IoT-Sicherheit: Der wunde Punkt im Krankhaus (Teil 1)
Seit Januar 2021 stellt der Bund im Rahmen des Krankenhauszukunftsgesetz drei Milliarden Euro für die Digitalisierung von Krankenhäusern bereit. Weitere 1,3 Milliarden kommen von den Ländern dazu. Das Ziel: ein umfassendes Investitionsprogramm für moderne Notfallkapazitäten, die Digitalisierung und nicht zuletzt Maßnahmen zur Steigerung der IT-Sicherheit. Insbesondere beim letzten Punkt ist die Dringlichkeit zum Handeln offensichtlich, denn Kliniken stehen immer öfter im Visier der Hacker. Das Interesse der Angreifer richtet sich in dem Zusammenhang zunehmend auf IoT-Geräte. Der Grund: Das Internet der Dinge hat ein Sicherheitsproblem, das ihm quasi in die Wiege gelegt wurde. Ganz branchenunabhängig warnen Experten bereits seit Jahren vor entsprechenden Schwachstellen. Beispiele entsprechender Angriffsszenarien gibt es mittlerweile zuhauf: Vom Mirai-Botnet, das 2016 Internet-Größen wie Netflix, Twitter und Reddit ins Straucheln brachte, bis hin zur jüngsten Kompromittierung von Verkada-Sicherheitskameras mit Auswirkungen auf Tech-Giganten wie Tesla und Cloudflare.
Zunehmend in Gefahr: IoT-Geräte im Gesundheitswesen
Während jedoch öffentlichkeitswirksame Sicherheitsverletzungen die Aufmerksamkeit vor allem auf herkömmliche IoT-Geräte und damit einhergehende Sicherheitsbedenken lenken, steigt auch die Anzahl der Angriffe in anderen IoT-Einsatzgebieten – wie im Gesundheitswesen – weiterhin sprunghaft an. Der enorme Nutzen vernetzter Sensoren für den diagnostischen Datenaustausch ist in diesem Einsatzszenario unbestritten. Nur sind hier die Folgen im Falle einer Sicherheitsverletzung ungleich verheerender. Branchenexperten gehen davon aus, dass die IoT-Einführung im Gesundheitswesen bis 2028 eine jährliche Wachstumsrate (CAGR) von 25,9 Prozent erreichen wird. Somit erhöht sich auch die Angriffsfläche.
Hohe Anfälligkeit medizinischer Geräte
In der Medizintechnik können technische Probleme zu lebensbedrohlichen Situationen führen. Gesundheitsdienstleister wie Krankenhäuser und Kliniken verlassen sich daher oft auf teure, hochgradig angepasste Anwendungen und Geräte. Diese werden jedoch oft nur zögerlich mit Updates und Patches versorgt – aus Angst, dass dadurch die Funktionsweise der eingesetzten Komponenten eingeschränkt werden könnte. Hier zeigen sich Parallelen zum traditionellen Internet of Things. Während dort in der Regel eine benutzerdefinierte Software auf einer mehrere Jahre alten Linux-Variante läuft, werden bei medizinischen IoT-Geräten häufig veraltete Versionen von Microsoft Windows und Windows Server eingesetzt. Im letzten Jahr fanden Forscher beispielsweise heraus, dass 45 Prozent der medizinischen Geräte für die kritische BlueKeep-Windows-Sicherheitslücke anfällig waren. Microsoft erachtete diese als so schwerwiegend, dass es sogar Legacy-Patches für eigentlich seit Jahren nicht mehr unterstützte Versionen seines Betriebssystems veröffentlichte.
Grundsätzlich lassen sich sämtliche IoT-Sicherheitsprobleme auf drei Versäumnisse zurückführen:
-
fehlende Sicherheitsüberlegungen bereits während der Entwicklung
-
lückenhafte Kenntnisse und mangelnde Transparenz bei denjenigen, die IoT einsetzen, und
-
fehlende Verwaltung der Geräteaktualisierungen nach der Bereitstellung
Worauf IT-Verantwortliche im Zuge dessen besonders achten sollten, beleuchten wir im nächsten Beitrag.