Mobile Geräte, die zur Fernüberwachung von PatientInnen eingesetzt werden, können zum Sicherheitsrisiko werden. Das Unternehmen Kaspersky hat allein im vergangenen Jahr 33 Schwachstellen im am häufigsten verwendeten Datenübertragungsprotokoll dieser Geräte entdeckt.
Bei 18 dieser Sicherheitslücken handelt es sich um kritische Schwachstellen. Das sind 10 mehr als im Jahr 2020, viele von ihnen wurden bis heute nicht behoben und existieren noch immer. Einige dieser Schwachstellen geben Angreifern die Möglichkeit, Daten abzufangen, die online von dem Gerät gesendet werden.
Die anhaltende Pandemie hat zu einer rascheren Digitalisierung im Gesundheitssektor geführt. Zur Telemedizin gehört auch die Fernüberwachung von Patienten, die mit tragbaren Geräten und Monitoren durchgeführt wird. Sie überwachen kontinuierlich oder in Intervallen die Gesundheitsindikatoren von Patienten, wie zum Beispiel die Herztätigkeit.
MQTT-Protokoll anfällig
Das MQTT-Protokoll ist das am weitesten verbreitete Protokoll für die Datenübertragung von tragbaren Geräten und Sensoren. Es ist einfach zu handhaben. Daher ist es nicht nur in in mobilen Geräten, sondern auch in fast allen anderen intelligenten Gadgets zu finden. Allerdings ist die Authentifizierung bei der Verwendung von MQTT völlig optional und umfasst nur selten eine Verschlüsselung. Das macht MQTT sehr anfällig für Man-in-the-Middle-Angriffe, bei denen Angreifer sich während der Kommunikation zwischen zwei Parteien einschleusen können.
Prinzipiell ist es möglich, alle über das Internet übertragenen Daten zu stehlen. Bei tragbaren Geräten können die verarbeiteten und versendeten Informationen jedoch hochsensible medizinische Daten, persönliche Informationen und sogar die Bewegungen einer Person umfassen. Seit dem Jahr 2014 wurden 90 Schwachstellen in MQTT entdeckt, darunter auch kritische, von denen viele bis heute nicht behoben wurden.
Qualcomm Snapdragon ebenfalls anfällig
Schwachstellen fanden die Kaspersky-Experten nicht nur im MQTT-Protokoll, sondern auch in einer der beliebtesten Plattformen für Wearable-Geräte: der Qualcomm Snapdragon Wearable-Plattform. Seit deren Einführung wurden mehr als 400 Sicherheitslücken entdeckt, wobei nicht alle gepatcht wurden. Unter diesen Lücken befinden sich einige aus dem Jahr 2020. Die meisten Wearable-Geräte zeichnen sowohl Gesundheitsdaten als auch Standort und Bewegungen der Nutzer auf. Das ermöglicht nicht nur Datendiebstahl, sondern auch Stalking.
Datensicherheit Grundvoraussetzung
„Datensicherheit ist eine Grundvoraussetzung für die weitere Etablierung der Telemedizin. Dabei handelt es sich um eine geteilte Verantwortung. Gesetzgeber, Anbieter und Anwender der Telemedizin müssen gleichermaßen auf mehr Sicherheit hinwirken“, sagt Dr. Peter Zeggel, Gründer und Geschäftsführer des deutschen Telemedizin-Unternehmens arztkonsultation ak GmbH.
„Die Pandemie hat zu einem starken Wachstum des Telemedizin-Marktes geführt, dabei geht es nicht nur um die Kommunikation mit dem Arzt per Videosoftware“, so Maria Namestnikova, Leiterin des russischen Global Research and Analysis Teams (GReAT) bei Kaspersky. Es betreffe eine ganze Reihe komplexer, sich schnell entwickelnder Technologien und Produkte, darunter spezialisierte Anwendungen, tragbare Geräte, implantierbare Sensoren und cloudbasierte Datenbanken. „Viele Krankenhäuser nutzen jedoch immer noch ungeprüfte Dienste von Drittanbietern, um Patientendaten zu speichern, und Schwachstellen in tragbaren Geräten und Sensoren im Gesundheitswesen bleiben offen“, so die Sicherheitsforscherin. Sie empfiehlt, dass sich Unternehmen so umfassend wie möglich über das Sicherheitsniveau solcher Geräte informieren, bevor sie zum Einsatz kommen, um die eigenen Daten und die der Patienten zu schützen.“
Datensparsamkeit und Verschlüsselung
Kaspersky empfiehlt darüber hinaus, die Telemedizin-Apps übertragenen Daten auf ein Minimum begrenzen. So sollte etwa die Standortübertragung deaktiviert werden, wenn diese nicht benötigt wird. Zudem sollten – sofern das entsprechende Gerät dies unterstützt – stets alle Standardpasswörter geändert und Verschlüsselung genutzt werden.