Vernetzte Medizingeräte: 150 Schwachstellen bei IT-Sicherheitscheck identifiziert

e-Health Autor: Anouschka Wasner

15 Schwachstellen pro Gerät wurden im Schnitt von den Testern des BSI ausgemacht. Identifizierte Schwachstellen wurden von den Herstellern behoben. 15 Schwachstellen pro Gerät wurden im Schnitt von den Testern des BSI ausgemacht. Identifizierte Schwachstellen wurden von den Herstellern behoben. © iStock/DrAfter123

Zehn vernetzte medizinische Geräte aus fünf Kategorien hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf IT-Sicherheit getestet. Darunter z.B. Insulinpumpen und Herzschrittmacher. Hersteller und Ärzte können aus dem Projekt über die Testergebnisse hinaus Praxisrelevantes mitnehmen.

Die Norwegerin Marie Moe hatte gerade eben noch ihren Orangensaft getrunken, als sie sich auf einmal auf dem Fußboden umgeben von zerbrochenem Glas und verschüttetem Saft wiederfand. Sie hatte keine Ahnung, was ihr passiert war und warum. Im Krankenhaus erfuhr sie, dass sie ein Problem mit dem Herz hat und ihr ein Schrittmacher eingesetzt werden musste.

Das Spezielle an Marie Moe: Sie hat einen Doktortitel in Informationssicherheit und kümmerte sich z.B. einige Jahre um Cyberangriffe gegen Norwegens kritische Infrastruktur. Seit diesem Vorfall beob­achtet sie auch ihre eigene kritische Infrastruktur: den implantierten Schrittmacher.

Moderne Geräte mit ihren diversen Schnittstellen sind für externe Angriffe anfällig. 2016 musste der Hersteller Johnson & Johnson tausende Träger von vernetzten Insulinpumpen aufgrund von Software-Sicherheitslücken kontaktieren. Und 2017 bestellte das Unternehmen St. Jude Medical fast eine halbe Million Patienten mit Herzschrittmachern in die Kliniken ein, sie sollten ihre Geräte dort updaten, um eine IT-Sicherheitslücke zu schließen (auch 12.661 Patienten in Deutschland waren davon betroffen). Fälle dieser oder vergleichbarer Art gibt es weitere.

„Go Ahead, Hackers. Break My Heart.“ Mit diesem abgewandelten Songtitel wandte sich die Sicherheitsforscherin Marie Moe an die Community der Hacker und IT-Sicherheitsexperten mit der Aufforderung, sich mit vernetzten medizinischen Geräten zu beschäftigen. Im Juli 2020 veröffentlichte sie eine Reihe von Ergebnissen dazu, darunter Schwachstellen in der Authentifizierung, der Verschlüsselung, im Anmeldeprozess und in der Kennwortspeicherung.

Weniger aus persönlicher Betroffenheit, aber gleichermaßen die Dringlichkeit betonend, hat sich jetzt das BSI systematisch mit vernetzten medizinischen Geräten beschäftigt. Im Projekt ManiMed – Manipulation von Medizinprodukten, veröffentlicht Ende 2020 – wurden in einer Stichprobenprüfung vernetzte Medizingeräte auf ihre IT-Sicherheit untersucht.

Denn je mehr intelligente medizinische Geräte in Verkehr sind, desto mehr kommen Schwachstellen in den Systemen zum Tragen. Dabei können Patientendaten missbraucht werden oder kann auch direkt die Patientensicherheit in Gefahr geraten. „Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Sie ist auch die Voraussetzung für eine sichere Gesundheitsversorgung,“, sagt Arne Schönbohm, Präsident des BSI.

Die Auswahl der Geräte, die untersucht wurden, erfolgte nach einer systematischen Marktanalyse und in Absprache mit den Herstellern, geprüft wurden jeweils zwei Geräte aus den Kategorien implantierbare Herzschrittmacher und Defibrillatoren, Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore.

Die meisten Schwachstellen betrafen die Komponenten

Medizinprodukte fallen grundsätzlich in den Zuständigkeitsbereich des Bundesinstituts für Arzneimittel und Medizinprodukte. Erst seit 2017 muss auch die IT-Sicherheit geprüft werden, bevor ein Produkt in Verkehr gebracht werden kann. Diese Tests sind jedoch produktbezogen und nicht für ein Gesamtsystem, bestehend aus Medizinprodukt und Umgebungskomponenten, konzipiert wie im Projekt ManiMed.

Über alle Produkte hinweg wurden vom BSI über 150 Schwachstellen unterschiedlichen Schweregrades identifiziert. Die meis­ten betrafen die Infrastrukturkomponenten, nicht die Medizinprodukte selbst.

Die wohl gravierendste Schwachstelle wies eine der geprüften Insulinpumpen auf. Sie war über ein schwaches Passwort-, PIN- und Verschlüsselungssystem gesichert, sodass die Pumpe über verschiedene Wege und ohne technischen Aufwand gehijackt hätte werden können. Wird so die Kontrolle über das Gerät übernommen, kann von einem Angreifer z.B. die maximale tägliche Insulin­dosis verändert werden.

Um das Risiko so schnell wie möglich zu begrenzen, mussten die Patientinnen und Patienten umgehend auf die Sicherheitslücke hingewiesen werden und wurden aufgefordert, die Pumpe auf Flugmodus umzustellen. Über ein Update des Hersteller wurde die Sicherheitslücke zeitnah geschlossen.

Bei einer anderen Insulinpumpe wurden Authentifizierungsschwächen gefunden, die ermöglichten, die Batterie der Pumpe zu entleeren, indem diese immer wieder über bestimmte Schreibvorgänge zum Vibrieren gebracht wurde. Weitere Schwachstellen lagen in der unsicheren Kommunikation zwischen der App und dem Backend, einer fehlenden Passwortrichtlinie, einem unsicheren Schlüssel in der mobilen Anwendung sowie in der teilweise veralteten Software mit sogar öffentlich bekannten Sicherheitsmängeln.

Zwar konnte keine dieser Schwachstellen während der Tests für einen Angriff ausgenutzt werden. Die Kommunikation zwischen der mobilen Anwendung und dem Backend war allerdings anfällig für Man-in-the-Middle-Angriffe, also solche, bei denen ein Angreifer die Rolle des jeweils anderen Ende der Kommunikation einnimmt. In dieser Position kann diese Person nicht nur unbefugt die komplette Kommunikation lesen, sondern auch gesendete Inhalte verändern.

Bei einem der beiden Herzschrittmacher-Systeme, die jeweils in ihrer Umgebung getestet wurden, fand sich keine Schwachstelle von mittlerer oder hoher Kritikalität. Während der Tests konnten zwar Abstürze der (Prototyp-)Benutzer­oberfläche beobachtet werden, dabei war es jedoch nicht möglich, aus der Nutzeroberfläche auf das Betriebssystem auszubrechen und darüber z.B. die Kontrolle über das Betriebssystem der Programmiereinheit zu erreichen.

Fehlende Verschlüsselungen und Identitätsprüfungen

Bei einem anderen System, über das bluetoothfähige Herzgeräte mit einer App programmiert und überwacht werden, konnten Puffer­überläufe im Patientenkonnektor identifiziert werden. Ein solcher Überlauf kann einem Angreifer den Weg bahnen, einen Maschinencode zu übermitteln und sich darüber Zugang zum System zu verschaffen. Nach Angaben des Herstellers sollen Sicherheitsmechanismen bestehen, die einen Angreifer daran hindern, die Schwachstellen auszunutzen.

Bei einem System mit Infusions- und Spritzenpumpen, die in Docks mit einem Kommunikationsmodul gruppiert werden, und mit einer externen Kommunikationsschnittstelle zur Überwachung, Konfiguration und Übertragung von Infusionsdaten an klinische Systeme wurden mehrere Schwachstellen identifiziert. Dazu zählten etwa diverse Pufferüberläufe, fehlende Transportverschlüsselungen, Übertragung von Anmeldedaten in reversiblem Format und fehlende Identitätsprüfung der kommunizierenden Parteien.

Insgesamt zeige die große Zahl der identifizierten Schwachstellen einige Verbesserungsmöglichkeiten im Bereich der vernetzten Medizinprodukte auf, unterstreichen die Autoren. Das Projekt habe gezeigt, dass die IT-Sicherheitslage je nach Hersteller sehr unterschiedlich ist und stark vom „Reifegrad des einzelnen Anbieters“ abhängt.

Das IT-Sicherheitsverhalten der Unternehmen hänge zum einen sicherlich vom gesetzlichen Rahmen ab, aber auch von der Motivation der Hersteller, sich mit Themen der IT-Sicherheit proaktiv auseinanderzusetzen und rechtzeitige und effektive Reaktionsprozesse auf offengelegte Schwachstellen zu implementieren. Regulierungsbehörden und Hersteller sollten sich verstärkt darum bemühen, das Sicherheitsniveau der Produkte zu erhöhen, so die Autoren.

„Fragen Sie die Hersteller nach der IT-Sicherheit!“

Als Anwender digitaler Produkte und Prozesse können Ärztinnen und Ärzte einen wichtigen Beitrag leisten, indem sie konkret die Hersteller nach den Sicherheitseigenschaften der Produkte fragen und dies in die Kaufentscheidung einbeziehen. Die Empfehlung des BSI lautet: Den Hersteller bitten, ein MDS2*-Formular zusammen mit dem Produkt zu übergeben, um die IT-Sicherheits­eigenschaften transparent zu machen (Erklärung und Anleitung »). Das MDS2 ist ein standardisiertes Tabellendokument, das die IT-sicherheitsrelevanten Merkmale und Funktionen von Produkten beschreibt und in den USA schon seit 2008 verpflichtend von Medizinprodukteherstellern mit dem Gerät an die Betreiber übergeben werden muss.

* Manufacturer Disclosure Statement for Medical Device Security

Aber auch Ärztinnen und Ärzte selbst tragen Verantwortung. „Medizinisches Fachpersonal ist kein IT-Fachpersonal. Dennoch sollte eine gesunde Skepsis und ein Bewusstsein geschaffen werden, dass vernetzte Produkte zwar den Arbeitsalltag und die medizinische Versorgung erleichtern, doch gleichzeitig mögliche Risiken durch die Vernetzung entstehen können“, so ein Sprecher des BSI. Deswegen sei ein wichtiges Ziel des Projekts auch die Sensibilisierung von Ärztinnen und Ärzten für das Thema der Informationssicherheit. Sie sollen erkennen, dass Digitalisierung und Informationssicherheit wie zwei Seiten einer Medaille untrennbar zusammen gehören. Für die Zukunft wünschen sich die Autoren regelmäßige Sicherheitsüberprüfungen in einer realistischen Testumgebung. Möglichst alle drei bis fünf Jahre soll eine größere Auswahl an Produkten und zusätzlichen Gerätekategorien sowie die dazugehörige Infrastruktur geprüft werden. Regelungen, wie mit der Entdeckung von Sicherheitslücken umgegangen wird, würden die Abläufe auf Herstellerseite im Umgang mit IT-Sicherheitsschwachstellen beschleunigen. Und mehr Interoperabilität könnte besser beobachtbare Systeme mit einer gemeinsamen Sicherheitsinfrastruktur schaffen, so dass nicht jeder in seiner Umgebung die Sicherheitsstruktur neu aufbauen muss. Tatsache ist, dass von Herstellerseite nicht gerne über Schwachstellen in Medizinprodukten gesprochen wird – auch, um Anwender bzw. Patienten nicht zu verunsichern. Daher ist es wichtig, Schwachstellen die gefunden wurden, in geeigneter Form zu kommunizieren. Im Projekt wurde deswegen großer Wert auf den Abschlussbericht und Kommunikation generell gelegt. Denn eine Message des Projektes ist: Hersteller, die über Schwachstellen sprechen und diese veröffentlichen, legen Wert auf IT-Sicherheit und haben Interesse daran, ihre Produkte insgesamt sicherer zu machen.

Medical-Tribune-Bericht