Warum sollten Hacker ausgerechnet medizinische Geräte ins Visier nehmen, wenn es doch so viele vernetzte Geräte gibt? Es gibt zwar eine Fülle von Motiven, aber die meisten haben mit finanziellem Gewinn zu tun. Cyberkriminelle, die es auf medizinische Geräte abgesehen haben, sind bereit, Patienten zu gefährden, wenn sie dadurch an wertvolle Informationen oder Zugang zu einem Krankenhausnetzwerk gelangen.
Da Hackerangriffe auf medizinische Geräte und Aufzeichnungen in den letzten Jahren stark zugenommen haben, gibt es für Patienten einen weiteren Grund, sich vor vernetzten medizinischen Geräten und Krankenhäusern in Acht zu nehmen. Abgesehen von den bekannten Ängsten vor Infektionskrankheiten und Kunstfehlern können die Geräte, mit denen Patienten während - oder nach - ihrem Aufenthalt behandelt werden, von Cyberkriminellen für eine Vielzahl von Zwecken angezapft werden, darunter Erpressung, Identitätsdiebstahl, Betrug und sogar Spionage und Attentate. Im Folgenden werfen wir einen Blick auf einige der Hauptgründe, warum Blackhat-Hacker die Medizintechnik ins Fadenkreuz nehmen.
Wenn du nicht du selbst bist
Einer der häufigsten Gründe für Hacker, medizinische Geräte ins Visier zu nehmen, ist Identitätsdiebstahl. Vernetzte Medizintechnik kann ein Einfallstor für die Krankenakten von Patienten sein, die mit wertvollen personenbezogenen Daten wie Sozialversicherungsnummern, Adressen, Telefonnummern und Versicherungsinformationen gespickt sind. Ein gehacktes medizinisches Gerät kann auch als Hintertür zum Netzwerk eines Krankenhauses dienen.
Cyberkriminelle nutzten den letztgenannten Ansatz beim Medjack-Angriff, der eine Malware-Bedrohung für eine Reihe von Geräten darstellt, darunter MRT- und CT-Scanner, Röntgengeräte und Blutgasanalysatoren. Cyberkriminelle können durch solche Sicherheitsverletzungen an sensible medizinische Daten gelangen, mit denen sie medizinische Abrechnungsbetrügereien und Steuerbetrug begehen können. Ein Hacker kann die gestohlene Identität eines Patienten nutzen, um kostenlose medizinische Versorgung zu erhalten, einschließlich verschreibungspflichtiger Medikamente oder medizinischer Geräte - entweder für den persönlichen Gebrauch oder zum Weiterverkauf auf dem Schwarzmarkt. Cyberkriminelle können solche Informationen sogar nutzen, um medizinische Behandlungen auf Kosten des Opfers zu erhalten
Obwohl ein solcher Identitätsdiebstahl im Gesundheitswesen vielleicht weniger häufig vorkommt als beispielsweise gestohlene Kreditkarteninformationen, ist die Gesundheitsbranche bei der Aufdeckung von Betrug viel langsamer als Finanzinstitute. Während eine Bank oder ein Verbraucher innerhalb von Stunden feststellen kann, dass eine Kreditkarte missbraucht wurde, kann es im medizinischen Bereich leicht Wochen oder Monate dauern, bis ein solcher Identitätsdiebstahl entdeckt wird. Während eine Kreditkartennummer geändert werden kann, ist dies bei medizinischen Daten nicht möglich. Ein Cyberkrimineller könnte also noch lange nach einem Einbruch sensible Patientendaten für Betrügereien nutzen. Die Verbreitung elektronischer Krankenakten erleichtert den Ärzten zwar den Austausch von Patientenakten, ermöglicht Hackern aber auch den Zugriff auf gefährdete Informationen, die bisher in Aktenschränken aufbewahrt wurden.
Während die Daten eines einzelnen Patienten für Hacker wertvoll sind, ist das Netzwerk eines Krankenhauses eine Umgebung mit vielen Angriffspunkten, an die Hunderte oder Tausende von Endpunkten angeschlossen sein können. Ein Hacker kann sich über ein einziges ungesichertes medizinisches Gerät, das mit dem Netzwerk kommuniziert, Zugang zu solchen Netzwerken verschaffen, die oft nicht verschlüsselt sind. Ein Hacker, dem es gelingt, ein einziges medizinisches Gerät zu knacken, um Zugang zu einem solchen klinischen Netzwerk zu erhalten, könnte einen groß angelegten Abrechnungsbetrug starten. Selbst das Eindringen in ein einzelnes Gerät wie einen CT-Scanner kann Hackern Zugang zu umfangreichen Patientendaten verschaffen.
Erpressung von Medizinprodukten und Krankenhäusern
Der Zugang zu medizinischen Geräten kann auch zum Ausgangspunkt für Ransomware werden. Es gibt eine Reihe von Möglichkeiten, wie dies geschehen könnte. Es gibt natürlich die Hollywood-Thriller-esque Möglichkeit, dass Patienten eine Textnachricht erhalten, in der ihnen gedroht wird, ihren Herzschrittmacher abzuschalten, wenn nicht genügend Bitcoins auf das Konto eines Hackers überwiesen werden. Wahrscheinlicher ist jedoch, dass das Krankenhaus selbst angegriffen wird, da die Wahrscheinlichkeit höher ist, dass das Krankenhaus eine beträchtliche Geldsumme zahlen muss. Hacker können das gesamte Krankenhaus und seine Patienten buchstäblich als Geiseln halten, da sie den Strom abschalten oder die Geräte aus der Ferne manipulieren können, bis die Forderungen erfüllt sind (die in der Regel eine fünfstellige Kryptowährungszahlung sind).
Hacking-Geräte werden die Wettbewerbslandschaft beeinflussen
Noch vor ein paar Jahren wäre es unwahrscheinlich gewesen, dass ein Sicherheitsforscher die Finanzmärkte beeinflussen könnte. Doch genau das ist dem Medizinproduktehersteller St. Jude Medical im Jahr 2016 passiert. Die Leerverkaufsfirma Muddy Waters nahm die Hilfe einer kleinen Cybersecurity-Firma in Anspruch, um die Sicherheit der Herzimplantate von St. Jude zu untersuchen. Die Cyber-Firma stellte fest, dass die Implantate erhebliche Cyber-Schwachstellen aufwiesen, woraufhin die Aktien von St. Jude am 25. August 2016, dem Tag der Bekanntgabe der Informationen, um 5 Prozent einbrachen und St. Jude beschloss, mit der Begründung zu klagen, die Behauptungen seien falsch. Die FDA stimmte jedoch letztlich zu, dass die Produkte gefährdet waren, und veröffentlichte eine entsprechende Erklärung.
Die St. Jude-Saga mag zwar bemerkenswert sein, aber die Gefahr einer ähnlichen Manipulation des Aktienmarktes durch Sicherheitsforschung besteht weiterhin. Im Februar dieses Jahres warnte die Wertpapier- und Börsenaufsichtsbehörde (SEC ), dass Cybersicherheitsrisiken im Allgemeinen eine "ernste Bedrohung" für Anleger darstellen. "Die Bedeutung von Datenmanagement und Technologie für die Wirtschaft ist heute vergleichbar mit der Bedeutung von Elektrizität und anderen Formen von Energie im vergangenen Jahrhundert. Cybersicherheitsvorfälle können durch unbeabsichtigte Ereignisse oder vorsätzliche Angriffe von Insidern oder Dritten, einschließlich Cyberkriminellen, Konkurrenten, Nationalstaaten und 'Hacktivisten', verursacht werden", erklärt die SEC.
Für die Herausforderung - oder das Fehlen einer solchen
Die meisten Blackhat-Hacker konzentrieren sich eher auf Geräte, die leicht anzugreifen sind, als auf Geräte mit soliden Schutzmechanismen. Eine ganze Reihe medizinischer Geräte - insbesondere ältere medizinische Technologien - haben relativ schwache Schutzmechanismen. Einige verwenden zum Beispiel veraltete Betriebssysteme wie Windows XP, die ein beliebtes Ziel für Hacker sind, da sie leicht auszunutzen sind. Eines der gängigsten medizinischen Geräte in Krankenhäusern, die Infusionspumpe, ist oft relativ leicht zu hacken. Hacker können medizinische Geräte ins Visier nehmen, um ihre Fähigkeiten zu verbessern, oder solche Geräte als Mittel zum Schürfen von Kryptowährungen missbrauchen, um medizinische Netzwerke zu verlangsamen und gleichzeitig Kryptowährungen für Cyberkriminelle zu verdienen. Das Decatur County General Hospital in Parsons, Tennessee, war letztes Jahr von einem solchen Angriff betroffen.
Bestimmte Modelle solcher Pumpen verwenden ein Wartungspasswort, bei dem es sich schlimmstenfalls um ein Standardpasswort handeln kann, das nie oder nur selten geändert wird. Laut den Sicherheitsforschern Billy Rios und Terry McCorkle verwendet eine beträchtliche Anzahl medizinischer Geräte - etwa 300 von rund 40 Herstellern - fest codierte Passwörter. Wenn es um medizinische Geräte wie Infusionspumpen geht, ist die Strategie zur Sicherung solcher Geräte mit Methoden wie regelmäßigen Over-the-Air-Updates oder herkömmlichem Malware-Schutz einfach nicht machbar. Theoretisch könnte ein Over-the-Air (OTA)-Update mit einem unbeabsichtigten software Fehler einen Patienten verletzen oder sogar tödlich sein, während die Installation herkömmlicher Malware software den Betrieb der Pumpe beeinträchtigen könnte.
Wenn Patienten zur Zielscheibe werden
Die Bedrohung durch ein medizinisches Gerät, das Patienten verstümmelt oder tötet, wird von Journalisten und Filmemachern zwar häufig thematisiert, ist aber eher eine theoretische als eine reale Gefahr. Allerdings sind prominente Persönlichkeiten oder Politiker möglicherweise einem erhöhten Risiko solcher Angriffe ausgesetzt. Der ehemalige Vizepräsident Cheney hat Berichten zufolge die drahtlose Funktion seines Herzschrittmachers abschalten lassen, weil er befürchtete, ein Hacker könnte sich daran zu schaffen machen. Das Risiko des Hackens von Herzschrittmachern hat zwar große Aufmerksamkeit erregt, doch die schiere Vielfalt medizinischer Geräte eröffnet nahezu unendlich viele Angriffsmöglichkeiten.
In einem kürzlich erschienenen Bericht der Star Tribune heißt es jedoch auch, dass derzeit keine Fälle bekannt sind, in denen ein medizinisches Gerät gehackt wurde, um einen Patienten zu schädigen. Das Risiko solcher Angriffe ist jedoch real. Suzanne Schwartz, Direktorin des FDA-Zentrums für Geräte und radiologische Gesundheit, sagte: "An das Netzwerk angeschlossene/konfigurierte medizinische Geräte, die mit Schadsoftware infiziert sind, können die klinische Funktion eines Geräts beeinträchtigen. Dies wiederum könnte ein Problem für die Patientensicherheit darstellen. Stellen Sie sich das Risiko vor, das beispielsweise ein von einem Hacker kontrolliertes Gerät für das Herzrhythmusmanagement für einen Patienten darstellen könnte. Im Jahr 2012 entdeckte der verstorbene Sicherheitsforscher Barnaby Jack, dass Herzschrittmacher verschiedener Hersteller dazu missbraucht werden können, einem Patienten aus einer Entfernung von bis zu 50 Metern einen tödlichen 830-Volt-Schock zu versetzen.
Darüber hinaus ist es für einen Sicherheitsforscher oder einen Cyberkriminellen offenbar nicht allzu schwierig, sich medizinische Geräte zu Forschungszwecken zu beschaffen und möglicherweise zu lernen, wie man die Steuerung medizinischer Geräte programmiert oder wie man in sie einbricht, um Zugang zu Patientendaten zu erhalten
Eine ganze Reihe von medizinischen Geräten kann über inoffizielle Kanäle erworben werden. Auf der Website eBay werden zum Beispiel Geräte zur Programmierung von Herzrhythmusgeräten verkauft. Beispiele sind das Zoom Latitude von Boston Scientific und das Merlin von Abbott Laboratories.
Eine Abhilfe für Risiken
Während sich die Medizintechnikbranche mit der zunehmenden Bedrohung der Cybersicherheit auseinandersetzt, vergrößert die explosionsartige Zunahme der Möglichkeiten von IoT die Angriffsfläche für Angriffe auf die Medizintechnik. Die zunehmende Zahl von Angriffen auf medizinische Geräte macht deutlich, dass die Identität aller Beteiligten im Gesundheitswesen - ob Patienten oder Ärzte - überprüft werden muss, und dass es ebenso wichtig ist, personenbezogene Daten zu verschlüsseln.
Die Public Key Infrastructure (PKI) ist ein wichtiger Schutz, um das Risiko angeschlossener medizinischer Geräte zu mindern. Sie schafft einen Sicherheitsrahmen für den Austausch sensibler medizinischer Daten zwischen vertrauenswürdigen Endpunkten und einem Gatekeeper, den der Hacker überwinden muss, bevor er Schaden anrichten kann. PKI bietet außerdem kryptografische Flexibilität, so dass medizinische Geräte im Laufe der Zeit sicher skaliert werden können und sichere Geräte- und Firmware-Updates möglich sind. Da die Informationen sowohl authentifiziert als auch verschlüsselt werden, kann nur der Inhaber beider privater Schlüssel auf die Daten zugreifen. Jedes Gerät benötigt sein eigenes, von der PKI generiertes Zertifikat. Dies bietet nicht nur zusätzliche Sicherheit für das Unternehmen, sondern bedeutet auch, dass ein Hacker wesentlich mehr Zeit benötigt, um umfassenden Schaden anzurichten. Darüber hinaus ist eine unternehmenseigene PKI äußerst kostengünstig und kann vollständig an die Bedürfnisse des Kunden angepasst werden. Dies ermöglicht einen problemlosen Übergang in der medizinischen Industrie auf einer Fall-zu-Fall-Basis.
In dem Maße, in dem IoT-fähige Geräte zur Norm werden, betritt das Gesundheitswesen sowohl für Patienten als auch für Ärzte eine mutige neue Welt. Ohne Voraussicht könnte sich diese neue Technologie in eine Büchse der Pandora verwandeln. Stellen Sie sich vor, Sie oder ein Ihnen nahestehender Mensch sind kürzlich erkrankt und liegen in einem Krankenhausbett. Das Letzte, worüber Sie sich Sorgen machen wollen, ist ein Hacker, der in ein medizinisches Gerät eindringen will, das eigentlich lebensrettend und nicht lebensbedrohend sein sollte. Die Medizintechnikbranche braucht Sicherheitsexperten wie Sie, die sich dafür einsetzen, dass Cyberkriminelle nicht in IoT-fähige medizinische Geräte und Krankenhausnetzwerke eindringen.
Es ist eine traurige Tatsache, dass medizinische Geräte und Krankenhäuser dem Risiko von Angriffen ausgesetzt sind, aber so ist es nun einmal. Auch wenn es noch nicht so aussieht, als befänden wir uns im Krieg, häufen sich die Berichte über gehackte medizinische Geräte und Krankenhäuser, so dass die Vorbereitung auf ausgefeiltere Angriffe eine wichtige Rolle spielt. Wie Navy SEAL Brandon Webb einmal sagte: "Es ist ein enormer Vorteil, manchmal sogar lebensrettend, eine gute Idee frühzeitig zu übernehmen und in die Praxis umzusetzen." Dieser Gedanke gilt für die Cybersicherheit ebenso wie für die Vorbereitung auf einen Krieg.
