wegen infizierter diagnostischer Geräte zu einem anderen Krankenhaus geschickt werden mussten.

Finanziell lohnt es sich für Hacker, in die Netzwerke von Kliniken einzudringen, um etwa mit dem Ziel von Gelderpressung Geräte zu manipulieren oder an Patientendaten zu gelangen. Nach Angaben von Wirth bringen Basis-Identitäts- und -Versicherungsinformationen in den USA bis zu 50 US-Dollar. Zum Vergleich: Für Kreditkartendaten erlösen Hacker lediglich 0,50 bis 1 US-Dollar. Trotz allen Verständnisses für Krankenhäuser und Gerätehersteller stellt Wirth klar: „Die potenziellen Auswirkungen solcher Hacks sind groß, wenn es um das Leben von Patienten geht – etwa wenn Herzschrittmacher oder Insulinpumpen gehackt werden.“

Dass dies nicht abwegig ist, hat Billy Rios bewiesen: Nachdem er aus der Mayo Clinic zurück war, kaufte er über Ebay eine gebrauchte Infusionspumpe von Hospira Symbiq. Er verband sie mit einem Netzwerk – und es gelang ihm, das Gerät aus der Ferne zu übernehmen: Er konnte Knöpfe auf dem Touchscreen der Pumpe so betätigen, als wenn er direkt davor stünde. So wäre es möglich, einem Patienten eine Ampulle eines Medikaments auf einen Schlag zu verabreichen – ohne dass ein Mitarbeiter einer zentralen Überwachungsstation dies merken würde.

Im Frühjahr 2014 schickte Rios seine Erkenntnisse an das Industrial Control Systems Cyber Emergency Response-Team (ICS-Cert), das zum US-Heimatschutzministerium gehört. Er schlug vor, dass Hospira weitere Untersuchungen anstellt, um zu klären, ob die gleichen Verwundbarkeiten bei anderen Geräten bestehen und welche möglichen Konsequenzen die Schwachstellen für Patienten haben können. Das ICS-Cert gab die Sache an die FDA weiter, diese wiederum informierte Hospira. Es gingen einige Monate ins Land, Rios hörte nichts. Erst auf eine Nachfrage hin antwortete ihm das Department of Homeland, dass Hospira nicht verifizieren wolle, ob andere Pumpen verwundbar seien.

Um den Druck auf die US-Behörden zu erhöhen, drehte Rios schließlich ein Video. Darin zeigte er, wie leicht es war, die Hospira-Pumpe zu sabotieren und zu manipulieren. Er schrieb Beispiele von Computer Code heraus und sandte sie zusammen mit dem Video an die FDA, sodass diese selbst Tests durchführen konnte. Dies zeigte Wirkung: Im Mai 2015 veröffentlichte die FDA eine Warnung, in der Krankenhäuser aufgefordert wurden, die Infusionspumpe von Hospira nicht länger zu nutzen, weil nicht-autorisierte Nutzer die Kontrolle über das Gerät erlangen könnten und die Dosierung verändern könnten. Zwei Monate später bestätigte Hospira die offenen Scheunentore des Produkts.

Dies war das erste Mal, dass die FDA ein Produkt wegen mangelnder Cybersecurity an den Pranger gestellt hat. Laut Suzanne Schwartz, vom FDA Center for Devices and Radiological Health, hat man damit einen Präzedenzfall geschaffen. Hospira nahm die betroffene Pumpe vom Markt. Allerdings hat die FDA den Hersteller nicht verpflichtet, die Fehler bei den im Markt befindlichen Geräten zu beheben.

Kein Wunder: Denn bis dahin hatte sie Herstellern medizinischer Geräte nur Handlungsempfehlungen an die Hand gegeben, wie diese Cybersecurity im Entwicklungsprozess bis zur Auslieferung adressieren sollten. Neben der Authentifizierung durch die Nutzer am Gerät empfiehlt sie in dem im Oktober 2014 veröffentlichten Papier unter anderem, keine hartcodierten Passwörter zu verwenden und nach Möglichkeit physische Schlösser zu nutzen.

Am 22. Januar 2016 hat die FDA nachgezogen und einen Entwurf für Richtlinien für im Einsatz befindliche vernetzte Medizingeräte veröffentlicht. Demnach sollen Hersteller während des gesamten Lebenszyklusses eines Geräts mögliche Verwundbarkeiten analysieren und gegebenenfalls mit Software-Patches und -Upgrades beheben. Wenn es sich um Routine-Updates oder -Patches handelt, müssen die Hersteller diese nicht an die FDA melden, heißt es darin. Nur in Ausnahmefällen, wenn die essenzielle klinische Leistung eines Geräts betroffen ist oder ernste Gesundheitsrisiken oder gar Todesgefahr für Patienten bestehe, müsse die Behörde informiert werden. Und nur dann seien auch Rezertifizierungen notwendig.

„Leider sind dies aktuell nur Empfehlungen, wir brauchen endlich verbindliche Cybersecurity-Standards für die Gesundheitsbranche, damit nicht irgendwann der erste Patient aufgrund eines Hacks stirbt“, kritisiert Humpert-Vrielink. „Dabei muss auch aufhören, dass die Kliniken als Medizintechnik-Betreiber mit dem Finger auf die Gerätehersteller zeigen und umgekehrt. Alle Beteiligten müssen sich vielmehr zusammen an einen Tisch setzen und gemeinsam nach Lösungen für diese Probleme suchen.“ Dies mahnt auch die FDA an, die von geteilter Verantwortlichkeit und geteilter Eigentümerschaft spricht.

Humpert-Vrielink ist sich sicher, dass dies keine reine US-Diskussion bleiben wird – zumal es hierzulande aktuell heiße Diskussionen darüber gibt, inwiefern das im Sommer 2015 in Kraft getretene IT-Sicherheitsgesetz zur Minimierung von Gefahren durch Cyberattacken für Krankenhäuser und auch für Hersteller von Medizingeräten Konsequenzen hat. Klar ist dabei bislang nur: Die Branche medizinische Versorgung ist ebenso wie die Energieversorgung oder der Staat als Betreiber kritischer Infrastrukturen eingestuft. Diese müssen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Laut IT-Branchenverband Bitkom werden die beim BSI zusammenlaufenden Informationen dort ausgewertet und den Betreibern kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen zur Verfügung gestellt. Um die Sicherheit von IT-Produkten für Kunden transparenter zu machen, solle das BSI zudem die Befugnis erhalten, auf dem Markt befindliche IT-Produkte und -Systeme im Hinblick auf ihre IT-Sicherheit zu prüfen, zu bewerten und die Ergebnisse bei Bedarf zu veröffentlichen. Unklar ist indes, ob Medizingeräte als IT-Produkte eingestuft werden können. „Das wäre auch rechtlich fragwürdig, da der Bund für die Medizingeräte die Gesetzgebung innehat, für IT-Produkte aber nicht“, argumentiert Humpert-Vrielink .

Nach Interpretation von Dr. Pablo Mentzinis, Bitkom-Bereichsleiter Public Sector, sind die Medizintechnik-Hersteller komplett aus dem Schneider: „Zweifellos haben medizintechnische Einrichtungen etwa im Operationssaal eine sehr wichtige Funktion und sind für Leib und Leben von Patienten entscheidend. Hieraus zu folgern, dass die medizintechnische Ausstattung eines Krankenhauses eine kritische Infrastruktur darstellt, kann hingegen nicht überzeugen.“ Seine Begründung: „Eine umfassende Vernetzung der Medizintechnik steht noch aus, insoweit fehlt es an einer übergeordneten Infrastruktur.“

Cetus Consulting-Geschäftsführer Humpert-Vrielink widerspricht dieser Auffassung: „Auch wenn Geräte in Kliniken untereinander vielleicht noch nicht in dem Maße vernetzt sind, wie dies wünschenswert wäre, so sind sie doch in lokale Netzwerke eingebunden. Insofern sehe ich die Gerätehersteller ganz klar in der Pflicht – insbesondere dann, wenn es um die Notfallmedizin geht.“

Zwei Branchenarbeitskreise befassen sich aktuell mit den Auswirkungen des Umsetzungsplans „Kritische Infrastrukturen“ (UP Kritis) auf die Kliniken und Gerätehersteller: Dem Arbeitskreis „Gesundheitsversorgung“ gehören Vertreter aus dem Bereich Krankenhaus-IT kommunaler Krankenhäuser sowie Krankenhäuser in freigemeinnütziger und privater Trägerschaft an; der Arbeitskreis „IT-Sicherheitsstandards“ beim Verband der Uniklinika besteht aus Vertretern der Universitätskliniken. Die Gerätehersteller sind indes in beiden Arbeitskreisen nicht vertreten.

Sabine Koll
Journalistin in Böblingen

Zum Entwurf der neuen FDA-Richtlinie „Postmarket Management of Cybersecurity in Medical Devices“:
http://1.usa.gov/1JBqTEP

Zum offenen Brief der IT-Security-Organisation „I am the Cavalry“, die einen hippokratischen Eid für vernetzte medizinische Geräte vorschlägt:
http://bit.ly/23qE01Q

Zur nationalen Strategie zum Schutz Kritischer Infrastrukturen:
http://bit.ly/1NxI6K3

Zur Bitkom-Stellungnahme „Sind Gesundheitsdienste Kritische Infrastrukturen?“:
http://bit.ly/1RKVrX0 Zum Münsteraner Beratungshaus Cetus Consulting: www.cetus-consulting.de