BfARM-Cybersicherheitskonferenz : Sicherheitslücken allüberall

Die Gefahren der Cyberkriminalität sind real. Darin waren sich Sicherheitsexperten und Behördenvertreter auf einer Dialog-Veranstaltung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfARM) einig. Doch noch immer klaffen in IT- und MT-Systemen viele Sicherheitslücken. Helfen könne ein Risikomanagement. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und BfArM üben sich unterdessen im Schulterschluss: Sie kündigten eine gemeinsame Manipulationsstudie und ein Empfehlungspapier an.

Wolfgang Lauer, Leiter der Abteilung Medizinprodukte, steht hinter einem Pult und kündigt eine Studie zur Manipulation digitaler Medizinprodukte und ein Empfehlunspapier für Herseller und Betreiber an.
Wolfgang Lauer, Leiter der Abteilung Medizinprodukte, kündigte eine Studie zur Manipulation digitaler Medizinprodukte und ein Empfehlungspapier für Hersteller und Betreiber an.

„Alarmismus liegt uns fern“, sagte Karl Broich, Präsident des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) zum Auftakt der Cybersicherheitskonferenz. Nur „sehr wenige Meldungen“ über Cyberrisiken seien bislang bei der Behörde eingegangen. Zu konkreten Patientenschädigungen lägen bislang gar keine Meldungen vor, berichtete Wolfgang Lauer, der die Abteilung Medizinprodukte leitet. Peter Gausmann, dessen Versicherung GRB Gesellschaft für Risikoberatung Krankenhäuser gegen „alle Eventualitäten von Cyberschäden“ versichert, bestätigte, dass die spezielle Police bislang „noch nicht zum Zuge gekommen“ sei.

Doch dann legte Florian Grunow los: Als Sicherheitsanalytiker bei Enno Rey Netzwerke zieht er durch Krankenhäuser, besucht Medizintechnikhersteller, um – in deren Auftrag – Sicherheitslecks aufzuspüren. „Ich lege den Finger in die Wunde“, sagte er. „Ich habe nach einer Prüfung nur selten positive Nachrichten für meine Kunden.“ Der Klassiker in den Kliniken seien fehlende Software-Updates: Endoskope, deren Windows-Betriebssysteme inklusive Patientendatenbank auf einem zwei oder drei Jahre alten Patch-Stand laufen; Ultraschallgeräte, deren Betriebssysteme sogar zehn Jahre hinter dem Defacto-Stand zurückliegen – offene Einfallstore für Angreifer.

Hacker-Profi: „Komplexität ist ein Killer“

Den Herstellern attestiert der Berufshacker, ihre eigenen Produkte oft nicht mehr handeln zu können, weil diese immer vielschichtiger würden. „Jedes Mal, wenn ein Gerät neue Features bekommt, steigt auch dessen Komplexität – und Komplexität ist der Killer jeder IT-Security.“ Er habe jüngst während eines EKG-Tests eine Netzwerkkomponente gefunden, die eigenverantwortlich eine Webseite aufrief, über die das Gerät konfiguriert werden konnte. „Von dieser Komponente hat noch nicht einmal der Hersteller gewusst.“

Wie fatal Versäumnisse sowohl auf Hersteller- als auch Betreiberseite sein können, machte er am Beispiel eines anfälligen Kernspintomografen (MRT) deutlich, auf den er während einer Klinikprüfung stieß: „Ein kleines System aus mehreren Rechnern: ein Host-PC, dahinter ein Netzwerk, an dem zwei weitere Rechner hingen, einer für die Rekonstruktion der Bilder, der zweite für die Hardwaresteuerung des Geräts.“ Das System lief auf Windows – ohne Firewall, ohne Updates, ohne Virenschutz. „Der eine Rechner war ohne Passwort erreichbar, der andere – jener für die Steuerung des MRT – mit Default Credentials, die man einfach im Internet nachlesen kann.“ Außerdem fand sein Team beim Host-Rechner 114 offene Ports. „Normalerweise hat ein Windows-Rechner bis zu zwölf offene Ports, und das ist schon schlecht – mehr als hundert solcher offener Stellen bieten jedoch eine massive Angriffsfläche.“ Zu allem Überfluss gelangten die Prüfer über das Gäste-WLAN auf das System. „Diesen Host-Rechner zu kompromittieren war ein Leichtes“, so Grunow.

IT-Security runter, Safety und Verwendbarkeit hoch

Den Virenschutz auszuschalten, kann bei einem Medizinprodukt durchaus sinnvoll sein, räumte Grunow ein. „So ein Scanner greift extrem tief in ein System ein, was die Produktivität – und damit auch die Safety, also die Sicherheit des Patienten – einschränken kann.“ Die Ports waren laut Grunow vermutlich offen gehalten worden, damit die Systemkomponenten miteinander kommunizieren können. Auch die Firewall werde oft für eine bessere Interoperabilität ausgeschaltet. Grunow: „Manchmal ist es aber auch Fahrlässigkeit.“

Tatsächlich seien kleinere Sicherheitslecks oft Folge eines Kompromisses, sagte Hannes Molsen, Leiter der Produktsicherheit beim Medizintechnikkonzern Dräger. Manchmal müsse die IT-Sicherheit runtergefahren werden, um das Produkt überhaupt verwenden zu können. „Das sieht man gut an der drahtlos funkenden Insulinpumpe, die 2008 auf den Markt kam“, so Molsen. Ein Wissenschaftler hatte später entdeckt, dass die Verbindung, über die die Insulinabgaben der Pumpe gesteuert wurden, nicht ausreichend verschlüsselt war. Molsen: „Dem ging eine Herstellerentscheidung aus Energieüberlegungen voraus: Entweder wir verschlüsseln die Verbindung, dann muss aber der Anwender täglich die Batterie wechseln. Oder wir lassen es eben sein.“ Da Cyberangriffe auf Medizinprodukte damals kein großes Thema waren, habe sich das Unternehmen für letzteres entschieden. „Soll man denen nun deshalb einen Vorwurf machen?“

„Hundertprozentige Sicherheit gibt es nicht“

Fakt sei auch: Eine Securitylücke könne sich in jeder Phase der Herstellung in die Medizintechnik einschleichen – „ob bereits am Whiteboard, also bei der Architektur, in der Entwicklung, für die uns die Profis mit Security-Background fehlen, oder der Dokumentation“, so Molsen. Auch bei Installation und Konfiguration könnten Lücken entstehen „oder sie sind einfach da, weil jeder diese Konfigurationen ändern kann“. Im laufenden Betrieb birgt jedes Gerät mit Authentifizierung ein Risiko. „Denn irgendwann klebt jedes Passwort unter einer Tastatur.“ Deshalb könne sich „kein Hersteller hinstellen und sagen: ‚Zack, alles hundertprozentig sicher‘.“

Helfen könne ein umfassendes Risikomanagement: „Die Frage sollte nicht sein: Hat das System Sicherheitslücken? Denn darauf gibt es kein Nein“, so Molsen. „Vielmehr müssen wir uns fragen: Ist das System als Ganzes sicher, kann ich ihm vertrauen? Wie kann ich das Risiko so handeln, dass ein sicheres System entsteht?“ Dräger hat sich dazu ein Programm auferlegt, investiert etwa in das Training seiner Entwickler und Softwarearchitekten, führt eigene Bedrohungsanalysen durch, engagiert externe Hacker. „Wir überlegen uns, was könnte ein Angreifer wollen – und wie erschweren wir ihm den Zutritt?“ Ein System könne dann als sicher gelten, wenn der Aufwand eines Hackers, darin einzudringen, größer sei als sein Nutzen. Seit zwei Jahren händigt Dräger seinen Anwendern außerdem ein Whitepaper mit zusätzlichen Sicherheitsinfos aus.

Hersteller und Krankenhäuser – so kann's gehen

Jochen Kaiser plädierte für ein Risikomanagement im Krankenhaus: „Das ist ein Hygienefaktor“, so der CIO der Bezirkskliniken Schwaben. „Wenn wir in den Kliniken nicht aufräumen, können wir Medizinprodukte nicht sicher implementieren.“ Hersteller sollten sich beim Verkauf ihrer Geräte stärker an die Größe des belieferten Krankenhauses anpassen: In Klinikketten und Unikliniken bieten sich komplexe Szenarien an, der Hersteller könne das Risikomanagement begleiten. In einem kleinen Haus, in dem kaum Infrastruktur-Skills erwartet werden dürften, seien hingegen Standardprodukte gefragt. „Der Hersteller sollte ein plausibles Netzdesign und die Sicherheit vorgeben und die Auswahlmöglichkeiten reduzieren.“

Seinen Klinik-Kollegen rät er, die Security schon im Auswahlprozess eines Medizinprodukts zu berücksichtigen. „Wie kommuniziert das System, welche Firewallregeln lassen sich daraus ableiten, welche Updates und Upgrades fallen an? Das gehört in die Ausschreibung oder Vertragsverhandlung.“ Von den Behörden wünschte Kaiser sich weniger Komplexität. „Diese Vielzahl an Normen, zum Beispiel zum Thema Netzwerke oder Risikomanagement, versteht da draußen kaum jemand.“ Auch seien standardisierte Vertragsdokumente aus Hand der Behörden sinnvoll, an denen sich Kliniken und Hersteller orientieren könnten.

„Wenn wir uns jetzt beeilen, könnten wir gerade noch rechtzeitig sein.“

Auf Amtsseite ist nun tatsächlich etwas in Bewegung gekommen: So kündigten das BfArM und das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der Tagung eine gemeinsame Initiative zur Cybersicherheit von Medizinprodukten an. Kern ist eine Studie namens „ManiMed“, die untersucht, wie stark Medizinprodukte digital manipuliert werden können. Eine Marktübersicht soll darüber informieren, welche Gefahren bei welchen Produkten lauern und welche Sicherheitsanforderungen entwickelt werden können. Die Ergebnisse sollen in ein Empfehlungspapier für Hersteller und Betreiber münden, das neben Produkteigenschaften und Aspekten des Risikomanagements auch den sicheren Betrieb und korrektive Maßnahmen abbilden wird. „Es ist nicht Sinn der Initiative, den vielen existierenden Richtlinien und Papieren nun noch ein weiteres hinzuzufügen“, sagte BfArM-Experte Wolfgang Lauer. „Wir wollen die Expertise aus BSI und BfArM bündeln und Hersteller und Betreiber unterstützen.“

Sowohl mit der Studie als auch mit dem Empfehlungspapier stehen die beiden Ämter noch am Anfang. Mit einer Veröffentlichung des Papiers rechnet Lauer nicht vor Ende 2019. Input der Branche sei bereits jetzt ausdrücklich erwünscht. Denn die Gefahren könnten künftig zunehmen, der Betrieb von Medizintechnik könne riskanter werden – doch das BfArM ist zuversichtlich: „Wenn wir uns jetzt beeilen“, sagte Lauer, „könnten wir gerade noch rechtzeitig sein.“

Mehr im Internet:

BfArM-Informationen zur Cybersicherheit von Medizinprodukten

© Medizintechnologie.de

Das könnte Sie auch interessieren

Viele Container in unterschiedlichen Farben stehen aufeinander. im Hintergrund sind Hafenbecken, Wasser, und Lastkräne zu sehen

Über 30 Milliarden Euro

Der Umsatz wächst nach den Erwartungen von Spectaris im Jahr 2018 moderat. Auf jeden Fall wird die Bilanz für das Geschäftsjahr 2018 für die Gesamtbranche besser ausfallen als im Vorjahr. Dabei durchbricht sie eine historische Wachstumsgrenze von sage und schreibe 30 Milliarden Euro. Derweil blickt die Industrie mit Sorgen auf die Weltwirtschaft. Doch die größte Herausforderung wartet zuhause. Über 30 Milliarden Euro Weiterlesen

Medica: Blick über die Schulter einer jungen Frau. In ihren Händen hält sie eine Broschüre mit dem Titel "Patientenversorgung verbessern - Innovationskraft stärken". Im Bildhintergrund sitzt eine Gruppe von Menschen redend um einen Tisch.

Rückenwind für Forschung und Entwicklung

Während die europäische Medizinprodukteverordnung den Herstellern das Leben schwer macht, unterstützt das Bundesforschungsministerium die Branche mit zahlreichen Fördermaßnahmen. Die aktuellsten werden bei der Medica 2018 vorgestellt. Rückenwind für Forschung und Entwicklung Weiterlesen