Editorial M+e 3/2019
Davon kann selbst Hollywood nur träumen
Die Medizin ist nicht nur ein begehrtes Ziel, sondern oft auch ein leichtes Opfer. Das zeigt ein Versuch aus Isreal. Forscher verschafften sich mit der Putzkolonne Zutritt zum PACS eines Krankenhauses und installierten innerhalb weniger Sekunde eine Software, mit der sie CT-Aufnahmen manipulierten.
Der Angriff passierte in der Nacht: Gemeinsam mit der Putzkolonne verschaffte sich ein Unbefugter Zugang zum ethernetbasierten Bildarchivierungs- und Kommunikationssystem (Picture Archiving and Communication System, PACS) des Krankenhauses und installierte dort ein Gerät, das den Datenverkehr des Netzwerks auf seinen Laptop weiterleitet. Dafür brauchte er weder eine Tarnung noch sonderlich viel Zeit. Gerade einmal 30 Sekunden dauerte die Installation der Schadsoftware. Ab diesem Zeitpunkt war es dem Eindringling möglich, im gesamten PACS Scans zu manipulieren, zum Beispiel CT-Aufnahmen von Tumoren. Dieses reißerische Szenario stammt nicht etwa aus einem Drehbuch für einen Hollywood-Blockbuster, sondern der Realität. Forscher der Ben-Gurion-Universität in Israel haben genauso ihre Methode, mit der sie Krebszellen hinzufügen oder verschwinden lassen können, getestet. Als mögliche Gründe für die Manipulation von Krebszellen nennt das Team unter anderem Versicherungsbetrug, Rache, die Sabotage oder Manipulation von Forschungsergebnissen, die Beeinflussung von Wahlen (etwa durch einen gefälschten positiven Krebsbefund) sowie Mord (durch die gegenteilige Manipulation).
Als zentrale Schwachstelle machen die Forscher das System aus, mit dem die Dateien vom CT an die Rechner der Radiologie übertragen werden. Dieser Weg ist meist nicht abgesichert. Da die Daten also nicht verschlüsselt werden, sei es ein Leichtes, diese abzufangen oder zu verändern. Was – wie die Forscher in einem Video demonstrieren – sekundenschnell erledigt ist. Einzige Voraussetzung: Die Angreifer müssen Zugang zum Netzwerk des Krankenhauses oder der Radiologie erhalten. Letzteres sei bei Kliniken, deren Rechner an das Internet angeschlossen sind, sogar von außen möglich. Der Versuch aus Israel zeigt: Das Gesundheitssystem ist nicht nur ein attraktives Angriffsziel für Hacker, sondern in vielen Fällen auch ein besonders leichtes. Es reicht nicht, sich im Zuge der Digitalisierung nur um die Sicherheit der Patientendaten Sorgen zu machen. Keine Frage, diese gehören nicht in die Finger von Hacker. Aber oberste Priorität sollte doch die Patientensicherheit haben, sprich deren Gesundheit. Unabdingbare Voraussetzung dafür ist die Gerätesicherheit – vom Netzteil (S. 17) über den Datenwandler (S. 31) bis hin zur Internetschnittstelle.
Für die automatisierte Manipulation des CT-Bildmaterials entwickelten die die Forscher ein GAN (Generative Adversarial Networks) und trainierten es auf das Hinzufügen und Entfernen von Lungenkrebsmerkmalen – mit kostenlosen Bildern aus dem Internet. Um zu zeigen, wie überzeugend ihre Software die medizinischen Diagnosebilder manipuliert, beauftragten die Forscher drei Radiologen eine Mischung aus 70 manipulierten und 30 unveränderten Scans zu untersuchen. Das Ergebnis: erschreckend. In 99 Prozent der Bilder, die einen Krebsfall vortäuschten sollten, stellten die Ärzte eine Krebsdiagnose. Auch nachdem die Radiologen über den Angriff informiert wurden, konnten sie immer noch nicht zwischen den manipulierten und echten Bildern unterschieden. Aber zum Glück gibt es noch die Künstliche Intelligenz (KI). Die lässt sich bestimmt nicht so schnell täuschen. Falsch! Die KI im Test wurde vollständig hinters Licht geführt – Erfolgsquote 100 Prozent. Ob das nun die gute oder die schlechte Nachricht ist, bleibt offen. Daraus lernen sollten wir allemal.
Melanie Ehrhardt
Lesen Sie mehr zum Thema
