Das Sicherheitsparadoxon
Gesundheitswesen im Fokus von Cyberkriminalität
Fortsetzung des Artikels von Teil 1
FDA-Regulierung
Die größte internationale Instanz im Gesundheitswesen, die amerikanische Zulassungsbehörde FDA, ist unter anderem für die Freigabe von Software und Patches für die Medizintechnik zuständig.
Auch in Europa beginnen Behörden wie die FDA eine zunehmend aktivere Rolle zu spielen. Sie bemühen sich um spezifische Richtlinien, die als eine Art Minimum Standard für medizintechnische Geräte fungieren. Trotzdem sind wir weit von jeder umfassenden Regulierung entfernt, was die Sicherheit von medizinischen Geräten anbelangt (Tabelle 1). Dazu kommt, dass Sicherheits-Updates nicht dem normalen Zertifizierungszyklus folgen, den neue Produkte oder Produktänderungen durchlaufen.
Im europäischen Rechtsraum gibt es zwar eine Reihe von Vorhaben für die IT-Sicherheit in der Medizintechnik und bei medizinischen Produkten, sie sind aber weitaus unspezifischer. Dazu gehören für Anbieter beispielsweise die ISO 14971 in Bezug auf das Risikomanagement und die IEC 62304 beziehungsweise das Amendment 1 von 2016. Die Ergänzung fordert, dass Software-Anforderungen auch immer IT-Sicherheitsanforderungen enthalten müssen.
Unternehmen/Organisation | Betroffene Datensätze | Art der Datenschutzverletzung |
|---|---|---|
Anthem Blue Cross Blue Shield | 78.800.000 | Hacking / IT Vorfall |
| Primera Blue Cross | 11.000.000 | Hacking / IT Vorfall |
| Excellus Blue Cross Blue Shield | 10.000.000 | Hacking / IT Vorfall |
| UCLA Health | 4.500.000 | Hacking / IT Vorfall |
| Medical Informatics Engineering | 3.900.000 | Hacking / IT Vorfall |
| CareFirst Blue Cross Blue Shield | 1.100.000 | Hacking / IT Vorfall |
| Department of Medical Assistance Services | 697.586 | Hacking / IT Vorfall |
| Georgia Department of Community Health | 557.779 | Hacking / IT Vorfall |
| Beacon Health Systems | 306.789 | Hacking / IT Vorfall |
Quelle: Forbes/Pharma & Healthcare 2015
Tabelle 1: Die schwerwiegendsten Datenschutzverletzungen im Gesundheitswesen im Jahr 2015.
Auf EU-Datenschutzebene werden die Europäische Grundrechte-Charta und die Datenschutz-Richtlinie herausgegeben. Letztere wird allerdings erst über nationale Gesetze wirksam. Auch die neue EU-Datenschutz-Grundverordnung, die im Mai kommenden Jahres wirksam wird, hat Einfluss auf den Datenschutz im Gesundheitswesen und in der Medizintechnik. Dazu kommt eine Reihe von nationalen Vorschriften des BSI und das IT-Sicherheitsgesetz für kritische Infrastrukturen. Hier ist das Gesundheitswesen ausdrücklich mit eingeschlossen, wenn auch dieses Gesetz an vielen Stellen eher vage bleibt und die konkrete Interpretation den Gerichten überlassen bleibt. Immer mehr medizintechnische Geräte arbeiten zudem in vernetzten Umgebungen. Dadurch werden Anbieter nach der Definition zu Betreibern; hier gilt dann die MPBetreibV. Explizit auf das Risikomanagement von IT-Systemen im Gesundheitswesen bezieht sich dann noch die IEC 80001, die IT-Sicherheit als eines von drei Schutzzielen ausdrücklich vorgibt.
Veraltete Geräte
2015 fanden Forscher heraus, dass eine Medikamentenpumpe des Herstellers Hospira über das Netzwerk des betreffenden Krankenhauses anfällig für einen Angriff war. Die Firmware-Konfiguration erlaubte es Hackern, die Medikations-Bibliothek individueller Geräte zu verändern und beispielsweise Dosierungen der Medikamentengabe bis hin zu lebensbedrohlichen Werten zu manipulieren. Das Kliniknetzwerk ist aber bei weitem nicht das einzige Einfallstor. In vielen Fällen ist die Gerätesoftware nicht in der Lage, Patches oder Sicherheits-Updates einzuspielen oder es werden keine entwickelt. Unter Umständen sind Ärzte und Patienten gezwungen, in gegenseitiger Absprache ein solches Gerät auszutauschen. Befindet sich der Patient in einem gesundheitlich kritischen Zustand, kann das problematisch werden.
Malware: Kein Ende in Sicht
Haben wir einen Teil der »epidemischen« Ausbreitung nicht ausreichend beachtet oder verstanden? Das Malware-Aufkommen ist gerade in den letzten beiden Jahren stetig gestiegen. Allein in 2015 wurden 300 Millionen neue Malware-Stämme beobachtet:Trojaner, Schadprogramme, Adware, Spyware, Ransomware, Würmer und Viren. Es ist kaum noch möglich, mit diesen Veränderungen Schritt zu halten. Auf der einen Seite enorme technische und ökonomische Weiterentwicklungen und auf der anderen Seite teilweise überholte Technologien und Methoden.
Aktuelle Malware ist in der Lage, signatur-basierte Antivirenlösungen und Heuristik zu umgehen. Verborgene Rootkits und Malware, die in der Lage sind, sich ihrer Umgebung anzupassen, bleiben Monate oder sogar Jahre unentdeckt. Im Gesundheitswesen nutzen Hacker die vergleichsweise niedrigen Eintrittshürden, um sich Zutritt zum System zu verschaffen und sich dann in aller Ruhe »umzusehen«. Nicht selten unterstützen Social-Engineering-Methoden die Wirksamkeit der verwendeten Tools. Der überwiegende Prozentsatz medizinischer Geräte und Netzwerke im Gesundheitswesen erfüllt jedenfalls das Zielprofil von unzureichend abgesicherten Endpunkten.
- Gesundheitswesen im Fokus von Cyberkriminalität
- FDA-Regulierung
- Regulierungsinstrumente: Sicherheitsgaranten oder Blockade?
Das könnte Sie auch interessieren
Magnetic-Particle-Imaging
Dreidimensionale Echtzeit-Bilder
Integrierte Schutztechnik
Flexible Lizenzierung eines…
Verschlüsselungstrojaner
Kopfschmerz IT-Security
