Die heutigen digitalen Gesundheitssysteme sind mit unerbittlichen Cyberangriffen konfrontiert, die sowohl auf Gesundheitsorganisationen als auch auf die von ihnen verwendeten medizinischen Geräte abzielen.
Die kritische Art und Größe des US-Gesundheitsmarktes – eine Schätzung 3.5 Billionen Dollar im Jahr 2020, mit einem erheblichen erwarteten Wachstum – machen es zu einem bevorzugten Ziel von Hackern. Vanson Bourne führte Anfang 2021 eine Umfrage für Sophos durch und befragte 5,400 IT-Entscheidungsträger in 30 Ländern. Die Antworten zeigten, dass 34 % der Gesundheitsorganisationen im vergangenen Jahr von Ransomware angegriffen wurden und 65 % in irgendeiner Weise schikaniert wurden. Ransomware hat die Daten von 54 % der IT-Systeme erfolgreich eingefroren. Etwa 44 % der betroffenen Unternehmen verwendeten Backups, um ihre Daten wiederherzustellen, während 34 % am Ende das Lösegeld zahlten, um ihre Daten zurückzubekommen.
Andere Studien sind noch alarmierender. Schwarzbuchforschung gaben an, dass mehr als 93 % der Gesundheitsorganisationen seit dem dritten Quartal 3 gehackt wurden und 2016 % im gleichen Zeitraum mehr als fünf Datenschutzverletzungen hatten.
Im Jahr 2020 verlangten Hacker im Gesundheitswesen durchschnittlich 4.6 Millionen US-Dollar für jeden Angriff. Diese Zahl wird voraussichtlich steigen, da Hacker immer aggressiver werden. Insgesamt kosten Datenschutzverletzungen im Gesundheitswesen die Branche 4 Milliarden Dollar.
Die Auswirkungen dieser Angriffe sind erheblich. Beispielsweise, Universelle Gesundheitsdienste (UHS), eine Fortune-500-Gesundheitsorganisation mit Sitz in King of Prussia, PA, wurde im September 2020 von Ransomware angegriffen. UHS betreibt 400 Krankenhauseinrichtungen in den USA und im Vereinigten Königreich, und die Hacker schalteten Computerzugriffstelefonsysteme und elektronische Patientenakten für alle ab Ihnen. Die Reparatur dauerte drei Wochen, und UHS meldete für das Jahr einen Vorsteuerverlust von 67 Millionen US-Dollar.
In einem anderen Fall blockierten Hacker den Zugriff auf die Daten des University of Vermont Medical Center. Mitarbeiter konnten elektronische Patientenakten (EHRs) und Gehaltsabrechnungsprogramme nicht abrufen. Operationen mussten verschoben werden. Die entgangenen Einnahmen wurden auf 50 Millionen US-Dollar geschätzt.
Cyberangriffe treten in verschiedenen Formen und Stilen auf. Ransomware macht oft Schlagzeilen. Hacker verwenden jedoch auch viele andere Arten von Malware und installieren unerwünschte Software, um Störungen und/oder Schäden zu verursachen.
Polymorphe Viren, Spyware, Stealth-Viren und Trojaner-Angriffe fallen alle unter die Kategorie Malware. Hacker können auch mit Denial-of-Service- (DoS) und Distributed-Denial-of-Service-Angriffen (DDoS), Phishing, Man-in-the-Middle-Angriffen, Lauschangriffen und mehr Chaos anrichten.
„Der Gesundheitssektor steht vor einzigartigen Herausforderungen“, sagte Mark Knight, Director of Architecture Product Management bei Arm. „Einige unserer persönlichsten Daten müssen geschützt werden, aber die sichere Verfügbarkeit dieser Daten für autorisierte Ärzte und Geräte ist von entscheidender Bedeutung, um die Ergebnisse der Gesundheitsversorgung zu verbessern und die Effizienz stark ausgelasteter Gesundheitsdienste zu steigern. Gleichzeitig nimmt die Menge der über uns gespeicherten Daten rapide zu, und die potenziellen Vorteile der Technologie im Gesundheitswesen sind enorm. Beim Schutz vor potenziellen Angriffen ist es erwähnenswert, dass die im Gesundheitswesen verwendeten Lösungen denen ähnlich sind, die in anderen Branchen verwendet werden, die eine entscheidende Abhängigkeit von Informationstechnologie haben.“
Abb. 1: Steigende Bedrohungen für die Gesundheitsversorgung. Quelle: Zentrum für Internetsicherheit
Schwachstelle bei medizinischen Geräten
Während Berichte über das Hacken medizinischer Geräte Filmhandlungen ähneln, ist das Hacken nur allzu real, und viele medizinische Geräte haben sich als anfällig für Cyberangriffe erwiesen. Dazu gehören Medikamenteninfusions- und Insulinpumpen, Herzschrittmacher und implantierbare Kardioverter-Defibrillatoren (ICDs).
Ende 2019 erließ die US-amerikanische Food and Drug Administration eine „DRINGEND/11″ Warnung, um Patienten, Gesundheitsdienstleister und Einrichtungspersonal sowie Hersteller auf Cybersicherheitslücken aufmerksam zu machen, die durch eine Softwarekomponente eines Drittanbieters eingeführt wurden. Eine Sicherheitsfirma hat 11 Schwachstellen mit dem Namen „URGENT/11“ identifiziert, die es Angreifern ermöglichen, das medizinische Gerät fernzusteuern und seine normalen Funktionen zu ändern. Einige Versionen einer Reihe gängiger Betriebssysteme können laut FDA betroffen sein, darunter:
- VxWorks (von Wind River)
- Eingebettetes Betriebssystem (OSE) (von ENEA)
- INTEGRITÄT (von Green Hills)
- ThreadX (von Microsoft)
- ITRON (von TRON Forum)
- ZebOS (von IP Infusion)
Auch wenn sich nicht jeder Angriff auf die Gesundheit der Patienten auswirkt, möchten Hacker möglicherweise Daten stehlen, um finanziellen Gewinn zu erzielen. Dies kann auf verschiedene Weise geschehen, z. B. durch Reverse Engineering eines medizinischen Geräts für den einmaligen Gebrauch, indem eine Problemumgehung geschaffen wird, um diese Funktion für den einmaligen Gebrauch zu umgehen.
„Die wichtigsten Angriffsvektoren konzentrieren sich auf Schwachstellen der Cybersicherheit, einschließlich mit dem Internet verbundener PCs, Laptops, Tablets und Telefone, die Phishing-Angriffe und vom Benutzer installierte Malware verwenden“, sagte Scott Best, Direktor für Anti-Manipulationssicherheitstechnologie bei Rambus. „Ein sekundärer Angriffsvektor zielt auf elektronische Gesundheitsgeräte wie Glukosemonitore, Ultraschallwandler und andere diagnostische Peripheriegeräte. Diese Geräte sind genauso anfällig wie Laptops für Eindringlinge und Malware, aber sie sind zusätzlich anfällig für Klon- und Re-Manufacturing-Angriffe. In diesem Zusammenhang besteht nicht nur ein direktes Risiko für die Patientensicherheit, sondern auch ein Risiko für die Einnahmequellen führender Hersteller medizinischer Geräte.“
Im Jahr 2017 kündigte die FDA den Rückruf einiger Herzschrittmacher von Abbott (früher bekannt als „St. Jude Medical“) an. Gründe sind eine frühzeitige und schnelle Batterieentleerung und zu wenig Zeit zwischen der ersten Batterie-Leerlaufwarnung durch die Wahlwechselanzeige (ERI) und dem Ende der Lebensdauer des Geräts (EOS). Wenn Herzschrittmacher mit diesen Nachteilen gehackt werden, kann der Angreifer möglicherweise die Batterie entladen, indem er das Gerät in einen konstanten Übertragungsmodus versetzt. Außerdem könnten Hacker die Schwachstellen des Herzschrittmachers ausnutzen, um Lösegeld zu fordern.
Ähnlich wie andere elektronische Designs verwenden medizinische Geräte Software, Chips und andere elektronische Komponenten. Wie bei jeder vernetzten Elektronik ist es nicht ungewöhnlich, dass ein medizinisches Gerät eine oder mehrere Schwachstellen aufweist, die sich während seines gesamten Lebenszyklus jederzeit zeigen können. Aber für medizinische Geräte haben diese Bedrohungen Auswirkungen auf die Sicherheit.
„Bei medizinischen Geräten kommt Sicherheit wegen der Sicherheit ins Spiel“, sagte Andreas Kühlmann, CEO von Tortuga Logic. „Für Unternehmen, die diese Geräte herstellen, geht es eigentlich nicht um die Kosten für die Implementierung von Sicherheit. Sicherheit beinhaltet am Ende des Tages eine indirekte Geschäftsentscheidung, die Dinge wie Haftung und mögliche Rückrufe beinhaltet. Aber bei der Medizin wirkt sich die Sicherheit indirekt auf die Sicherheit aus, und Sicherheit wird sehr gut verstanden. Ob es also um die Privatsphäre oder den Schutz von Krankenakten gemäß HIPAA geht, es gibt direkte Auswirkungen auf das Geschäft.“
Umgang mit Bedrohungen
Cybersicherheit im Gesundheitswesen umfasst die Praxis der allgemein akzeptierten Vertraulichkeit, Integrität und Verfügbarkeit („CIA-Triade“) Prinzip:
- Nur autorisierte Benutzer können auf vertrauliche Daten zugreifen oder diese ändern.
- Die Integrität von Daten sollte so verwaltet und gespeichert werden, dass niemand sie versehentlich oder böswillig ändern oder modifizieren kann.
- Daten sollten autorisierten Benutzern zur Verfügung stehen. Im Falle eines Ransomware-Angriffs sollten Daten gesperrt werden und unbefugten Benutzern der Zugriff verweigert werden.
Um die CIA-Triade zu erreichen, sind mehrere grundlegende Schritte erforderlich.
Denkweise zur Cybersicherheit: Organisationen im Gesundheitswesen müssen eine Top-down-Denkweise zur Cybersicherheit entwickeln, da der effektive Schutz von Daten und Geräten eine Herausforderung für mehrere Geräte und Systeme ist. Dies erfordert eine umfassende End-to-End-Strategie sowie einen Wiederherstellungsplan für den Fall eines Angriffs mit regelmäßigen Mitarbeiterschulungen und geeigneten Verfahren, z. B. gute Passwortpraktiken für verschiedene Systeme. Ziel ist es, den Schaden so gering wie möglich zu halten und sich in kürzester Zeit zu erholen.
Sicherheit durch Design: Der IT-Zugriff sollte streng kontrolliert und begrenzt werden. Nur autorisierte Benutzer und authentifizierte Geräte sollten Zugriff auf Verbindungen und Daten haben. Bei neuen IT-Systemen muss die Anwendungsschicht (Web, Cloud-Anwendungen, mobile Verbindung) über integrierte Sicherheit verfügen.
„Angreifer werden jede Schwäche finden, daher ist es schwer, die Herausforderung zu überschätzen“, sagte Arm's Knight. „Ein Schlüssel zu aller Sicherheit ist die starke Authentifizierung von Benutzern und Geräten. Es ist wichtig, dass Geräte eindeutig identifiziert werden können und dass der Zustand jedes Geräts (z. B. die installierte Software oder Firmware) inventarisiert, gemessen und überprüft werden kann. Dadurch kann sichergestellt werden, dass ein Rogue- oder kompromittiertes Gerät identifiziert wird, bevor es eine Bedrohung für die Integrität oder Vertraulichkeit von Daten oder das gesamte Gesundheitsnetzwerk darstellt. Standards wie die PSA-Zertifizierung ermöglichen es Geräteherstellern, nachzuweisen, dass ihre Produkte während ihres gesamten Lebenszyklus identifiziert und authentifiziert werden können, und bieten eine Sicherheitsgrundlage, die vertrauenswürdige Bereitstellungen in großem Maßstab ermöglicht. Darüber hinaus können fortschrittliche Isolationstechnologien verwendet werden, die das Paradigma der vertraulichen Datenverarbeitung unterstützen, was eine zunehmend stärkere Abschottung innerhalb von Gesundheitssystemen ermöglicht. Eine stärkere Isolierung verringert das Risiko von privilegierten Benutzern und macht es Angreifern, die erfolgreich eine Anwendung kompromittieren, viel schwerer, dieses Asset als Angriffsvektor für eine andere Anwendung oder ein anderes System zu verwenden.“
Arm hat kürzlich seine Confidential Compute Architecture (CCA) eingeführt, die Teile von Code und Daten während der Nutzung vor Zugriff oder Änderung schützt, selbst vor privilegierter Software.
Sicherheitskontrollen und Checkups: Bewährte Cybersicherheitstechnologie für Hardware und Software ist verfügbar, aber das Verhindern von Angriffen kann auf grundlegendere Maßnahmen hinauslaufen, wie z. B. das umgehende Aktualisieren von Software und das regelmäßige Suchen nach Schwachstellen und bösartiger Software. Viele Angriffe erfolgen aufgrund von Verzögerungen bei der Installation bekannter Patches. Darüber hinaus sollten Sicherheitsüberprüfungen für alle Software von Drittanbietern durchgeführt werden, insbesondere für solche, die aus dem stammen Supply Chain. Manchmal infiziert die infizierte Software eines Anbieters ganze IT-Systeme der Benutzer.
Geschützte Gesundheitsinformationen oder PHI enthalten Patientenakten und andere private Informationen. Eines der Ziele der „CIA-Triade“ ist es, Verletzungen von PHI-Daten zu verbieten, wie von der definiert HIPAA-Datenschutzregel, was angemessene Maßnahmen zum Schutz von PHI erfordert. Es legt auch Grenzen und Bedingungen für die Verwendung und Offenlegung solcher Informationen ohne die Genehmigung einer Person fest. Um Datensicherheit zu erreichen, müssen Gesundheitsorganisationen mindestens PHI bei der Speicherung oder Übertragung verschlüsseln und PHI auf sicheren internen Systemen oder an sicheren Orten speichern, auf die nur autorisierte Benutzer zugreifen können.
Minimierung der Anfälligkeit für medizinische Geräte: Für Organisationen im Gesundheitswesen ist es wichtig, medizinische Geräte von seriösen Anbietern mit guten Sicherheitskenntnissen und -praktiken zu installieren.
Für Hersteller von Medizinprodukten ist es wichtig, alle Sicherheitsdesignregeln zu beachten und Sicherheit in den frühesten Phasen des Designs zu integrieren. Dazu gehören Zero Trust und Secure Boot, die Verwendung von Verschlüsselungsalgorithmen zum Schutz vor gefälschten ICs, die Begrenzung der Datenerfassung und die Aufbewahrung von Daten für die kürzest mögliche Zeit, um die Gefährdung zu minimieren.
„Hersteller medizinischer Geräte sind dafür verantwortlich, Geräte von Grund auf mit gesicherter Soft- und Hardware zu entwickeln“, sagte Steve Hanna, Distinguished Engineer bei Infineon Technologies. „Gesicherte Hardware wird benötigt, um die Patientensicherheit und Daten während der Speicherung und Verarbeitung zuverlässig zu schützen. Das Gerät sollte Sicherheitschips enthalten, die die Authentifizierung und Verschlüsselung sensibler Daten sowie die Generierung und Speicherung kryptografischer Schlüssel durchführen. Darüber hinaus sollen die Sicherheitschips die Integrität von Software, Maschinen und Geräten überprüfen, um Manipulationen zu erkennen und unbefugte Änderungen aufzudecken. Nur wenn Sie all diese Funktionen auf einer Hardware-Vertrauensbasis aufbauen, können Sie sicher sein, dass medizinische Geräte sicher sind.“
Aber selbst mit den besten Sicherheitsmaßnahmen können sich Hacker Zugriff verschaffen.
„Man-in-the-Middle-Angriffe werden immer häufiger“, sagte Thierry Kouthon, technischer Produktmanager bei Rambus Security. „Die gestiegene Nachfrage nach drahtlosen medizinischen Geräten bietet Hackern neue Möglichkeiten, sich an Cyberangriffen zu beteiligen. Die Angriffe treten in vielen verschiedenen Formen auf, darunter das Abfangen vertraulicher Daten, das Einfügen von bösartigem Code, das Hijacking von Sitzungen und die Unterbrechung der Datenübertragung. Das Erkennen von Man-in-the-Middle-Angriffen kann schwierig sein. Ein Beispiel wäre die Kopplung eines medizinischen Bluetooth-Geräts. Es ist Sache des Geräteherstellers, sicherzustellen, dass die Sicherheit integriert ist. Zu berücksichtigen ist, wenn möglich, die Reichweite der Bluetooth-Kommunikation zu reduzieren. Das Bluetooth-Protokoll unterstützt auch Passkeys oder PINs, die vom Benutzer während der Kopplungsphase zwischen zwei Bluetooth-Geräten eingegeben werden müssen. Dies erschwert es einem Lauscher, den Datenverkehr abzufangen, ohne den Passkey zu kennen, und erfordert außerdem eine physische Schnittstelle, um den Passkey einzufügen.“
Die Zukunft
Im Dezember 2021, die Oregon-Anästhesiologie-Gruppe (OAG) gab bekannt, dass es am 11. Juli einen Cyberangriff erlebt hatte. Am 21. Oktober informierte das FBI OAG, dass es ein Konto aufgedeckt hatte, das HelloKitty, einer ukrainischen Hackergruppe, gehörte. Das Konto enthielt Patienten- und Mitarbeiterakten der OAG. Laut OAG waren möglicherweise 750,000 Patienten und 522 aktuelle und ehemalige OAG-Mitarbeiter von der Datenschutzverletzung betroffen.
Andere Angriffe gehen weiter, oft ohne große öffentliche Aufmerksamkeit. Die meisten Experten glauben jedoch auch, dass Cyberangriffe nur noch schlimmer werden, was zu erheblichen Störungen der Gesundheitsversorgung selbst, Umsatzeinbußen bei den Anbietern und zunehmendem Druck auf Hardware-, Software- und Systementwickler führen wird, von Anfang an auf Sicherheit zu achten.
Downloads
Inhalt von Premarket-Einreichungen für das Management der Cybersicherheit in Medizinprodukten (2018)
US FDA's Draft Guidance for Industry and Food and Drug Administration Staff, OKTOBER 2018
Postmarket-Management von Cybersicherheit in Medizinprodukten (2016)
US FDA's Guidance for Industry and Food and Drug Administration Staff, DEZEMBER 2016
Aktionsplan zur Sicherheit von Medizinprodukten: Patienten schützen, öffentliche Gesundheit fördern
US-FDA
