BSI-Studie: Sicherheitslücken bei Medizinprodukten (2020)

Wie ist es um die Sicherheit unserer Medizinprodukte bestellt? Schlecht, wie das Bundesamt für Sicherheit in der Informations­technik (BSI) in einer Studie herausgefunden hat. Bei zehn Medizinprodukten (von der Insulinpumpe bis zum Herzschrittmacher) insgesamt 150 Sicherheits­lücken gefunden.


Anzeige

Das BSI wollte wissen, wie problematisch Sicherheitslücken in gängigen Medizinprodukten sind und hat in einer breit angelegten Studie die Cybersicherheit von Medizinprodukten untersucht. Gefunden wurden 150 Schwachstellen bei zehn getesteten Geräten, wie aus der 85-seitigen Studie hervorgeht. Leider ist diese Studie bisher nicht öffentlich zugänglich, liegt aber dem Redaktions­Netzwerk Deutschland (RND) exklusiv vor. Dieses hat in diesem Artikel einige Ergebnisse öffentlich gemacht.

Untersuchung des BSI

Die Untersuchung des BSI bezog sich auf Infusions- und Spritzenpumpen, Herzschrittmacher, Monitore und Insulinpumpen (also nicht mal Röntgen- oder CT-Geräte). Arne Schönbohm, Chef des BSI, hält die Zahl der aufgedeckten Schwachstellen für "auffällig hoch" und verdeutlicht die Sachlage gegenüber RND an einem praktischen Beispiel: 

Das sind im Durchschnitt 15 Schwachstellen pro Gerät. Das ist, als ob man ein Dach decken lässt und am Ende hat es 15 undichte Stellen. Das würde kein Hausbesitzer akzeptieren.

Allerdings kommt die Sicherheitsstudie auch zu einem interessanten Schluss: Bei der Prüfung stellte sich heraus, dass die Schwachstellen häufig in der begleitenden Infrastruktur, selten jedoch in Medizinprodukten zu finden waren. Sprich: In der Firmware der Geräte sind nicht mal so viele Sicherheitslücken gefunden worden. Vielmehr sind es Probleme in der Infrastruktur, die zu Problemen führen.

Insulinpumpe manipulierbar

Insulinpumpen sind eigentlich Standard und werden vom Betrieb her als recht robust eingestuft. Die Geräte funktionieren auch noch, wenn die Infrastruktur ausfällt. Aber bei einer der geprüften Insulinpumpe ermöglichte eine Schwachstelle die Übernahme des Geräts durch Angreifer. Diese könnten dann die Insulinmenge so erhöhen, dass der mit Insulin versorgte Mensch stirbt. Ein Szenario, ähnlich wie der in Filmen immer mal wieder gezeichnete Mord durch Fernmanipulation eines Herzschrittmachers.


Anzeige

Infrastruktur, was ist das?

Spontan habe ich mich gefragt, was unter der begleitenden Infrastruktur zu verstehen ist. Der RND-Artikel nennt dort ein Beispiel. Die Docks zur Ankopplung der Insulinstationen gehören zur Infrastruktur. Diese Stationen kommunizierten vielfach direkt mit den Insulinpumpen und die Docks für die Pumpen waren in der Regel weniger gesichert, heißt es in der Studie. Die dort vermehrt festgestellten Schwachstellen böten einem Angreifer eine Schnittstelle für einen möglichen Zugang zu den Pumpen. Ähnlich scheint es um weitere Medizinprodukte bestellt sein.

Nachholbedarf bei der Sicherheit

Das RedaktionsNetzwerk Deutschland (RND) zitiert Arne Schönbohm: 'Bei der IT-Sicherheit der Medizinprodukte gibt es Nachholbedarf. Da müssen die Hersteller ganz klar besser werden. Bei einem Produkt ist sogar die Patientensicherheit gefährdet gewesen." Schönbohm hat aber auch eine gute Nachricht, denn bei den untersuchten Produkten sind die Sicherheitslücken inzwischen überwiegend beseitigt – es geht also.

Die Teilnahme an der Studie war für die Unternehmen freiwillig. Laut Studienautorin Dina Truxius vom BSI hätten nicht nur Unternehmen mitgemacht, die 'bereits viel in Gerätesicherheit investiert hatten'. Im Ergebnis waren nicht alle Hersteller von den Ergebnissen begeistert, die durch die Studie ermittelt wurden. Das Fazit der Studienautorin: "Zusammenfassend lässt sich sagen: Die Medizinprodukte sind robust und erhalten Leben. Bei ihrer IT-Sicherheit muss allerdings nachgearbeitet werden."

Ein Problem deutet sich allerdings auch an. Patientensicherhit durch manipulationssichere Medizinprodukte wie die oben erwähnte Insulinpumpe sind das Eine. Medizinprodukte werden ja breitflächige in Krankenhäusern eingesetzt, so dass sich ein entsprechend großes Erpressungspotential für Cyber-Kriminelle ergibt. Die Ransomware-Vorfälle der letzten zwei Jahre, die ganze Kliniken lahm gelegt haben, zeigen das Risiko auf.

„Theoretisch ist es denkbar, dass Medizingeräte mit Sicherheitslücken ein Krankenhaus erpressbar machen. Beispielsweise wenn sich jemand Zugang zu Medizingeräten an Intensivbetten in einer Klinik verschafft und damit droht, diese lahmzulegen", sagte Truxius gegenüber RND. Arne Schönbohm meint zu den Cyber-Vorfällen in Kliniken seit 2016: "Mit relativ einfachen Maßnahmen wie dem IT-Grundschutz des BSI hätte man eine Vielzahl der Angriffe abwehren können. Mir macht Sorge, dass bislang noch nicht alle ausreichend gehandelt haben. Für ein hohes Niveau an IT-Sicherheit sollten mindestens 15 bis 20 Prozent der IT-Kosten eines Betriebs in die IT-Sicherheit fließen."

Die Forderung des BSI: Die IT-Sicherheit in der Gesundheits­versorgung müsse einen ähnlich hohen Stellenwert bekommen wie die Patienten­sicherheit. Allerdings sieht das BSI, dass das Bewusstsein dafür gerade wachse. Hoffen wir, dass dies auch wirklich zutrifft. Die nächste große Sicherheitsbaustelle ist die elektronische Patientenakte (ePA) sowie die Digitalisierung der Medizin.

Ähnliche Artikel:
Sicherheitslücken in Herzschrittmacher & Insulinpumpen
NSA sucht Exploits für IoT und Herzschrittmacher
Implantierbare Defibrillatoren leicht hackbar
(Deine) Patientendaten im Darknet …
Cyber-Angriff mit Ransomware auf US-Klinikbetreiber UHS
Düsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff?
Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge
Ransomware-Befall in Uniklinik Düsseldorf nicht für Todesfall verantwortlich
Ransomware-Befall in Uniklinik von Brno (Brünn Tschechien)
Klinikum Fürth wegen Trojaner offline
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt
Virusinfektion legt britische Kliniken lahm
Hollywood-Klinik nach Ransomware-Angriff offline
Ransome-Malware legt Klinikbetrieb lahm

IoT: Gebäudesteuerung von Klinik per Netz erreichbar


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu BSI-Studie: Sicherheitslücken bei Medizinprodukten (2020)

  1. Dennis sagt:

    Moin,

    m.M.n. ist das Problem an mehreren Stellen zu finden und lässt sich leicht von einem zum anderen abwenden.

    Das Medizinproduktegesetz (MPG)
    Dort werden viele rechtliche Grundlagen dafür gesetzt, dass ein Produkt (z.B. ein IT-System im Verbund, wie das für die Pumpen oder Patientenmonitoring für Intensivstationen inkl. deren Server) als solches zertifiziert wird.
    Dann ist das System, so wie es ist, rechtliche safe!

    Bemängelt der IT-Verantwortliche nun die IT-Sicherheit, DARF das System nicht so einfach verändert werden, da es eben in diesem Zustand zertifiziert wurde.
    Beispiel Verschlüsselung bei der Übetragung:
    Sind zu übertragene Informationen schützenswert, ist zu verschlüsseln.
    Es sei denn, eine Rechtsgrundlage (in dem Fall das MPG) sieht etwas anders vor.

    Ist also ein Teufelskreis und jeder wiegt sich in Sicherheit, da ja rechtlich alles safe ist. Ist für mich typisch deutsch.
    Die Gesetzeslage ist eben nicht immer sinnvoll, geschweige denn sicher.

    M.M.n. müsste also das MPG in Bezug auf IT-Sicherheit stark nachgebessert und die Herstellerfirmen mehr in die Bütt genommen werden.

    Ändern wird sich trotzdem nichts, zumindest glaube ich nicht daran, denn jeder Roleplayer will bei sowas auf keinen Fall verantwortlich sein. Weder Hersteller, noch IT-Verantwortlicher.

    LG aus dem Krankenhaus ;)

    • Christian sagt:

      Schönen Gruß zurück :-)
      Als Software-Entwickler medizinischer Software kann ich dem nur zustimmen (auch wenn es jetzt nicht mehr das MPG ist, sondern die MDR, die uns Probleme bereitet).
      Wenn man sich alleine mal das Wirrwarr um den Begriff des "Stands der Technik" ansieht, bekommt man eine Ahnung von den Problemen.
      Wen es interessiert, hier ist ein schöner Abriss dazu: https://www.johner-institut.de/blog/regulatory-affairs/stand-der-technik/

      vg
      Christian

    • Paul sagt:

      Jupp.
      Als Endkunde meldete ich einem Medzingeräte-Hersteller einen Bug, der m.E. den Patienten hätte gefährden können (ohne das das nachweisbar gewesen wäre…).
      Vom Marketing(!) bekam ich als Antwort, das das Gerät selbstverständlich den und den Vorschriften entspäche und ich mir daher keine Sorgen machen müsse…
      Also genau das was hier beschrieben ist:
      "Wir haben die Zulassung, also ist das Gerät OK"…

      Versuche das Problem auf anderem Weg zu lösen zeigten, dass es ein geschlossenes, Kreis-System ist: Fehlermeldungen (gar durch Endkúnden) unerwünscht. Keine Struktur dafür vorgehalten. (Und sei es nur ein Ticket-System..)

      Da spielt auch die streng hierarchische Struktur unserer Krankenhäuser eine gefährliche Rolle.
      Sei es der saufenden Chef-Chirug, den niemand "im Haus" anzeigen würde, der -jemals- Karriere machen will, obwohl alle sein Problem kennen…
      Sei es das "regelmäßige" "verwechseln" von Kalium- und Natriumlösung, das, wie sich später ja zeigte, besonders oft bei dem einen Pfleger aufgetreten war, der gerne als "Retter" auftreten wollte und einfach nur von Haus zu Haus weitergereicht wurde, ohne Warnung…
      (Dank eines anonymen(!) Meldesystems wurden inzwischen die Anschlüsse unverwechselbar gemacht…)

      Da wäre der Gesetzgeber gefordert…
      aber ist ja ein Software-Fehler, da kann man nichts machen.

  2. Dat Bundesferkel sagt:

    So gut und schön eine angestrebte "IT-Sicherheit" bei diesen medizinischen Helferlein auch ist, aber diese Gerätschaften haben ganz andere Probleme (Insulinpumpen, Herzschrittmacher, Hörgeräte etc.) – sie reagieren arg allergisch auf elektromagnetische Felder.
    Ich würde erst mal daran arbeiten, sie generell unempfindlicher zu machen (gerne auch beides gleichzeitig im Auge halten). Denn was nutzt eine super sichere Programmierung und Verschlüsselung, wenn ich nur etwas stärker in direkter Nähe funken müßte, um die Geräte außer Gefecht zu setzen, oder sie zu beeinträchtigen. Mehr braucht es dazu nicht.

    • Paul sagt:

      Uups. Ich dachte die hätten das EMV-Problem inzwischen, nach über 20 Jahren, im Griff?
      Das Handy-/PC-Verbot im KH besteht ja nicht mehr, oder?

      • Dat Bundesferkel sagt:

        Es ist besser geworden, aber leider immer noch fernab von "im Griff haben".

        Das Verbot besteht immer noch in kritischen Bereichen.

        Kannst ja mal nach "herzschrittmacher was beachten" suchen @ Suchmaschine. Ich will jetzt nicht willkürlich Links setzen, im Abschlußwort sind sie sich alle einig:
        Smartphones etwa 15 cm Abstand zum Herzschrittmacher, größere Geräte wie Bohrmaschinen etc. pp mind. 30 cm Abstand.
        Ich könnte mir vorstellen, daß man mit gezieltem EMF eine noch bedeutend größere Distanz hinbekäme.

        • Paul sagt:

          Naja, Herzschrittmacher sollen/müssen "Leitungen" nach draußen habe, auch zum Messen von minimalen Spannungsverläufen. Wenn da ein Handy drauf liegt und gerade sein OTA-Update macht ist sicher nix mehr viel "Messen" und es wird in den Notfall-Modus gehen…unschön für den Träger, wenn der gerade auf einer Leiter steht um zu bohren…
          15cm finde ich da schon erstaunlich wenig.
          Früher war es aber so, das die wohl (begründete?) Angst hatten, dass das normale Equipment, wie Infusionspumpen, ins Programm-Nirwana sprangen und u.U. die Pumpfunktion eingeschaltet blieb.
          Vermutlich konnte man den Geräte so sogar Dauerschäden beibringen. Hat hier wer genaue Doku, was da passiert war, was damals zum Handy-Verbot geführt hat?

          (Böse Zungen behaupteten gar, das manche Klinik um den Ertrag der hauseigenen Telefon-Anlage gefürchteten haben soll, wenn jetzt sein eigenes Handy benutzt…(auch war es wohl knapp mit den Kanälen, so das im Notfall die Ärzte kein Handy nutzen konnten.).)

          Achso: Ein Zahnarzt sah sich auch gezwungen, wieder ein Handy-Verbot im Sprechzimmer auszusprechen:
          Es war wohl öfters vorgekommen, dass es während der Behandlung klingelte und der Patient das Gespräch führen wollte…und der Dentist mit drehendem Bohrer da stand…

          Dieses erfordert aber alles "physikalische Nähe/Zugriff".
          Wenn mir ein Fremder einen EMV-Testpistole auf die Brust setzt merke ich das aber deutlich wahrscheinlicher, als wenn wer sich "remote" über das LAN zu meiner Infusions-Pumpe getunnelt hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.