Startseite > Medizintechnik > E-Health > Gesundheitswesen im Fokus von Cyberkriminalität

Das Sicherheitsparadoxon

Gesundheitswesen im Fokus von Cyberkriminalität

23. August 2017, 11:00 Uhr | Rob Bathurst

Das Internet der Dinge (IoT) weist zunehmendes Wachstum auf. Gartner prognostizierte 2015 zum Jahresende 2016 weltweit etwa 6,4 Milliarden mit dem Internet verbundene Geräte. Bis 2020 sollen es stattliche 20,8 Milliarden sein ...

Bei Angriffen auf Gesundheitsdaten steckt mehr dahinter als »nur« sensible Patientendaten zu stehlen. 2015 beschäftigte sich das Ponemon Institute in einer Studie mit der Sicherheit von Daten im Gesundheitswesen und kam zu dem Schluss, dass Hacker überwiegend von kriminellen Motiven angetrieben werden. Das große Geld! Hacktivism, also politisch motivierte Angriffe, Attacken gegen Nationalstaaten oder geopolitische Entitäten, spielen im Hintergrund eine Rolle. Für Gesundheitsdaten werden Höchstpreise bezahlt.

Offensichtlich rentiert sich Datendiebstahl. Auf dem Schwarzmarkt erzielen Gesundheits- und Patientendaten Höchstpreise und liegen sogar noch vor Kunden- oder Kreditkarteninformationen. Nach von Reuters 2014 erhobenen Zahlen erzielen Daten aus dem Gesundheitswesen sogar bis zu zehn Mal höhere Preise. Cyberkriminelle habe sich also ein lukratives Tätigkeitsfeld ausgesucht, das alle Transaktionen auf dem Gesundheitsmarkt umfasst, einschließlich des Handels mit rezeptpflichtigen Medikamenten. Anders als Banken, Geldinstitute etc. sind Anbieter im Gesundheitswesen schlechter geschützt. Das gilt auch für medizintechnische Geräte.

Neben finanziell motivierten Taten geraten hier die Gesundheit und das Leben von Menschen ins Visier von Cyberkriminellen. Etliche Geräte sind bereits mit Malware verseucht und gefährden nicht nur das Patientenwohl, sondern verursachen enorme Folgekosten. 2014 veröffentlichte das Magazin Wired die Ergebnisse einer zwei Jahre andauernden Studie von Essential Health. Demnach weist eine riesige Zahl medizintechnischer Geräte Sicherheitsschwachstellen auf, darunter Infusionspumpen für Medikamente, Defibrillatoren, Röntgengeräte und digitale Aufzeichnungssysteme.

Das Effizienz-Paradoxon: Netzwerkkonfiguration und Sicherheitsschwachstellen

Um wettbewerbsfähig zu bleiben, machen manche Hersteller dort Kompromisse, wo es nicht auf den ersten Blick sichtbar wird: bei der IT-Sicherheit. Komplexe, globale Lieferketten und Verflechtungen verschiedener Hersteller erschweren zusätzlich eine verlässliche Balance zwischen Authentifizierung, Autorisierung und Datenintegrität. Hackern gelingt es deshalb verhältnismäßig leicht, Schwachstellen auszunützen, Malware einzuschleusen und Daten entweder zu manipulieren – und so die Funktionsfähigkeit eines Gerätes zu beeinträchtigen – oder sensible Daten abzuziehen. Bei einer Untersuchung des U.S. Department of Homeland Security zur Sicherheit von medizintechnischen Geräten stellte sich heraus, dass 300 Geräte von 40 verschiedenen Firmen hartcodierte Passwörter nutzen. Eine Einladung für Hacker. Dazu kommen Zero-Day-Exploits über Software-Schwachstellen. Angreifer identifizieren immer wieder neue Schwachstellen, und für veraltete Software-Versionen existieren teilweise keine Patches mehr. Aber auch Software neueren Datums ist nicht zwangsläufig weniger anfällig.