Laut des Security Report 2023 von Check Point Software Technologies sind Cyberangriffe im Jahr 2022 im Vergleich zum Vorjahr weltweit um 38 Prozent gestiegen. Angriffe auf den Gesundheitssektor stiegen sogar um 74 Prozent. Auch in Deutschland gab es bereits diverse Cyberattacken, erst Ende Januar dieses Jahres haben Hacker mehrere Krankenhäuser in Franken attackiert, unter anderem in Gerolzhofen und Schwabach. Vor dem Hintergrund des Russland-Ukraine-Konflikts warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) immer wieder vor einem erhöhten Risiko durch gezielte Cyberangriffe. Insbesondere sogenannte Unternehmen der kritischen Infrastruktur (Kritis), zu denen auch Krankenhäuser zählen, sind demnach gefährdet.

Fast alle Cyberangriffe zielen darauf ab, Angriffspunkte in der Microsoft Office-Infrastruktur zu finden, um darüber in die Verwaltungs-IT eines Klinikums einzudringen. In Krankenhausnetzwerken befinden sich indes, neben der Verwaltungs-IT, auch Medizingeräte. Die von ihnen produzierten Daten existieren zunächst in unterschiedlichen Formaten. In der klinischen Praxis müssen medizinische Systeme aber einheitlich miteinander kommunizieren und Daten austauschen können. Am häufigsten geschieht dies zwischen RIS, PACS, LIS und KIS.

Der Austausch muss allerdings auch zwischen Kliniken und sogar sämtlichen Institutionen des Gesundheitswesens stattfinden können. Dazu dienen die Standard-Kommunikationsprotokolle DICOM und HL7. Sie ermöglichen zum Beispiel eine Standardisierung der Administration von Patientendaten, der Übermittlung von Befunden, aber auch des Materialmanagements und der Ressourcenplanung. Bezogen auf ein Krankenhausnetz heißt das somit, dass nicht nur die Server für die Verwaltungs-IT, sondern auch DICOM und HL7-Server über das Internet zugänglich sind – und dementsprechend Angriffspunkte für Cyberattacken bieten.

Angriffspunkte aus dem Internet

„Normalerweise werden zur Identifizierung von Sicherheitslücken sogenannte Penetrationstests durchgeführt, bei denen ein System gezielt angegriffen wird. Netzwerkscanner suchen dabei verwundbare Geräte. Für medizinische Geräte gab es bislang jedoch noch keine zuverlässigen Scanner“, postuliert Prof. Sebastian Schinzel, Experte für Kryptografie, Cybersicherheit und Sicherheit medizinischer IT am Institut für Gesellschaft und Digitales der Fachhochschule FH Münster. Diesem Manko widmete sich das durch den europäischen Fonds für regionale Entwicklung geförderte nordrhein-westfälische Verbundprojekt „MITSicherheit.NRW“.

Die Forschungsgruppe unter der Leitung von Sebastian Schinzel hat insgesamt drei Instrumente zur Verbesserung der Cybersicherheit entwickelt. Zunächst fokussierte sie sich auf den sogenannten Large-Scale-Scanner, mit dem sich zahlreiche Angriffspunkte aus dem Internet identifizieren lassen. Zudem erstellten sie den Scanner „Me-dVAS“, der einen Verwundbarkeitsscan der IT-Infrastruktur in Krankenhäusern bei laufendem Betrieb ermöglicht – sowie die Testumgebung „MedFUZZ“ für die medizinischen Standardprotokolle DICOM und HL7, mit der Medizintechnikunternehmen Sicherheitslücken oder Instabilitäten der eigenen Software testen können.

Stand heute gibt es weltweit etwa 700 bis 800 DICOM-Server im Internet, auf die man zugreifen und Daten herunterladen kann.

Mit Hilfe des Large-Scale-Scanners wurde das gesamte Internet gezielt nach verschiedenen Kommunikationsprotokollen durchsucht. Es zeigte sich, dass diverse DICOM und HL7 Webserver und TI-Konnektoren ohne Schutz und Sicherheitsmaßnahmen zugänglich sind. Die Forscher fanden bundesweit etwas 200 Arztpraxen, deren TI-Konnektoren aus dem Internet erreichbar waren. Diese Sicherheitslücken konnten durch die Kooperation mit den zuständigen Behörden geschlossen werden.

Dabei blieb es allerdings nicht: „Stand heute gibt es weltweit etwa 700 bis 800 DICOM-Server im Internet, auf die man zugreifen und Daten herunterladen kann. Man erhält die IP-Adresse, sie laden sich dann einen DICOM-Viewer herunter, geben die IP-Adresse dort ein und sehen live Patientendaten etwa aus Vietnam, Brasilien oder den USA“, berichtet Christoph Saatjohann, Doktorand und Mitarbeiter des Labors für IT-Sicherheit der FH Münster. Die Betreiber der Server in Deutschland haben darauf reagiert und die Schwachstellen behoben. Bei den ausländischen DICOM-Serverbetreibenden war das Interesse indes nicht ganz so groß: „Da gibt es Länder, die sich einfach nicht dafür interessieren. Wir haben das den entsprechenden Behörden gemeldet, aber teilweise gab es da null Feedback.“

Medizingeräte schließen Netzwerkschnittstelle

Den Scanner „MedVAS“, mit dem sich krankenhausinterne Netze auf Schwachstellen überprüfen lassen, haben die Forscher vor Ort eingesetzt und ebenfalls Sicherheitslücken gefunden. „Wir haben Netzwerkscans gemacht, bei denen plötzlich Medizingeräte ausgestiegen sind. Da waren Sicherheitsprogramme in den Medizingeräten, die nach Erkennung des Scans ihre Netzwerkschnittstelle geschlossen haben. Die werten so einen Scan als Angriff und stellen sich dann tot. Erst, wenn der Hersteller das Gerät auf seine Werkseinstellung zurücksetzt, funktioniert es wieder. Das darf natürlich im Klinikumfeld einfach nicht passieren– man denke etwa an ein wichtiges Medizingerät, das sich während einer OP aufgrund eines Scans ausschaltet“, berichtet Sebastian Schinzel.

Außerdem wurden dabei, neben älteren Medizingeräten, deren Software veraltet oder bei deren Authentifizierung nur Standardbenutzernahmen und Passwörter hinterlegt waren, auch Server entdeckt, die dort eigentlich gar nicht sein sollten. „Uns wurde etwa seitens einer Klinik gesagt, dass in einem speziellen Netzwerkbereich eigentlich überhaupt kein medizinischer Server stehen dürfte, wir haben dann aber tatsächlich einen HL7 Server gefunden, der dort nicht sein sollte“, so der Experte.

Sobald Angreifer im Netzwerk vorhanden sind, können sie diese Daten lesen oder auch löschen und verschlüsseln.

Das drängendste Problem, dass die Forscher mit diesen Methoden entdeckt haben, ist allerdings keines, das einzelne Krankenhäuser oder Medizintechnikhersteller beheben können. Es hängt damit zusammen, dass Krankenhausnetzwerke und damit auch DICOM und HL7 historisch gewachsen sind. Sie wurden Ende der 80er Jahre entwickelt – zu dieser Zeit konnte der Ottonormaluser noch nicht ins Internet, die Sicherheitslage war also eine ganz andere.

„Heutzutage werden diese Protokolle aber im Grunde wie vor 20 oder 30 Jahren benutzt. Oft ist erstmal nicht vorgesehen, dass es da eine Authentifizierung und Transportverschlüsselung im krankenhausinternen Netz gibt, die Bilder sind oftmals für jeden zugänglich, der in der Lage ist, sein Netzwerkkabel in die richtige Buchse zu stecken. Und in wenigen Fällen sogar über das Internet. Die herstellerübergreifende Kommunikation ist insofern fundamental unsicher. Sobald Angreifer im Netzwerk vorhanden sind, können sie diese Daten lesen oder auch löschen und verschlüsseln. DICOM und HL7 haben wenige Funktionalitäten, um das zu verhindern“, gibt Sebastian Schinzel zu bedenken.

Virtuelle Simulation der IT-Struktur

Um die IT-Sicherheit von Medizingeräten zu erhöhen, widmet sich das im März letzten Jahres gestartete Nachfolgeprojekt „MedMax“ der Entwicklung neuer Tools und Maßnahmen zur Detektion und vor allem Reaktion von Cyberangriffe gegen Krankenhäuser. Durchgeführt wird das Projekt von der FH Münster in Zusammenarbeit mit der Westfälischen Wilhelms-Universität Münster (WWU).

Die Grundannahme ist hier, dass eine reine Prävention angesichts der zahlreichen erfolgreichen Cyberangriffe gegen Krankenhäuser nicht mehr ausreicht. „Daher machen wir uns im Projekt MedMAX Gedanken darüber, wie man Cyberangriffe früh erkennen kann und mit welchen Mitteln sich die Resilienz von Kliniknetzen erhöhen lässt. Unter anderem werden wir daher eine virtuelle Kopie eines Teilsystems der Krankenhaus-IT-Struktur entwickeln, gegen das sich dann etwa Sicherheitsanalysen fahren lassen. Wir machen das also nicht am Produktivsystem mit seinen eigentlichen Medizingeräten, sondern simulieren diese Geräte und Gerätestruktur“ berichtet Christoph Saatjohann.

Verbindlichkeit für Hersteller gefordert

Was das Problem der fundamental unsicheren herstellerübergreifende Kommunikation mit DICOM und HL7 betrifft, geben die Experten eine Handlungsempfehlung. Die Standards sollten mit ausreichend Verschlüsselungs- und Authentifizierungsmöglichkeiten versehen werden. „Perspektivisch ist es sinnvoll, dass diese Standards in Richtung Sicherheit weiterentwickelt werden. Sie beinhalten bereits wesentliche Elemente hierfür. Die werden von den Modalitätenherstellenden aber nicht unterstützt. Ein weiteres Problem ist die Verwaltung der Schlüsselzertifikate, um verschlüsselte DICOM-Kommunikation in der Praxis flächendeckend einsetzen zu können. Es wäre wünschenswert, hier eine Verbindlichkeit für Herstellende festzulegen und nach einer Übergangsfrist nur noch solche Modalitäten zuzulassen, welche die Sicherheitsanforderungen unterstützen“, unterstreicht Sebastian Schinzel.

Denn angesichts der steigenden Gefahr von Cyberangriffen auf den Gesundheitssektor dürfte man sich nicht darauf verlassen, dass Hacker ihre Attacken ausschließlich gegen die Verwaltungs-IT fahren. „Der Angriffsfokus liegt bisher auf der unzureichenden Absicherung der Microsoft Windows Netzwerke und noch nicht auf der Medizintechnik. Das ist eine reine Geschäftsentscheidung der Angreifer – bisher sind sie hier offenbar mit dem Fokus auf Windows-Komponenten besser gefahren. Das kann sich aber ändern, sobald man die Windowsnetzwerke besser abgesichert hat“, warnt der Experte.