This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.
Aktuelles:

IT-Sicherheit im Krankenhaus

16. Februar 2018

Worst Case – glücklicherweise nur im Test

Im vergangenen Jahr rief der National Health Service nach einem Cyber-Angriff den Notfall aus, weil die Ransomware „WannaCry“ die Computersysteme von rund 40 britischen Krankenhäusern lahmlegte. Spätestens seitdem wird die IT-Sicherheit in Krankenhäusern und anderen Gesundheitseinrichtungen nicht mehr nur intern thematisiert, sondern auch öffentlich diskutiert. Gerade in diesem Bereich ist Cybersecurity äußerst brisant, denn hier geht es nicht nur um den Schutz sensibler Personendaten. Attacken auf die IT von Kliniken können unmittelbar Leib und Leben gefährden, wenn sie computergesteuerte medizinische Prozesse stören oder sogar gezielt in diese eingreifen.

Trotz des gewaltigen Schadenpotenzials und des daraus folgenden dringlichen Handlungsbedarfs, wird die IT-Sicherheit in deutschen Gesundheitseinrichtungen viel zu häufig nicht ernst genug genommen. Angesichts unmittelbarer medizinisch-fachlicher und wirtschaftlicher Themen erhält dieser Bereich oft nicht die erforderliche Aufmerksamkeit. Das schlägt sich dann auch wenig überraschend in einer unzureichenden finanziellen Ausstattung der entsprechenden Fachabteilung nieder.

Welche erheblichen Konsequenzen dies nach sich ziehen kann, zeigt exemplarisch ein Sicherheits-Check, mit dem die BDO IT GmbH von einem Krankenhaus der Regelversorgung mit mehr als 300 Betten beauftragt worden war.

Hierfür wurde die Systemlandschaft des Klinikums einem internen Penetrationstest unterzogen,[1] bei dem es den Testern problemlos gelang, auf das lokale Netzwerk zuzugreifen. Die aktiven Absicherungsmaßnahmen der Klinik-IT reichten nicht aus, um den Zugriff zu verhindern. Und sie reichten nicht einmal aus, um den unerlaubten Zugriff überhaupt zu erkennen. Durch diesen ungehinderten Zugang konnten die Tester nicht nur passiv Informationen sammeln, sondern auch aktiv innerhalb der verschiedenen Netze interagieren. Damit konnten sich die beauftragten Angreifer praktisch frei im Netzwerk der Klinik bewegen.

Unter den im Zuge des Tests ermittelten Schwachstellen stellten fehlende Netzwerk-Zugriffskontrollen eine der größten Bedrohungen dar. Hierdurch waren unbemerkte, sogenannte „Man-in-the-Middle“-Szenarien möglich. Bei diesen Angriffen wird die Kommunikation zwischen beteiligten Systemen von einer außenstehenden Partei nicht nur abgefangen und gespeichert, sondern im schlimmsten Fall missbraucht und manipuliert.[2]

Während der "Interaction"-Testphase traten darüber hinaus veraltete Softwarestände und Betriebssystemstände sowie nicht eindeutige Regeln bei der Passwortvergabe zu Tage, die den Zugang zu Systemen und deren Informationen ermöglichten. Darüber hinaus wurden als weitere Schwachstellen unzureichend konfigurierte Dienste und Verschlüsselungsmechanismen festgestellt, die bei der Stichprobenanalyse in 85% der Fälle eine erfolgreiche Ausführung von Fremd-Code ermöglichten.

Ein echter Angreifer hätte so problemlos Zugang zu den hoch sensiblen Patienteninformationen und Verwaltungsdaten erhalten, sie verändern (Integrität) oder löschen können und wäre in der Lage gewesen, lebenswichtige Systeme wie Medizintechnikgeräte abzuschalten (Verfügbarkeit). Damit offenbarte der Test ein gewaltiges reales Gefahrenpotential. Mag Datendiebstahl noch eher verschmerzbar sein, kann die Veränderung von Datensätzen katastrophalen Einfluss auf die Patientensicherheit haben. Und die mögliche Einflussnahme auf Geräte und Prozesse birgt ebenfalls letale Risiken.

Für den Auftraggeber des Tests war die überraschend leichte Überwindbarkeit seiner Systeme ein lauter Weckruf, der zur unmittelbaren Einleitung entsprechender Schritte zur Sicherung seiner IT geführt hat. Auch wenn eine gründliche Analyse auf Grundlage aktueller Standards und mehrfache Überprüfung der Ergebnisse auf Reproduzierbarkeit nicht ausschließen können, dass trotzdem einzelne Schwachpunkte nicht erkannt werden: Das Risiko einer erfolgreichen Attacke wird durch Behebung der identifizierten Schwachstellen erheblich reduziert.

Wie die Erfahrung aus zahlreichen Projekten im Krankenhausbereich zeigt, ist dieses Ergebnis definitiv kein Einzelfall. Vergleichbare Schwachstellen konnten die BDO Krankenhausexperten im Zusammenspiel mit ihren IT-Fachleuten bereits in diversen Kliniken aufdecken. Es muss daher leider davon ausgegangen werden, dass dieser Zustand bei vielen Krankenhäusern eher der Standard als die Ausnahme ist.

Dies gilt im Übrigen auch für alle Organisationen aus den unterschiedlichsten Bereichen. Deshalb sind den Verantwortlichen produktionssichernde Maßnahmen dringend ans Herz zu legen. Kritische Schwachstellen müssen in jedem Unternehmen, jeder Institution und jeder Verwaltung so schnell wie möglich aufgedeckt, bewertet und durch geeignete Maßnahmen eliminiert werden. Das schließt die Einführung und kontinuierliche Weiterentwicklung von IT-Prozessen wie beispielsweise Information-Security-, Incident- und Change-Management ein. So werden Sicherheitslücken rechtzeitig geschlossen, und Angreifer können zuverlässig abgewehrt werden.

 

[1] Prüfung und Testmethoden basierten auf dem Verfahren „Open Source Security Testing Methodology Manual“ (OSSTMM), siehe Empfehlung gem. BSI „Durchführungskonzept Penetrationstest“ sowie des „Open Web Application Security Projekt“ (OWASP). Die Tests wurden von qualifiziertem und zertifiziertem Personal „OSSTMM Professional Security Tester“ (OPST) und ISO/IEC 27001:2005 Lead Auditor IRCA durchgeführt. Die Tester haben langjährige und umfangreiche Erfahrungen aus Security-Tests bei unterschiedlichsten Mandanten wie Banken, Maschinenbauern, Medienunternehmen, Logistikern, Militär und Politik.

 

[2] Im konkreten Fall wäre es für externe wie auch interne Täter mit Zugang zu entsprechenden Räumlichkeiten ohne weiteres möglich gewesen (authentication), einen Netzwerkzugang zu erhalten. Nach der Verbindung mit einem Netzwerkport hätte ein möglicher Angreifer einen Link erhalten können, um diesen selbst ohne zugewiesene IP Adresse zu nutzen, um Broadcast und Multicastverkehr aufzuzeichnen (resilience). Eine Alarmierung oder aktive Portsecurity, die Ports durch unbekannte MAC-Adressen deaktivieren würden, wurde in dieser Phase nicht ermittelt (resilience, authentication). Hierbei war es bereits möglich Layer 2 und 3 Broad- und Multicastverkehr aufzuzeichnen, der für weitere Angriffe hätte verwendet werden können z.B. auch Client MAC Adressen interner Mitarbeiter. Das Klonen bereits vorhandener MAC- und IP-Adressen im Netzwerk wurde zum Testzeitpunkt nicht verhindert, und es fand auch keine Alarmierung statt – dies stellt einen Kontrollverlust dar.