FH Münster/Jana Bade

Das Gesundheitswesen ist zunehmend von Bedrohungen aus dem Cyber-Raum betroffen – zu diesem Ergebnis kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 im Bericht zur Lage der IT-Sicherheit in Deutschland. Insbesondere Krankenhäuser wurden in der Vergangenheit häufiger Opfer von Cyberangriffen, zuletzt beispielsweise das Klinikum Lippe im November 2022.

Wie man die aktuell mehr als 200 000 medizinischen Einrichtungen in Deutschland besser schützen kann, untersucht Christoph Saatjohann, Doktorand im Labor für IT-Sicherheit der FH Münster. Im Fokus seiner Forschung stehen dabei unterschiedliche Aspekte – von der Telematikinfrastruktur (TI), der zentralen Plattform für digitale Anwendungen im deutschen Gesundheitswesen, über IT-Sicherheitslücken in kardiologischen Implantaten bis hin zur Entwicklung neuer Werkzeuge und Maßnahmen zur Detektion und Reaktion im Falle eines Cyberangriffs. 

Reine Prävention nicht ausreichend

Im März vergangenen Jahres startete das Forschungsprojekt „MedMax“, an dem Saatjohann mitwirkt. Unter Leitung von Prof. Dr. Sebastian Schinzel, Leiter des Labors für IT-Sicherheit an der FH Münster, und Prof. Dr. Thomas Hupperich von der WWU Münster erforschen die Wissenschaftler, wie sie mithilfe datenschutzkonform gesammelter Telemetriedaten aus Krankenhäusern Cyberangriffe detektieren können.

Zur Untersuchung nutzen sie Methoden des Maschinellen Lernens, um krankenhausspezifische Angriffsmuster und Anomalien ausfindig zu machen. Dabei beziehen sie erstmalig auch spezielle medizintechnische Kommunikationsprotokolle wie DICOM, HL7 oder FHIR mit ein. Aufbauend auf Studien der Vorgängerprojekte „MediSec“ sowie „MITSicherheit.NRW“ konfrontiert das Forschungsteam Ärzte, Patienten, Pflegende und IT-Personal mit Cyberangriffen und analysiert ihre Reaktionen. „Es hat sich gezeigt, dass eine reine Prävention nicht mehr ausreicht“, erläutert Saatjohann. „Wir brauchen daher effektive Tools und Maßnahmen zur Detektion und vor allem Reaktion, beispielsweise ein Cyber-Sicherheitstraining für alle Akteure im Gesundheitswesen.“

TI-Konnektor als Sicherheitslücke

Im Rahmen seiner Forschung warnte Saatjohann gemeinsam mit Kollegen bereits mehrfach vor gravierenden Sicherheitslücken im Medizinsektor. Sie simulierten einen Hackerangriff und wären in mehreren Fällen in der Lage gewesen, sensible Patientenakten ohne Passwortschutz aufrufen zu können. Auf vielen Kommunikationswegen sei eine sichere Ende-zu-Ende-Verschlüsselung nach wie vor nicht gewährleistet. „Klartext-E-Mails mit sensiblen Daten ohne Verschlüsselung verschicken – das geht so nicht“, mahnt der IT-Sicherheitsexperte. „Auch ein Telefax ist heute nicht mehr datenschutzkonform, da es nicht mehr wie früher analog, sondern über das Internet verschickt wird.“

Bei ihrer Untersuchung stellten sie zudem fest, dass die TI bei falscher Handhabung des sogenannten TI-Konnektors fehleranfällig ist. „Es gab damals zwei potenzielle Sicherheitslücken: Einmal bei einer fehlerhaften Konfiguration des Praxisnetzwerks und zum anderen beim Anschluss an ein zentrales Rechenzentrum“, erklärt Saatjohann. Es sei wichtig, dass Praxen das Thema IT-Sicherheit ernst nehmen und für die Einrichtung und Wartung der TI-Konnektoren Experten fragen.

Telemonitoring-Geräte im Visier

Wie sicher oder eher unsicher Technik im Herzen ist, zeigte Saatjohann vergangenes Jahr in einer Studie gemeinsam mit Endres Puschner, Doktorand am Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum, und weiteren Beteiligten der FH Münster sowie des Universitätsklinikums Münster (UKM). Die Sicherheitsforschenden analysierten Programmiergeräte und Telemonitoring-Geräte, welche für die Programmierung und Überwachung von implantierbaren Herzschrittmachern, Kardioverter-Defibrillatoren und Herzmonitoren genutzt werden. Über die Lücken, die sie aufdeckten, könnten einzelnen, ausgewählten Personen – beispielsweise Prominenten – direkt oder indirekt Schaden zugefügt werden.

Saatjohann und Puschner untersuchten außerdem die Datenschutz-Prozesse der Herstellenden und Krankenhäuser. „Aus Sicht der Patienten sind diese Prozesse unzureichend und frustrierend", betont der FH-Doktorand. Während eines Vortrags beim virtuellen Hackertreffen rC3 (remote Chaos Communication Congress) installierten sie zur Veranschaulichung ein Videospiel auf einem Programmiergerät, mit dem normalerweise Herzschrittmacher in Kliniken eingestellt und verwaltet werden.