Safety und Security für Medical Device Software

11/04/2019
Kurz erklärt: Warum Hacks (noch) so leicht sind und wie Sie Ihre Sicherheitslücken schließen

Forscher der Ben-Gurion-Universität in Israel haben eine Methode entwickelt, um auf Computertomografie-Aufnahmen automatisiert Krebsgewebe und andere Krankheits- oder auch Verletzungssymptome hinzuzufügen oder auch zu entfernen. Das von den Forschern veröffentlichte Whitepaper umfasst allerdings nicht nur eine Beschreibung des Schadcodes. Es beschreibt vielmehr vollständige Angriffsszenarien vom unbefugten Eindringen in die ethernetbasierten Bildarchivierungs- und Kommunikationssystemen von Krankenhäusern (Picture Archiving and Communication System, PACS) über die Schadcode-Installation bis hin zur Manipulation der CT-Aufnahmen. Im Rahmen eines Penetrationstests in einem Krankenhaus bewiesen die Forscher die Realisierbarkeit der gesamten Angriffskette (Quelle: heise.de).

Beispiele von unsicheren Medizinprodukten und Hackerangriffen auf Krankenhäuser gab es in der Vergangenheit genug. Immer wieder weisen sie auf eine zunehmende und ernsthafte Bedrohung hin, deren Bewältigung momentan noch zu viele in der Branche auf die lange Bank schieben.

Hacker haben leichtes Spiel

Kathrin Schäfer von Devicemed weist deshalb in ihrem Beitrag Vernetzt? Aber sicher! Safety, Security und Privacy in der Medizintechnik auch eindrücklich darauf hin, dass es bei der Sicherheit von Medizintechnik im Internet der Dinge (IoT) um weit mehr geht als um Privacy, also den Schutz von Patientendaten. Es geht auch um Security, das heißt den Schutz vor Angriffen von außen, sowie um Safety: Wenn Medizingeräte manipuliert werden, ist der sichere Betrieb des Medizinprodukts nicht mehr gewährleistet. Damit Medizingeräte also nicht zu Sicherheitsrisiken werden, müssen diese drei Aspekte - Privacy, Security und Safety - ineinandergreifen. Doch das ist gar nicht so einfach.

Der Devicemed-Artikel Cybersecurity in der Medizintechnik – eine reale Bedrohung bringt auf den Punkt, warum die Angreifer so leichtes Spiel haben:
  • Die Medizintechnik ist sehr IT-lastig, gleichzeitig kommt durch die langen Lebenszyklen oft ältere Technologie zum Einsatz; das macht sie leicht angreifbar.
  • Die ständig wachsende Zahl an vernetzten Endpunkten bietet Hackern eine immer breitere Angriffsfläche. Schadsoftware wird deshalb häufig so konzipiert, dass sie sich schnell von einem System auf ein anderes ausbreiten kann.
  • Unternehmen konzipieren ihre IT-Sicherheitsmaßnahmen meist gegen Bedrohungen von außen. Ist diese Hürde erst einmal genommen, kann sich der Angreifer schnell innerhalb des Netzwerks ausbreiten.

Security und IT: Sicherheitslücken schließen

Bei Kaspersky Lab rät man deshalb Organisationen, die sensible Infrastruktursysteme unterhalten, neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk folgende Security-Aspekte zu beachten:
  • Sensible Geräte und Systeme wie medizintechnische Geräte müssen vom regulären IT-Netzwerk getrennt sein.
  • Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit auseinandersetzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
  • Stichwort Security-Schwachstellen: Entwickler von IoT-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ und „Security-by-Default“ geachtet werden.
  • Betreiber und Hersteller müssen in den Dialog treten und gemeinsam Sicherheitskonzepte erarbeiten und umsetzen.

Wir empfehlen folgende Maßnahmen für ein sicheres Design


Neben dem Erkennen von bestehenden und möglichen Sicherheitslücken und dem Einsatz geeigneter Maßnahmen zu deren Vermeidung müssen Hersteller von vernetzten Medizinprodukten aber bereits während des Designs mögliche Cybersecurity-Risiken bewerten und entsprechende Maßnahmen zur Risikominimierung implementieren. Doch welche konkreten Maßnahmen können hier berücksichtigt werden? Folgende erachten wir für maßgeblich:


1. Reduktion auf das Wesentliche

Das Risiko eines Angriffs auf ein Medizinprodukt steigt mit der Anzahl der Schnittstellen, die das Medizinprodukt hat; eine Reduktion auf die wesentlichen Schnittstellen dient daher der effektiven Risikominimierung.
Durch die Reduktion der Schnittstellen kann das System für Angreifer auch weniger attraktiv werden, da es sich schlechter als Brückenkopf eignet. Außerdem wird es durch die Reduktion der Schnittstellen auch schwerer für Viren und Angreifer, überhaupt auf das System zu gelangen.

Ein weiteres Beispiel, das unter diese Maßnahme fällt, ist das der Datensparsamkeit: Wenn genau geprüft wird, welche Daten wirklich benötigt werden, diese nach Möglichkeit anonymisiert verwendet und alle anderen Daten gar nicht erst gespeichert werden, kann der Schaden, der durch den Verlust personenbezogener Daten aufgrund eines Hackerangriffs entsteht, stark eingeschränkt und das Risiko dafür sogar minimiert werden. Durch Datensparsamkeit wird das System auch für die Angreifer weniger attraktiv, da es weniger Möglichkeiten der Monetarisierung gibt.


2. Korrekte Verwendung der Technologie

Ja, das klingt jetzt erst einmal ein bisschen skurril, aber wir wissen aus Erfahrung, dass das Augenmerk nicht immer darauf liegt zu prüfen, ob die verwendete Technologie auch richtig verwendet wird. Dies bezieht sich bspw. auf die korrekte Verwendung von Verschlüsselungstechnologien: Wer in seiner Risikobewertung zu dem Schluss kommt, dass der Datenaustausch über eine Schnittstelle Risiken birgt, der kann dieses Risiko durch die Verwendung von Verschlüsselungstechnologien ggf. minimieren. Dann muss jedoch auch sichergestellt sein, dass die Maßnahme im Verwendungskontext ihre Wirkung auch entfalten kann. So benennt auch James H. Hamlyn-Harris in seinem Beitrag „Three reasons why pacemakers are vulnerable to hacking“ als einer der drei Hauptfaktoren, die die Cybersicherheit verhindern: „Die meisten eingebetteten medizinischen Geräte verfügen derzeit nicht über entsprechende Speicher, Verarbeitungsleistung oder Akkulaufzeit, um die kryptografische Sicherheit, Verschlüsselung oder Zugriffskontrolle zu unterstützen“ (Quelle: Three reasons why pacemakers are vulnerable to hacking).


3. Auswahl von OTS/SOUP mit Bedacht

Mindestens genauso wichtig: die kritische Betrachtung der Off-the-shelf Software OTS bzw. Software of unknown Provenance (SOUP). Gerade OTS/SOUP, die für den Consumer-Markt gedacht sind, sind durch ihre hohe Verbreitung ein attraktives Ziel für Viren; dies gilt es bei der Auswahl während der Entwicklung abzuwägen.
Darüber hinaus ganz wichtig ist die Frage, ob die eingesetzte Software (z. B. Windows) tatsächlich die Sicherheit bietet, die benötigt wird. Das daraus resultierende Problem kann weitreichende Konsequenzen haben, wie in der Vergangenheit schon gesehen. Denn schnell begeben sich Medizintechnikhersteller hier unbedacht in eine Abhängigkeit, die ihnen vorher nicht bewusst war: Wenn Software-Probleme in puncto Sicherheit auftauchen, sehen sie sich ausweglos dem Fremdsoftware-Hersteller ausgesetzt. Die einzige Hoffnung: dass möglichst bald ein Update erscheint. Und da die Mitigation nicht selbst durchgeführt werden kann, bleibt wie im Fall Wanna-Cry unter Umständen nur noch ein Ausweg: die Systeme abzuschalten bzw. vom Netz zu nehmen, bis der Hersteller der OTS/SOUP das Update zur Verfügung stellt. Und wenn für das bestehende Sicherheitsproblem kein Update kommt? Nicht auszumalen...

Als Fazit für OTS/SOUP bleibt festzuhalten, dass Sie als Medizinproduktehersteller die Entwicklung Ihrer OTS/SOUP hinsichtlich Fehlerkorrekturen und Fehlerbilder immer im Blick haben müssen. Je sicherheitsrelevanter die OTS/SOUP, desto genauer muss der Fokus darauf sein. Um Geräte über ihren gesamten Lebenszyklus sicher zu betreiben, müssen sie zudem so entwickelt werden, dass sie auch nachträglich Sicherheits-Updates erhalten können. Der kontinuierliche Austausch mit externen Fachleuten und Betreibern der IT schafft hier neue Anregungen und Ideen.

Es ist uns ein großes Anliegen, die Medizinprodukte-Hersteller für das Thema Safety and Security zu sensibilisieren. Denn so viel ist sicher: Digitalisierung wird nur gelingen, wenn wir für die Sicherheit der Anwender und Patienten bürgen können. Und das dafür erforderliche Sicherheitsniveau wird nur dann zu erreichen sein, wenn alle Beteiligten ihrer Verantwortung gerecht werden und gemeinsam daran arbeiten, Sicherheit auch bei vernetzten Geräten zu gewährleisten.


Quellen:
Computertomografie: Schadcode kann Krebsbefunde manipulieren
CT-GAN: Malicious Tampering of 3D Medical Imagery using Deep Learning
Vernetzt? Aber sicher! Safety, Security und Privacy in der Medizintechnik
Cybersecurity in der Medizintechnik – eine reale Bedrohung