BfARM-Cybersicherheitskonferenz : Sicherheitslücken allüberall

Die Gefahren der Cyberkriminalität sind real. Darin waren sich Sicherheitsexperten und Behördenvertreter auf einer Dialog-Veranstaltung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfARM) einig. Doch noch immer klaffen in IT- und MT-Systemen viele Sicherheitslücken. Helfen könne ein Risikomanagement. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und BfArM üben sich unterdessen im Schulterschluss: Sie kündigten eine gemeinsame Manipulationsstudie und ein Empfehlungspapier an.

Wolfgang Lauer, Leiter der Abteilung Medizinprodukte, steht hinter einem Pult und kündigt eine Studie zur Manipulation digitaler Medizinprodukte und ein Empfehlunspapier für Herseller und Betreiber an.
Wolfgang Lauer, Leiter der Abteilung Medizinprodukte, kündigte eine Studie zur Manipulation digitaler Medizinprodukte und ein Empfehlungspapier für Hersteller und Betreiber an.

„Alarmismus liegt uns fern“, sagte Karl Broich, Präsident des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) zum Auftakt der Cybersicherheitskonferenz. Nur „sehr wenige Meldungen“ über Cyberrisiken seien bislang bei der Behörde eingegangen. Zu konkreten Patientenschädigungen lägen bislang gar keine Meldungen vor, berichtete Wolfgang Lauer, der die Abteilung Medizinprodukte leitet. Peter Gausmann, dessen Versicherung GRB Gesellschaft für Risikoberatung Krankenhäuser gegen „alle Eventualitäten von Cyberschäden“ versichert, bestätigte, dass die spezielle Police bislang „noch nicht zum Zuge gekommen“ sei.

Doch dann legte Florian Grunow los: Als Sicherheitsanalytiker bei Enno Rey Netzwerke zieht er durch Krankenhäuser, besucht Medizintechnikhersteller, um – in deren Auftrag – Sicherheitslecks aufzuspüren. „Ich lege den Finger in die Wunde“, sagte er. „Ich habe nach einer Prüfung nur selten positive Nachrichten für meine Kunden.“ Der Klassiker in den Kliniken seien fehlende Software-Updates: Endoskope, deren Windows-Betriebssysteme inklusive Patientendatenbank auf einem zwei oder drei Jahre alten Patch-Stand laufen; Ultraschallgeräte, deren Betriebssysteme sogar zehn Jahre hinter dem Defacto-Stand zurückliegen – offene Einfallstore für Angreifer.

Hacker-Profi: „Komplexität ist ein Killer“

Den Herstellern attestiert der Berufshacker, ihre eigenen Produkte oft nicht mehr handeln zu können, weil diese immer vielschichtiger würden. „Jedes Mal, wenn ein Gerät neue Features bekommt, steigt auch dessen Komplexität – und Komplexität ist der Killer jeder IT-Security.“ Er habe jüngst während eines EKG-Tests eine Netzwerkkomponente gefunden, die eigenverantwortlich eine Webseite aufrief, über die das Gerät konfiguriert werden konnte. „Von dieser Komponente hat noch nicht einmal der Hersteller gewusst.“

Wie fatal Versäumnisse sowohl auf Hersteller- als auch Betreiberseite sein können, machte er am Beispiel eines anfälligen Kernspintomografen (MRT) deutlich, auf den er während einer Klinikprüfung stieß: „Ein kleines System aus mehreren Rechnern: ein Host-PC, dahinter ein Netzwerk, an dem zwei weitere Rechner hingen, einer für die Rekonstruktion der Bilder, der zweite für die Hardwaresteuerung des Geräts.“ Das System lief auf Windows – ohne Firewall, ohne Updates, ohne Virenschutz. „Der eine Rechner war ohne Passwort erreichbar, der andere – jener für die Steuerung des MRT – mit Default Credentials, die man einfach im Internet nachlesen kann.“ Außerdem fand sein Team beim Host-Rechner 114 offene Ports. „Normalerweise hat ein Windows-Rechner bis zu zwölf offene Ports, und das ist schon schlecht – mehr als hundert solcher offener Stellen bieten jedoch eine massive Angriffsfläche.“ Zu allem Überfluss gelangten die Prüfer über das Gäste-WLAN auf das System. „Diesen Host-Rechner zu kompromittieren war ein Leichtes“, so Grunow.

IT-Security runter, Safety und Verwendbarkeit hoch

Den Virenschutz auszuschalten, kann bei einem Medizinprodukt durchaus sinnvoll sein, räumte Grunow ein. „So ein Scanner greift extrem tief in ein System ein, was die Produktivität – und damit auch die Safety, also die Sicherheit des Patienten – einschränken kann.“ Die Ports waren laut Grunow vermutlich offen gehalten worden, damit die Systemkomponenten miteinander kommunizieren können. Auch die Firewall werde oft für eine bessere Interoperabilität ausgeschaltet. Grunow: „Manchmal ist es aber auch Fahrlässigkeit.“

Tatsächlich seien kleinere Sicherheitslecks oft Folge eines Kompromisses, sagte Hannes Molsen, Leiter der Produktsicherheit beim Medizintechnikkonzern Dräger. Manchmal müsse die IT-Sicherheit runtergefahren werden, um das Produkt überhaupt verwenden zu können. „Das sieht man gut an der drahtlos funkenden Insulinpumpe, die 2008 auf den Markt kam“, so Molsen. Ein Wissenschaftler hatte später entdeckt, dass die Verbindung, über die die Insulinabgaben der Pumpe gesteuert wurden, nicht ausreichend verschlüsselt war. Molsen: „Dem ging eine Herstellerentscheidung aus Energieüberlegungen voraus: Entweder wir verschlüsseln die Verbindung, dann muss aber der Anwender täglich die Batterie wechseln. Oder wir lassen es eben sein.“ Da Cyberangriffe auf Medizinprodukte damals kein großes Thema waren, habe sich das Unternehmen für letzteres entschieden. „Soll man denen nun deshalb einen Vorwurf machen?“

„Hundertprozentige Sicherheit gibt es nicht“

Fakt sei auch: Eine Securitylücke könne sich in jeder Phase der Herstellung in die Medizintechnik einschleichen – „ob bereits am Whiteboard, also bei der Architektur, in der Entwicklung, für die uns die Profis mit Security-Background fehlen, oder der Dokumentation“, so Molsen. Auch bei Installation und Konfiguration könnten Lücken entstehen „oder sie sind einfach da, weil jeder diese Konfigurationen ändern kann“. Im laufenden Betrieb birgt jedes Gerät mit Authentifizierung ein Risiko. „Denn irgendwann klebt jedes Passwort unter einer Tastatur.“ Deshalb könne sich „kein Hersteller hinstellen und sagen: ‚Zack, alles hundertprozentig sicher‘.“

Helfen könne ein umfassendes Risikomanagement: „Die Frage sollte nicht sein: Hat das System Sicherheitslücken? Denn darauf gibt es kein Nein“, so Molsen. „Vielmehr müssen wir uns fragen: Ist das System als Ganzes sicher, kann ich ihm vertrauen? Wie kann ich das Risiko so handeln, dass ein sicheres System entsteht?“ Dräger hat sich dazu ein Programm auferlegt, investiert etwa in das Training seiner Entwickler und Softwarearchitekten, führt eigene Bedrohungsanalysen durch, engagiert externe Hacker. „Wir überlegen uns, was könnte ein Angreifer wollen – und wie erschweren wir ihm den Zutritt?“ Ein System könne dann als sicher gelten, wenn der Aufwand eines Hackers, darin einzudringen, größer sei als sein Nutzen. Seit zwei Jahren händigt Dräger seinen Anwendern außerdem ein Whitepaper mit zusätzlichen Sicherheitsinfos aus.

Hersteller und Krankenhäuser – so kann's gehen

Jochen Kaiser plädierte für ein Risikomanagement im Krankenhaus: „Das ist ein Hygienefaktor“, so der CIO der Bezirkskliniken Schwaben. „Wenn wir in den Kliniken nicht aufräumen, können wir Medizinprodukte nicht sicher implementieren.“ Hersteller sollten sich beim Verkauf ihrer Geräte stärker an die Größe des belieferten Krankenhauses anpassen: In Klinikketten und Unikliniken bieten sich komplexe Szenarien an, der Hersteller könne das Risikomanagement begleiten. In einem kleinen Haus, in dem kaum Infrastruktur-Skills erwartet werden dürften, seien hingegen Standardprodukte gefragt. „Der Hersteller sollte ein plausibles Netzdesign und die Sicherheit vorgeben und die Auswahlmöglichkeiten reduzieren.“

Seinen Klinik-Kollegen rät er, die Security schon im Auswahlprozess eines Medizinprodukts zu berücksichtigen. „Wie kommuniziert das System, welche Firewallregeln lassen sich daraus ableiten, welche Updates und Upgrades fallen an? Das gehört in die Ausschreibung oder Vertragsverhandlung.“ Von den Behörden wünschte Kaiser sich weniger Komplexität. „Diese Vielzahl an Normen, zum Beispiel zum Thema Netzwerke oder Risikomanagement, versteht da draußen kaum jemand.“ Auch seien standardisierte Vertragsdokumente aus Hand der Behörden sinnvoll, an denen sich Kliniken und Hersteller orientieren könnten.

„Wenn wir uns jetzt beeilen, könnten wir gerade noch rechtzeitig sein.“

Auf Amtsseite ist nun tatsächlich etwas in Bewegung gekommen: So kündigten das BfArM und das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der Tagung eine gemeinsame Initiative zur Cybersicherheit von Medizinprodukten an. Kern ist eine Studie namens „ManiMed“, die untersucht, wie stark Medizinprodukte digital manipuliert werden können. Eine Marktübersicht soll darüber informieren, welche Gefahren bei welchen Produkten lauern und welche Sicherheitsanforderungen entwickelt werden können. Die Ergebnisse sollen in ein Empfehlungspapier für Hersteller und Betreiber münden, das neben Produkteigenschaften und Aspekten des Risikomanagements auch den sicheren Betrieb und korrektive Maßnahmen abbilden wird. „Es ist nicht Sinn der Initiative, den vielen existierenden Richtlinien und Papieren nun noch ein weiteres hinzuzufügen“, sagte BfArM-Experte Wolfgang Lauer. „Wir wollen die Expertise aus BSI und BfArM bündeln und Hersteller und Betreiber unterstützen.“

Sowohl mit der Studie als auch mit dem Empfehlungspapier stehen die beiden Ämter noch am Anfang. Mit einer Veröffentlichung des Papiers rechnet Lauer nicht vor Ende 2019. Input der Branche sei bereits jetzt ausdrücklich erwünscht. Denn die Gefahren könnten künftig zunehmen, der Betrieb von Medizintechnik könne riskanter werden – doch das BfArM ist zuversichtlich: „Wenn wir uns jetzt beeilen“, sagte Lauer, „könnten wir gerade noch rechtzeitig sein.“

Mehr im Internet:

BfArM-Informationen zur Cybersicherheit von Medizinprodukten

© Medizintechnologie.de

Das könnte Sie auch interessieren

Illustration: Auf der linken Seite ragt ein berghoher Papierstapel ins Bild. Rechts davor steht ein Mann. Erschrocken schlägt er sich die Hand vor den Mund. Hinter ihm weist ein Schild mit der Aufschrift MDR in Richtung des Papierberges.

Unternehmen brauchen mehr Zeit

Die Wirtschaftsminister der Bundesländer haben sich in ihrer diesjährigen Konferenz unter anderem mit der europäischen Medizinprodukte- und der In-vitro-Diagnostika-Verordnung (MDR / IVDR) befasst. Nun fordern sie die Bundesregierung auf, sich in Brüssel für längere Übergangsfristen stark zu machen. Unternehmen brauchen mehr Zeit Weiterlesen