Gebrauchtgeräte beinhalten potentiell das Risiko, dass dort noch sensitive Daten vom Vorbesitzer gespeichert sind. Sicherheitsforscher haben sich Infusionspumpen, die gebraucht auf Sekundärmärkten wie eBay verkauft werden, mal genauer angesehen. Dabei wurde festgestellt, dass die Geräte oft sensible Daten wie Zugangsdaten der Krankenhäuser, in denen sie zuvor verwendet wurden, enthalten.
Anzeige
Das Gebrauchtgeräte wegen dort noch aufzufindender Daten ein Sicherheitsrisiko darstellen, wurde ja schon häufiger hier im Blog thematisiert. Festplatten mit sensitiven Informationen auf Ebay sind bereits häufiger Gegenstand von Beiträgen gewesen (letztmalig im Beitrag SAP-Datenleck: Vier Rechenzentrums-SSDs gestohlen; Sicherheitsuntersuchung nach Vorfall, was in diesem Fall die Ermittlungen unterstützt). Und im Beitrag Gebrauchte Canon-Drucker verraten WLAN-Passwort wurde ebenfalls auf einen speziellen Effekt bei Canon-Druckern hingewiesen.
Das Thema Medizingeräte hatte ich persönlich nicht so auf dem Radar, weil mir nicht klar war, ob es einen Gebrauchtgerätemarkt gibt. Eine kurze Recherche zeigte mir aber, dass dieser Markt durchaus existiert, das Thema Sicherheit ist also auch in Deutschland relevant. Die Tage bin ich auf nachfolgenden Tweet gestoßen, wo das Thema ebenfalls aufgegriffen wurde.
Rapid7 Sicherheitsforscher um Deral Heiland haben 13 Infusionspumpenmarken diverser Hersteller, die als Gebrauchtgeräte auf Sekundärmärkten wie eBay verkauft werden, untersucht. Dabei fanden sie heraus, dass in den Geräten noch eine Menge sensibler Informationen über die Vorbesitzer (i.d.R. Krankenhäuser) gespeichert waren. Die Sicherheitsforscher fanden Zugangsdaten und Authentifizierungsdaten, die von den vorherigen Gerätebesitzern eingetragen wurden, um die Geräte in deren IT-Netze zu integrieren.
Anzeige
Der Rapid7-Bericht (nur nach Registrierung abrufbar) zeigt, dass bei mindestens acht dieser 13 gebraucht auf Plattformen wie eBay gekauften Infusionspumpen die drahtlosen Authentifizierungsdaten für die Organisationen, die die Geräte zuvor besaßen, immer noch ohne weiteres verfügbar waren. Der Bericht zeigt ein immer noch bestehendes Problem beim Handel mit Gebrauchtgeräten und plädiert für ein umfassenderes und systematischeres Verfahren für den Rückkauf medizinischer Infusionspumpen, um Netzwerkzugänge und wichtige Patientendaten besser zu schützen.
Frage an die Leser und Leserinnen, die in diesem Bereich in der IT aktiv sind: Ist das in Deutschland auch ein Probleme? Werden überhaupt Gebrauchtgeräte eingesetzt? Gibt es Richtlinien, wie Geräte im Medizinbereich, die außer Betrieb genommen werden, in Punkto "löschen gespeicherter Daten" zu behandeln sind?
Anzeige
Und gebrauchte sonstige IoT Hardware enthält was? Viel zu entdecken..
Finde grundsätzlich bedenklich, dass solche medizinische Geräte in eBay und Co überhaupt offen angeboten wird. Sowas gehört in die Hände von ausgebildeten Fachleuten.
Es gibt mittlerweile Firmen, welche nichts anderes als gebrauchte Geräte zu verkaufen. Such mal nach "second hand medical eqiupment". Gerade bei Instituten mit geringem Budget ist das eine Alternative, die geforderte Diagnostik anzubieten. Dem Patienten ist es egal auf was für einem Gerät die Diagnose läuft, solange es korrekt ist.
Das größte Problem hast du als ITler, den es gibt verschiedene Regelwerke nach denen du spielen musst und diese sind nicht miteinander kompatibel. In Deutschland hast du das z.b. Medizinproduktegesetz, wo nach in Deutschland zugelassene Medizinprodukte, einen Zertifizierungsprozess durchlaufen müssen, um sicherzustellen das am Ende auch das gewünschte Ergebnis rauskommt. Dieser Prozess kann allerdings Jahre dauern.
Auf der anderen Seite hast du die DSGVO, wo festgeschrieben ist das Geräte auf dem "Stand der Technik" sein sollten. Sprich up2date. Jetzt haben wir ein Problem. Gesetzt den Fall, das Medizingeräte wurde auf Windows 10 1709 zertifiziert, kannst du es nicht updaten, denn sonst geht die Zertifizierung flöten. Nimmst du es ans Netz, ist es ein Problem mit der DSGVO.
Bei den second hand Geräte kommt noch etwas dazu, diese sind schon einige Jahre alt, wenn du Pech hast sind es etwas wie Windows Embedded Compact 6 oder 7.
Zur Frage aus dem Blogpost, "Gibt es Richtlinien, wie Geräte im Medizinbereich, die außer Betrieb genommen werden, in Punkto "löschen gespeicherter Daten" zu behandeln sind?"
Nein, gibt es nicht.
Und dass in eBay und Co offen PCs, Laptops, Festplatten, SSDs, Speicherkarten, USB-Sticks, DSL-Router, Drucker, Mobiltelefone, Tablets, iPods, Spielkonsolen, alexa & Co, Webcams, Smart Watches, eBook Reader, Küchengeräte mit WLAN, E-Fahrräder, E-Roller, Balkon Solaranlagen, smarte Steckdosen, Türöffner, Aquariumsteuerung, Modelleisenbahn & LEGO mit App Support, usw. angeboten werden. Sowas gehört in die Hände von ausgebildeten Fachleuten.
Bei Medizin-Geräten und dem sachgemäßen Umgang damit geht es direkt um Menschenleben. Das ist eine andere Hausnummer!
Bin mir relativ sicher, dass dieses Problem in vielen Kliniken auftritt. In der Regel ist nicht die IT für die Medizingeräte verantwortlich, dafür gibt es Medizintechnik-Abteilungen oder externe Dienstleister, die keine ausreichenden Kenntnisse im Bereich IT-Sicherheit haben. Kliniken bekommen oftmals auch kurzfristig Leih-Geräte, die dann ins WLAN müssen und irgendwann wieder abgeholt werden, ohne dass die IT (oder die Medizintechnik) davon was mitbekommt.
Ich glaube auch, dass die Größe der Klinik keine Rolle spielt, in kleineren Kliniken fehlt es vermutlich an Informationssicherheitsbeauftragten und definierten Prozessen, in Uni Kliniken haben die Professoren oftmals Narrenfreiheit und scharen ihre eigenen IT- und Medizintechniker (-Studenten) um sich, die ggf. auch nicht ausreichend sensibilisiert sind. Und dann gibt es eben noch die Medizintechniker (oder manchmal auch nur Vertreter / Verkäufer) der Hersteller und Lieferanten, die sich meist mit dem Gerät an sich schon auskennen, die Subnetz-Maske oder das Gateway dann aber schon böhmische Dörfer sind. Mir ist auch ein Fall bekannt, in dem ein Medizintechniker des Lieferanten das als vertraulich gekennzeichnete Dokument mit IP Adresse, WLAN-PSK etc. kopiert und zusammen mit dem Handbuch an die Ärzte der Abteilung übergeben hat.
Schön ist auch das viele komplexe Geräte (z.B. ein Knochendichtemeßgerät, gebraucht erworben) mit einem XP Rechner betrieben werden muss, da so zertifiziert.
In den oftmals kleinen Praxen, ohne Budget und daher nicht mal Netzwerksegmentierung. Mag sich jeder sein Teil denken :)
Der Fehler ist, dass hier nicht schon längst ein Gesetz existiert, was den Hersteller verpflichtet – für ALLE Teile 30 Jahre Support zu leisten. Entweder sagt so ein Hersteller dann: Microsoft – 30 Jahre lange vollen Support oder du bist raus…
Es könnte natürlich helfen bei Hardware und Software schon aus hust Klimagründen hust Nachhaltigkeit hust – 30 Jahre vollen Support per Gesetz vorzuschreiben – selbstverständlich rückwirkend.
@Faultier @Günter : Ein kurzer Versuch und Anriss für Medizingeräte. natürlich gibt es Richtlinien – jedoch nicht so "einfach" wie mans gerne hätte.
Wenn man davon ausgeht, dass es "gar keine" Normen gibt ist evtl KnowHow und Ansatz der Chefetage oder der Dienstleister falsch: @Klinik-ITlers Meinung zum Thema Verantwortung teile ich daher.
1. Richtlinien und Pflichten, dass gelöscht werden muss ist divers definiert. Dies resultiert vom HGB, DSGVO, über Managementansätze bis zur "Norm für Medizingeräte".
Dies ist in den relevanten Gesetzen, Normen o. Standards mehr oder weniger klar definiert, man verweist ebenso oft auf andere Normen oder "Best Practices".
Trigger oder Verbindungslinks sind hier idR Begriffe wie "Security" oder "Quality Management" bis zu ISO 9000. Stichworte zB die "Medizinprodukteakte"
Ganz konkrete Beispiele sehr Medizinspezifisch können zB sein:
-ISO 16142-1:2016 – Medical devices – Recognized essential principles of safety…
-ISO 13485:2016 – Medical devices – Quality management systems
2. Die Kunst des Löschens – Lediglich wie gelöscht werden muss ist damit Aufgabe und Auslegung. Dies resultiert mE dadurch, dass Richtlinien und Normenersteller allgemein bleiben um die Norm auf diverse (alle, neue, auch unbekannte) Geräte anzuwenden.
Dies sollte uns Technikern einleuchten: Wenn das "Zerbrechen" des Verschlüsselungs-TPM-Chips das verschlüsselte Daten-Array vom Fujitsu- oder DELL-Server "angemessen sicher löscht" ist das durchaus gangbar oder auditkonform, mann muss nicht 500TB 10 Tage mit random Werten nach Military-MIL-Norm X Tage "löschen". Wenn ich im Medizingerät nur einen fest verlöteten Flash mit Zugangscredentials nutze benötige ich eine komplett andere Vorgehensweise zur Löschung.
3. Das führt folgernd dazu, dass man zur Erfüllung der jeweiligen gesetzlichen Vorgaben, Normen oder Richtlinien zB im Audit als Unternehmen für die eigenen instanziierten Daten selber "definieren" muss. Die Transparenz wird je nach Fall durch viele Dokumentationsanforderungen ermöglicht: ISO 13485-> Medizinprodukteakte, Medizinprodukteverordnung -> zB Technische Dokumentation oder FDA-Akten.
Operativ kann dies zB dann im Detail mit einem Löschkonzept für die jeweilige Gerätegruppe definiert und umgesetzt werden. Oder mit einem Prozess der die "Gebrauch-Geräte-Abgabe" definiert.
Hier gibt es zig Ansätze, das BSI bietet zB Konzepte wie CON6 Löschen und Vernichten