IoT-Sicherheit: Der wunde Punkt im Krankhaus (Teil 2)
Im ersten Teil der Betrachtung zur IT-Sicherheit im Gesundheitswesen wurde die von IoT-Anwendungen im medizinischen Bereich ausgehende Gefahr inklusive der immensen Relevanz der möglichen Auswirkungen entsprechender Angriffe aufgezeigt. Im Zuge dessen sieht sich die IT-Administration ganz besonderen Herausforderungen gegenüber, auf die im Folgenden näher eingegangen werden soll.
Hier zur Erinnerung nochmal die drei Aspekte, die im Hinblick auf die Sicherheit von IoT-Anwendungen ins Gewicht fallen:
-
Vernachlässigung sicherheitsrelevanter Fragestellungen bei der Produktentwicklung
-
lückenhafte Kenntnisse und mangelnde Transparenz bei denjenigen, die IoT einsetzen, und
-
fehlende Verwaltung der Geräteaktualisierungen nach der Bereitstellung
IoT: Billig und gleichzeitig sicher?
Das erste Problem, die nachrangige Berücksichtigung von IT-Sicherheit bei der Entwicklung, lässt sich weitgehend darauf zurückzuführen, dass sich die meisten IoT-Anwender vom Preis lenken lassen. Wenn das Augenmerk jedoch nur darauf liegt, ob eine Lösung die grundlegenden technischen Anforderungen erfüllt und dabei gleichzeitig günstig in der Beschaffung ist, fehlt den Herstellern der Anreiz, zusätzliche Ressourcen für die Verbesserung der Sicherheit ihrer Produkte aufzuwenden. In der Folge werden Geräte ausgeliefert, die über schwache und fest kodierte Passwörter verfügen sowie mit veralteter Software und auf Betriebssystemen laufen, denen selbst grundlegende Schutzmaßnahmen fehlen. Das lädt Cyberkriminelle förmlich dazu ein, die scheunentorgroßen Sicherheitslücken auszunutzen. Das Mirai-Botnet von 2016 florierte beispielsweise nicht dadurch, dass eine ausgeklügelte Zero-Day-Schwachstelle in IoT-Kameras ausgenutzt wurde. Vielmehr reichte es aus, eine Liste mit 61 gängigen Benutzernamen und Passwörtern an einer vom Gerätehersteller nicht abgesicherten Verwaltungsschnittstelle durchzuprobieren – von Aufwand kann hier keine Rede sein.
Herausforderung für Administratoren
Aber auch auf Anwenderseite selbst stellt die Implementierung von IoT-Geräten für Netzwerk- und Systemadministratoren keine triviale Aufgabe dar: Sie müssen Geräte verwalten, für die entweder keine passenden Werkzeuge zur endpunktbasierten Gefahrenerkennung- und abwehr zur Verfügung stehen oder nur welche vorhanden sind, von deren Einsatz aufgrund eines möglicherweise (negativen) Einfluss auf die Funktionalität der IoT-Anwendung abgeraten wird. Darüber hinaus ist es nicht einfach, unautorisierte und/oder manipulierte IoT-Geräte (Rogue Devices), die Mitarbeiter wissentlich oder unwissentlich im Netzwerk einsetzen, überhaupt zu erkennen. Ein kompromittiertes Gerät ist für Cyberkriminelle in dem Fall das perfekte Mittel zum Zweck, um einen eigentlich geschützten Netzwerkperimeter ganz unbeobachtet zu überwinden.
Schwachstellen für die Ewigkeit?
Dass sich das Problem unsicherer IoT-Geräte von selber erledigt, ist kaum zu erwarten: Selbst wenn Forscher Schwachstellen in IoT-Geräten identifizieren und aufdecken, gestalten sich die Bereitstellung und Anwendung von Sicherheitsupdates oft schwierig bis unmöglich. Bei vielen IoT-Implementierungen fehlt ein langfristiges Wartungskonzept, identifizierte Schwachstellen bleiben oft über Jahre offen. Die Folgen sind desaströs: Letztes Jahr fanden Forscher des JSOF Schwachstellen in einer TCP/IP-Implementierung, die auf Hunderten von Millionen von IoT-Geräten im Zuge der Netzwerkverbindung Verwendung findet. Der Name: Ripple20. Schwachstellen wie diese können bei herkömmlichen Endgeräten und Systemen in der Regel durch ein einfaches Software-Update behoben werden. Bei eingebetteten IoT-Systemen erfordert das Einspielen von Updates im Vergleich dazu einen ungleich höheren Aufwand.
IoT: Trotz allem weiter auf dem Vormarsch
Trotz dieser Sicherheitsbedenken wird sich das IoT im Gesundheitswesen weiter durchsetzen, und das aus gutem Grund: Über das Netzwerk verbundene medizinische Geräte ermöglichen dem medizinischen Personal nicht nur schnellere und genauere Diagnosen. Sie sorgen vor allem für eine höhere Effizienz und das in einer Zeit, in der das globale Gesundheitssystem – Stichwort Coronavirus – ohnehin unter enormem Druck steht. Die Akzeptanz des IoT wird weiter zunehmen, da die Vorteile die Sicherheitsbedenken überwiegen. Aber das darf keine Ausrede dafür sein, die Gefahren einfach zu ignorieren. Auch neue Technologien wie diese lassen sich mit einem hohen Maß an Sicherheit erfolgreich implementieren.
Warum es für Unternehmen im Gesundheitssektor vor diesem Hintergrund entscheidend ist, eine nachhaltige IoT-Sicherheitsrichtlinie zu definieren, und was dabei zu beachten ist, zeigt die Fortsetzung dieses Beitrags.