Studie: Viele Geräte und Systeme im Medizinbereich werden nicht mehr unterstützt
Fast jedes vierte medizinische Gerät weist laut einer Studie bereits bekannte und dokumentierte Sicherheitslücken auf. Die Patientenversorgung sei gefährdet.
(Bild: BlurryMe/Shutterstock.com)
23 Prozent der medizinischen Geräte weisen eine IT-Sicherheitslücke auf, die im Katalog der bekannten und ausgenutzten Schwachstellen der US-Cybersicherheitsbehörde CISA aufgeführt wurden. Das haben Forscher der New Yorker IT-Sicherheitsfirma Claroty herausgefunden, die auf Anwendungen im Bereich Industrie und Internet der Dinge (IoT) spezialisiert ist. Knapp zwei Drittel (63 Prozent) der von der CISA in dem Verzeichnis gelisteten Sicherheitslücken auf Netzwerke wie die von Krankenhäusern oder Arztpraxen. Das geht aus dem von Claroty veröffentlichten Bericht "Healthcare 2023" hervor. Die zunehmende Vernetzung habe zwar zu deutlichen Verbesserungen in der Patientenversorgung geführt, betont Claroty-Forschungschef Amir Preminger. Sie erfordere aber auch ein Verständnis für die Anfälligkeit der damit einhergehenden Angriffe".
Für den Report haben die Experten Schwachstellen bei medizinischen Geräten und Vorfälle, die sie selbst sowie andere Wissenschaftler beobachtet haben, analysiert und zu einem Lagebild verdichtet. Eingeflossen sind Informationen und Erkenntnisse aus vertrauenswürdigen offenen Quellen wie der National Vulnerability Database (NVD) sowie Datenbanken der CISA und der Healthcare Sector Coordinating Council Working Group. Ziel war es, den Stand der Vernetzung kritischer medizinischer Geräte von bildgebenden Systemen bis hin zu Infusionspumpen mit Fokus auf die USA aufzuzeigen und die damit verbundenen Risiken zu beleuchten. Schon 2017 etwa musste der US-Hersteller St. Jude Medical 450.000 Herzschrittmacher updaten, da diese über WLAN blockiert werden konnten. Viele solcher Apparate sind weltweit im Einsatz.
Laut den Ergebnissen laufen 14 Prozent der einbezogenen vernetzten medizinischen Geräte und Systeme mit Betriebssystemen, die nicht mehr vom Hersteller unterstützt werden oder sich am Ende der Lebensdauer befinden. Bei "der überwiegenden Mehrheit" handle es sich um Windows, heißt es in der Untersuchung. Die Palette reiche aber über Microsoft hinaus und beziehe etwa Linux, mobile Betriebssysteme und veraltete Computer mit Sun Solaris ein. Bei 32 Prozent der Apparate ohne Support handele es sich um bildgebende Geräte, einschließlich Röntgen- und MRT-Systeme, die für die Diagnose und die vorgeschriebene Behandlung unerlässlich seien. Chirurgische technische Hilfsmittel machten 7 Prozent aus.
Offene Funknetzwerke, Fernzugriff auf kritische Systeme
22 Prozent der untersuchten Krankenhäuser haben Router angeschlossen, die WLAN-Hotspots für Patienten und Besucher mit internen Netzwerken verbinden. Angreifer könnten so schnell teils sensible Daten im öffentlichen WiFi finden und anvisieren, warnen die Forscher. Cyberkriminelle nutzten solche Zugänge auch oft als Brücke zu internen Netzwerken, in denen sich die Geräte zur Patientenversorgung befinden. 4 Prozent der chirurgischen Geräte, deren Ausfall kritisch werde, kommunizierten über Gastnetzwerke. 11 Prozent der Apparate für Patienten wie Infusionspumpen und 10 Prozent der chirurgischen enthielten Sicherheitslücken, bei denen die Wahrscheinlichkeit hoch ist, dass sie schon ausgenutzt werden. Besonders hoch sei deren Anteil bei nicht mehr unterstützten Betriebssystemen.
66 Prozent der bildgebenden Geräte, 54 Prozent der chirurgischen Utensilien und 40 Prozent der bei Patienten eingesetzten Apparaten waren aus der Ferne zugänglich. Darunter waren Defibrillatoren und zugehörige Gateways und robotergestützte Chirurgie-Systeme, deren Ausfall fatale Folgen haben könnte. Nicht zuletzt aufgrund zahlreicher Ransomware-Angriffe auf Einrichtungen des Gesundheitssystems mahnte Preminger, dass Krankenhäuser und Praxen Richtlinien und Strategien entwickeln müssten, "die die Notwendigkeit widerstandsfähiger medizinischer Geräte und Systeme betonen". Essenziell seien dabei "ein sicherer Fernzugriff, die Priorisierung des Risikomanagements und die Segmentierung".
Lesen Sie auch
Interview: Studie prüft IT-Sicherheit von Krankenhäusern
(mack)