Der „State of CPS Security Report: Healthcare 2023“ deckt alarmierende Sicherheitslücken bei medizinischen Geräten auf, die direkt bei der Patientenversorgung eingesetzt werden. Er bezieht sich zwar auf Krankenhäuser in den USA, aber auch in Deutschland dürften ähnliche Risiken bestehen.
Der Untersuchung zufolge weist jedes vierte medizinische Gerät (23 %) eine Schwachstelle aus dem Known-Exploited-Vulnerabilities (KEV)-Katalog der US-Cyber-Sicherheitsbehörde CISA auf. Zudem finden sich knapp zwei Drittel (63 %) der KEVs in medizinischen Netzwerken.
22 Prozent der untersuchten Krankenhäuser haben Geräte angeschlossen, die Gastnetzwerke, welche Patienten und Besuchern WiFi-Zugang bieten, mit internen Netzwerken verbinden. Dies schafft einen gefährlichen Angriffsvektor: Angreifer können diesen Zugang als Brücke zu den internen Netzwerken nutzen, in denen sich die Geräte zur Patientenversorgung befinden. Die Untersuchungen zeigten, dass vier Prozent kritischer, chirurgischer Geräte, deren Ausfall die Patientenversorgung deutlich beeinträchtigen könnte, über Gastnetzwerke kommunizieren.
Rund 14 Prozent der vernetzten medizinischen Geräte laufen mit nicht unterstützten oder technisch überholten Betriebssystemen. Bei 32 Prozent der nicht unterstützten Geräte handelt es sich um bildgebende Geräte, einschließlich Röntgen- und MRT-Systeme, die für die Diagnose und die vorgeschriebene Behandlung unerlässlich sind, und bei sieben Prozent um chirurgische Geräte.
Gefährliche Software-Schwachstellen
Der Bericht untersuchte Geräte mit hohen Exploit-Prediction-Scoring-System (EPSS)-Werten, die auf einer Skala von 0 bis 100 die Wahrscheinlichkeit angeben, dass eine Software-Schwachstelle real tatsächlich ausgenutzt wird. Die Analyse ergab, dass 11 Prozent der Patientengeräte, etwa Infusionspumpen, und 10 Prozent der chirurgischen Geräte Sicherheitslücken mit hohen EPSS-Werten aufweisen. Betrachtet man Geräte mit nicht unterstützten Betriebssystemen genauer, so weisen 85 Prozent der chirurgischen Geräte in dieser Kategorie hohe EPSS-Werte auf.
In der Studie wurde zudem untersucht, welche medizinischen Geräte remote zugänglich sind. Demnach sind 66 Prozent der bildgebenden Geräte, 54 Prozent der chirurgischen Geräte und 40 Prozent der Patientengeräte aus der Ferne erreichbar. Zudem wurde festgestellt, dass auch solche Geräte, deren Ausfall gravierende Folgen haben kann, wie Defibrillatoren, robotergestützte Chirurgie-Systeme und Defibrillator-Gateways, über Fernzugriffsmöglichkeiten verfügen.
In der ersten auf das Gesundheitswesen fokussierten Ausgabe des State of CPS Security Reports untersuchte Team82, eine Forschungseinheit des IT-Sicherheitsspezialisten Claroty, die Auswirkungen der zunehmenden Vernetzung medizinischer Geräte. Ziel des Berichts war es, die umfassende Konnektivität kritischer medizinischer Geräte – von bildgebenden Systemen bis hin zu Infusionspumpen – aufzuzeigen und die damit verbundenen Risiken zu beleuchten.
Anfälligkeit für Angriffe
„Die Vernetzung hat zu großen Veränderungen in Krankenhausnetzwerken geführt und deutliche Verbesserungen in der Patientenversorgung bewirkt. Ärzte sind in der Lage, aus der Ferne Diagnosen zu stellen, Medikamente zu verschreiben und Behandlungen mit einer nie dagewesenen Effizienz durchzuführen“, erklärt Amir Preminger, Vice President of Research von Claroty. „Die zunehmende Konnektivität erfordert jedoch eine entsprechende Netzwerkarchitektur und ein Verständnis für die Anfälligkeit für Angriffe, die damit einhergeht. Einrichtungen des Gesundheitswesens und ihre Sicherheitspartner müssen Richtlinien und Strategien entwickeln, die die Notwendigkeit widerstandsfähiger medizinischer Geräte und Systeme betonen. Essenziell sind dabei ein sicherer Fernzugriff, die Priorisierung des Risikomanagements und die Segmentierung.“