Die Norwegerin Marie Moe hatte gerade eben noch ihren Orangensaft getrunken, als sie sich auf einmal auf dem Fußboden umgeben von zerbrochenem Glas und verschüttetem Saft wiederfand. Sie hatte keine Ahnung, was ihr passiert war und warum. Im Krankenhaus erfuhr sie, dass sie ein Problem mit dem Herz hat und ihr ein Schrittmacher eingesetzt werden musste.

Das Spezielle an Marie Moe: Sie hat einen Doktortitel in Informationssicherheit und kümmerte sich z.B. einige Jahre um Cyberangriffe gegen Norwegens kritische Infrastruktur. Seit diesem Vorfall beob­achtet sie auch ihre eigene kritische Infrastruktur: den implantierten Schrittmacher.

Moderne Geräte mit ihren diversen Schnittstellen sind für externe Angriffe anfällig. 2016 musste der Hersteller Johnson & Johnson tausende Träger von vernetzten Insulinpumpen aufgrund von Software-Sicherheitslücken kontaktieren. Und 2017 bestellte das Unternehmen St. Jude Medical fast eine halbe Million Patienten mit Herzschrittmachern in die Kliniken ein, sie sollten ihre Geräte dort updaten, um eine IT-Sicherheitslücke zu schließen (auch 12.661 Patienten in Deutschland waren davon betroffen). Fälle dieser oder vergleichbarer Art gibt es weitere.

„Go Ahead, Hackers. Break My Heart.“ Mit diesem abgewandelten Songtitel wandte sich die Sicherheitsforscherin Marie Moe an die Community der Hacker und IT-Sicherheitsexperten mit der Aufforderung, sich mit vernetzten medizinischen Geräten zu beschäftigen. Im Juli 2020 veröffentlichte sie eine Reihe von Ergebnissen dazu, darunter Schwachstellen in der Authentifizierung, der Verschlüsselung, im Anmeldeprozess und in der Kennwortspeicherung.

Weniger aus persönlicher Betroffenheit, aber gleichermaßen die Dringlichkeit betonend, hat sich jetzt das BSI systematisch mit vernetzten medizinischen Geräten beschäftigt. Im Projekt ManiMed – Manipulation von Medizinprodukten, veröffentlicht Ende 2020 – wurden in einer Stichprobenprüfung vernetzte Medizingeräte auf ihre IT-Sicherheit untersucht.

Denn je mehr intelligente medizinische Geräte in Verkehr sind, desto mehr kommen Schwachstellen in den Systemen zum Tragen. Dabei können Patientendaten missbraucht werden oder kann auch direkt die Patientensicherheit in Gefahr geraten. „Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Sie ist auch die Voraussetzung für eine sichere Gesundheitsversorgung,“, sagt Arne Schönbohm, Präsident des BSI.

Die Auswahl der Geräte, die untersucht wurden, erfolgte nach einer systematischen Marktanalyse und in Absprache mit den Herstellern, geprüft wurden jeweils zwei Geräte aus den Kategorien implantierbare Herzschrittmacher und Defibrillatoren, Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore.

Die meisten Schwachstellen betrafen die Komponenten

Medizinprodukte fallen grundsätzlich in den Zuständigkeitsbereich des Bundesinstituts für Arzneimittel und Medizinprodukte. Erst seit 2017 muss auch die IT-Sicherheit geprüft werden, bevor ein Produkt in Verkehr gebracht werden kann. Diese Tests sind jedoch produktbezogen und nicht für ein Gesamtsystem, bestehend aus Medizinprodukt und Umgebungskomponenten, konzipiert wie im Projekt ManiMed.

Über alle Produkte hinweg wurden vom BSI über 150 Schwachstellen unterschiedlichen Schweregrades identifiziert. Die meis­ten betrafen die Infrastrukturkomponenten, nicht die Medizinprodukte selbst.

Die wohl gravierendste Schwachstelle wies eine der geprüften Insulinpumpen auf. Sie war über ein schwaches Passwort-, PIN- und Verschlüsselungssystem gesichert, sodass die Pumpe über verschiedene Wege und ohne technischen Aufwand gehijackt hätte werden können. Wird so die Kontrolle über das Gerät übernommen, kann von einem Angreifer z.B. die maximale tägliche Insulin­dosis verändert werden.

Um das Risiko so schnell wie möglich zu begrenzen, mussten die Patientinnen und Patienten umgehend auf die Sicherheitslücke hingewiesen werden und wurden aufgefordert, die Pumpe auf Flugmodus umzustellen. Über ein Update des Hersteller wurde die Sicherheitslücke zeitnah geschlossen.

Bei einer anderen Insulinpumpe wurden Authentifizierungsschwächen gefunden, die ermöglichten, die Batterie der Pumpe zu entleeren, indem diese immer wieder über bestimmte Schreibvorgänge zum Vibrieren gebracht wurde. Weitere Schwachstellen lagen in der unsicheren Kommunikation zwischen der App und dem Backend, einer fehlenden Passwortrichtlinie, einem unsicheren Schlüssel in der mobilen Anwendung sowie in der teilweise veralteten Software mit sogar öffentlich bekannten Sicherheitsmängeln.

Zwar konnte keine dieser Schwachstellen während der Tests für einen Angriff ausgenutzt werden. Die Kommunikation zwischen der mobilen Anwendung und dem Backend war allerdings anfällig für Man-in-the-Middle-Angriffe, also solche, bei denen ein Angreifer die Rolle des jeweils anderen Ende der Kommunikation einnimmt. In dieser Position kann diese Person nicht nur unbefugt die komplette Kommunikation lesen, sondern auch gesendete Inhalte verändern.

Bei einem der beiden Herzschrittmacher-Systeme, die jeweils in ihrer Umgebung getestet wurden, fand sich keine Schwachstelle von mittlerer oder hoher Kritikalität. Während der Tests konnten zwar Abstürze der (Prototyp-)Benutzer­oberfläche beobachtet werden, dabei war es jedoch nicht möglich, aus der Nutzeroberfläche auf das Betriebssystem auszubrechen und darüber z.B. die Kontrolle über das Betriebssystem der Programmiereinheit zu erreichen.

Fehlende Verschlüsselungen und Identitätsprüfungen

Bei einem anderen System, über das bluetoothfähige Herzgeräte mit einer App programmiert und überwacht werden, konnten Puffer­überläufe im Patientenkonnektor identifiziert werden. Ein solcher Überlauf kann einem Angreifer den Weg bahnen, einen Maschinencode zu übermitteln und sich darüber Zugang zum System zu verschaffen. Nach Angaben des Herstellers sollen Sicherheitsmechanismen bestehen, die einen Angreifer daran hindern, die Schwachstellen auszunutzen.

Bei einem System mit Infusions- und Spritzenpumpen, die in Docks mit einem Kommunikationsmodul gruppiert werden, und mit einer externen Kommunikationsschnittstelle zur Überwachung, Konfiguration und Übertragung von Infusionsdaten an klinische Systeme wurden mehrere Schwachstellen identifiziert. Dazu zählten etwa diverse Pufferüberläufe, fehlende Transportverschlüsselungen, Übertragung von Anmeldedaten in reversiblem Format und fehlende Identitätsprüfung der kommunizierenden Parteien.

Insgesamt zeige die große Zahl der identifizierten Schwachstellen einige Verbesserungsmöglichkeiten im Bereich der vernetzten Medizinprodukte auf, unterstreichen die Autoren. Das Projekt habe gezeigt, dass die IT-Sicherheitslage je nach Hersteller sehr unterschiedlich ist und stark vom „Reifegrad des einzelnen Anbieters“ abhängt.

Das IT-Sicherheitsverhalten der Unternehmen hänge zum einen sicherlich vom gesetzlichen Rahmen ab, aber auch von der Motivation der Hersteller, sich mit Themen der IT-Sicherheit proaktiv auseinanderzusetzen und rechtzeitige und effektive Reaktionsprozesse auf offengelegte Schwachstellen zu implementieren. Regulierungsbehörden und Hersteller sollten sich verstärkt darum bemühen, das Sicherheitsniveau der Produkte zu erhöhen, so die Autoren.