share iconDOWNLOAD PDFPDF
5min. read

IoT im Gesundheitswesen – aber sicher

Von Anand Oswal, Senior Vice President

Vernetzte medizinische Geräte, also Geräte des „Internet of Medical Things“ (IoMT), revolutionieren derzeit das Gesundheitswesen. Die Umwälzungen sind aber nicht nur auf betriebliche Aspekte beschränkt, sondern erfassen auch die Versorgung von Patientinnen und Patienten. In Krankenhäusern und Gesundheitseinrichtungen weltweit werden vernetzte Medizingeräte bei intensivpflegerischen Arbeiten und für vielfältige klinische Funktionen eingesetzt – Infusionspumpen, chirurgische Roboter, Vitalzeichenmonitore und Ambulanzausrüstung sind nur einige Beispiele. Wichtig ist, was den Patienten hilft und wie sich deren Versorgung verbessern lässt. Mit IoT-Geräten im Gesundheitswesen lassen sich Leben zum Besseren verändern, und betriebswirtschaftlich sinnvoll sind sie auch noch.

IoT-Technologie ermöglicht allerdings nicht nur therapeutische Erfolge, ihr wohnen auch bestimmte Sicherheitsrisiken für Leistungsanbieter und Patienten inne, die es leider zu häufig in die Nachrichten schaffen. Ransomware ist beispielsweise eine vorherrschende Bedrohung für Gesundheitsdienstleister auf der ganzen Welt. Im August 2022 fiel das französische Krankenhaus Centre Hospitalier Sud Francilien (CHSF) einem Ransomwareangriff zum Opfer, der Geräte für die medizinische Bildgebung und Patientenaufnahme lahmlegte. Im Oktober 2022 veröffentlichte dieUS-amerikanische Agentur für Cyber- und Infrastruktursicherheit CISA einen Hinweis für das Gesundheitswesen, in dem vor einerAngreifergruppe gewarnt wird, die mit Ransomware und Datendiebstahl Lösegelder von Einrichtungen des privaten und öffentlichen Gesundheitswesens erpresst. Insbesondere auf Daten-banken, Bildgebungstechnologie und Diagnosesysteme haben sie es in den Netzwerken abgesehen. Doch Ransomware ist nicht die einzige Bedrohung. Laut einem Bericht im HIPAA Journal nahmen Cyberattacken jeglicher Art auf Ziele des Gesundheitswesens im Jahr 2022 um 60 % zu.11Diese abzuwehren oder abzuschwächen ist leider zu einer Routineaufgabe in der Patientenversorgung geworden.

Das Risiko für medizinische IoT-Geräte

Medizinische IoT-Geräte sind aus mehreren Gründen einem Risiko ausgesetzt. Zum einen liegt dies sehr häufig daran, dass solche Geräte nicht nach sicherheitsrelevanten Kriterien konzipiert wurden.

Soll heißen, viele vernetzte Geräte sind mit Schwachstellen ausgestattet. So ergab eine Umfrage von Unit 42, dass 75 % der Infusionspumpen ungepatchte Sicherheitslücken haben.2 Mehr als die Hälfte (51 %) aller Röntgenapparate hat eine hochgradige Schwachstelle (CVE-2019-11687) und rund 20 % sind mit einer nicht unterstützten Windows-Version ausgestattet.3

Darüber hinaus fand Unit 42 heraus, dass 83 % der Ultraschall-, MRT- und CT-Geräte auf einem abgekündigten Betriebssystem laufen.4 Solche Betriebssysteme haben bekannte Sicherheitslücken, die ausgenutzt werden können. Angreifer haben es auf anfällige Geräte abgesehen. Sind sie über eines ins Netzwerk der Gesundheitseinrichtung eingestiegen, breiten sie sich darin aus, um alles andere darin zu infizieren und zu beschädigen.

Unzureichend abgesicherte medizinische IoT-Geräte können zu schwerwiegenden Problemen führen, mit möglicherweise lebensbedrohlichen Folgen. Einige der betroffenen Geräte lassen sich nicht leicht und einige gar nicht aktualisieren oder patchen, da entweder ihr therapeutischer Betrieb nicht unterbrochen werden darf oder weil sie schlicht nicht genug Rechenleistung haben. Die Folgen? Patientendaten gelangen in die falschen Hände und Krankenhäuser müssen den Betrieb einstellen. Das Angriffspotenzial ist weitgestreut, dennoch können Gesundheitsdienstleister aktiv werden und helfen, die meisten gerätebezogenen Sicherheitsrisiken zu minimieren.

Mehr IoMT-Sicherheit in vier kritischen Schritten

Gesundheitseinrichtungen und -dienstleister sehen sich vielen Herausforderungen gegenüber. Eine davon ist die Inventarisierung ihrer vernetzten Geräte. Doch eine Bestandsaufnahme allein reicht nicht, um Medizingeräte sicherer zu machen. Zur Geräteabsicherung und Risikosenkung sind vier Schritte notwendig:

  • Sorgen Sie für Transparenz und schätzen Sie die Risiken für alle vernetzten medizinischen und betriebsrelevanten Geräte ab. Im ersten Schritt hin zu einem sicheren IoT im Gesundheitswesen müssen Sie wissen, was Sie haben. Schließlich gilt: Was Sie nicht sehen, können Sie nicht schützen. Wissen ist gut, Kontrolle ist besser – mittels kontinuierlicher Abschätzung des Risikos durch die Geräte und Schwachstellen, mit denen sie nach und nach das Netzwerk gefährden.
  • Segmentieren Sie das Netzwerk kontextbezogen und wenden Sie Least-Privilege-Zugriff an. Zu wissen, welche Geräte im Netzwerk sind, ist nützlich. Noch nützlicher ist aber das Wissen, auf welche Netzwerkressourcen oder Informationen Benutzer über das Gerät zugreifen können. Nun können Sie nämlich das Netzwerk mittels Richtlinien so segmentieren, dass bestimmte Geräte nur auf die Ressourcen zugreifen können, die ihrem Zweck entsprechen.
  • Lassen Sie das Geräteverhalten ununterbrochen überwachen, um bekannte und neue Bedrohungen abzuwehren. Diese Geräte befinden sich in unterschiedlichen klinischen Umgebungen und tauschen sich untereinander aus. Außerdem kommunizieren sie mit externen Netzwerken und Diensten. Sie müssen daher ein Normalverhalten definieren und sie auf abweichendes Verhalten überwachen. Zudem müssen Sie mit Netzwerken verbundene Geräte vor Bedrohungen wie Malware schützen.
  • Vereinfachen Sie den Betrieb.Damit sich die große Anzahl von Geräten in medizinischen Netzwerken überhaupt effektiv verwalten und absichern lässt, braucht es eine Lösung zur Ausleuchtung toter Winkel im Netzwerk, zur Automatisierung von Arbeitsabläufen und zum Abbau mühseliger manueller Prozesse in der Netzwerkadministration. Diese Lösung muss sich problemlos in vorhandene IT-Ressourcen und Sicherheitslösungen einfügen.

Sicherere IoT erfüllt auch Compliancevorschriften besser

Das Gesundheitswesen ist eine stark regulierte Branche. Gesundheitsvorschriften regeln zahlreiche Bereiche, darunter die Patientenversorgung, die Managed-Care-Vertragsvergabe und die gesetzlichen Regelungen für Arbeitssicherheit und Gesundheitsschutz (OSHA) sowie personenbezogene Gesundheitsdaten (HIPAA). Jeder Angriff auf ein Patientendatensystem oder ein medizinisches IoT-Gerät, durch den sensible Daten abgezogen werden oder Unbefugten offenstehen, ist mit großer Sicherheit die Folge eines Verstoßes gegen Compliancevorschriften. Beschränkte IoMT-Transparenz und -Risikobewertung erschwert die Einhaltung der behördlichen, Audit- und HIPAA-Vorgaben. Den Überblick über die eigenen Geräte und deren Nutzung zu haben erleichtert die Vorbereitung auf Complianceaudits und -berichte.

Zero Trust für medizinische IoT-Geräte

Wir vertrauen medizinischem Fachpersonal unsere Gesundheit und letztlich unser Leben an. Medizinische Einrichtungen vertrauen wiederum ihrer Technologie, sie dabei zu unterstützen. Einen Vertrauensvorschuss sollten sie jedoch nicht geben. Die Technologie muss kontinuierlich überwacht und überprüft werden. Hier setzt das Zero-Trust-Konzept an.

In einfachen Worten: Zero Trust ist eine Cybersicherheitsstrategie, die Benutzern, Anwendungen und Geräten im Netzwerk nicht implizit vertraut. Zero Trust ist kein eigenständiges Produkt. Viele Kunden nehmen Zero Trust eher als Reise wahr. Bei medizinischen IoT-Geräten beginnt die Reise zum Ziel Sicherheit mit einigen grundlegenden Fragen:

Wer benutzt dieses Gerät?
Um welche Art von Gerät handelt es sich?
Welchen Zweck hat das Gerät?
Erfüllt das Gerät den Zweck, für den es konstruiert wurde?

Bei Zero Trust werden Geräte und ihr Verhalten ständig auf Bedrohungen, Malware und Richtlinienverstöße überwacht. Das Prüfen jeder Interaktion hilft dabei, das Risiko zu senken.

Mit dem Zero-Trust-Weg des geringsten Widerstands hin zu besserer IoT im Gesundheitswesen

Die IT- und Sicherheitsteams im Gesundheitswesen sind notorisch überlastet, deshalb sollte die Einführung eines neuen Sicherheitsaspekts für medizinische IoT-Geräte keine Bürde sein. Es sollte auch nicht nötig sein, Krankenhausnetzwerke komplett zu überholen.

Die meisten Gesundheitsdienstleister verfügen bereits über Netzwerkfirewalls, über die sich Zero-Trust-Gerätesicherheit durchsetzen lässt. Achten Sie darauf, auf dem Weg hin zu vollständigem Zero Trust Funktionen für Transparenz, Risikobewertung, Segmentierung, Least-Privilege-Richtlinien und Abwehr von Bedrohungen so reibungslos wie möglich einzuführen. Maschinelles Lernen kann das Konfigurieren von Richtlinien erheblich beschleunigen, und automatisieren lässt es sich auch. Wenn das Verstärken der Sicherheit zu einem weiteren Großprojekt wird, das viele Menschen stark beschäftigt, sinken die Erfolgschancen. Sicherheitsmaßnahmen müssen sich daher leicht integrieren und bereitstellen sowie weitestgehend automatisieren lassen.

Mit medizinischen IoT-Geräten ist jeden Tag besser für Patientinnen und Patienten gesorgt. Ebenso wie wir Menschen auf unsere Gesundheit achten sollten, müssen auch medizinische IoT-Geräte in einem ordnungsgemäßen Zustand gehalten werden. Es hängen Leben davon ab.

Empfohlene Literatur:

 

1. „Healthcare Seeks 60% YoY Increase in Cyberattacks“, HIPAA Journal, 17. November 2022,
https://www.hipaajournal.com/healthcare-sees-60-yoy-increase-in-cyberattacks/.
2. Aveek Das, „Know Your Infusion Pump Vulnerabilities and Secure Your Healthcare Organization“, Unit 42, 2. März 2022,
https://unit42.paloaltonetworks.com/infusion-pump-vulnerabilities/.
3. Jun Du, Derick Liang, Aveek Das, „Windows XP, Server 2003 Source Code Leak Leaves IoT, OT Devices Vulnerable“, Unit 42, 6. November 2020,
https://unit42.paloaltonetworks.com/windows-xp-server-2003-source-code-leak/.
4. Ebd.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen.

Beliebte Ressourcen

Rechtliche Hinweise

Häufig genutzte Ressourcen

Sicherheitslücke melden

Copyright © Palo Alto Networks 2024. Alle Rechte vorbehalten.