Klinik -

IT-Sicherheit Internet of Things: Schwachstelle in Krankenhäusern

Insbesondere beim Thema IT-Sicherheit ist Handeln angesagt, denn Kliniken stehen immer öfter im Visier der Hacker. Das Interesse der Angreifenden richtet sich in dem Zusammenhang zunehmend auf Geräte im Internet of Things (IoT). Der Grund: Das Internet der Dinge hat ein Sicherheitsproblem.

Themenseite: Digitalisierung

Branchenunabhängig warnen Experten und Expertinnen bereits seit Jahren vor entsprechenden Schwachstellen. Beispiele entsprechender Angriffsszenarien gibt es mittlerweile einige, z.B. im April 2021 als eine Münchener Klinik angegriffen wurde. Die IT-Administration muss die Vorteile der IoT-Anwendungen mit IT-Sicherheit-Konzepten in Einklang bringen.

Es ist stark davon auszugehen, dass entsprechende Angriffe auf IoT-Anwendungen im Gesundheitswesen künftig weiter zunehmen werden. Marktbeobachter gehen davon aus, dass die IoT-Einführung im Gesundheitswesen bis 2028 eine jährliche Wachstumsrate (CAGR) von 25,9 Prozent erreichen wird, da ein Nutzen vernetzter Sensoren für den diagnostischen Datenaustausch existiert. Somit erhöht sich jedoch automatisch auch die Angriffsfläche.

Hohe Anfälligkeit medizinischer Geräte

Da technische Probleme in der Medizintechnik zu lebensbedrohlichen Situationen führen können, verlassen sich Gesundheitsdienstleister wie Krankenhäuser und Kliniken oft auf individualisierte Anwendungen und Geräte. Diese werden jedoch meist nur zögerlich mit Updates und Patches versorgt – aus Angst, dass dadurch die Funktionsweise der eingesetzten Komponenten eingeschränkt werden könnte. Hier zeigen sich Parallelen zum traditionellen IoT. Während dort in der Regel eine benutzerdefinierte Software auf einer mehrere Jahre alten Linux-Variante läuft, werden bei medizinischen IoT-Geräten häufig veraltete Versionen von Microsoft Windows und Windows Server eingesetzt. Im letzten Jahr fanden Forscher beispielsweise heraus, dass 45 Prozent der medizinischen Geräte für die kritische BlueKeep-Windows-Sicherheitslücke anfällig waren. Microsoft erachtete diese als so schwerwiegend, dass es sogar Legacy-Patches für eigentlich seit Jahren nicht mehr unterstützte Versionen seines Betriebssystems veröffentlichte.

Grundsätzlich lassen sich IoT-Sicherheitsprobleme auf drei Versäumnisse zurückführen:

  1. fehlende Sicherheitsüberlegungen bereits während der Entwicklung,
  2. lückenhafte Kenntnisse und mangelnde Transparenz bei denjenigen, die IoT einsetzen, sowie
  3. fehlende Verwaltung der Geräteaktualisierungen nach der Bereitstellung.

Herausforderungen für die Administration

Die Implementierung von IoT-Geräten für die Netzwerk- und Systemadministration auf Anwenderseite stellt meist keine einfache Aufgabe dar: Sie müssen Geräte verwalten, für die entweder keine passenden Werkzeuge zur endpunktbasierten Gefahrenerkennung und -abwehr zur Verfügung stehen oder nur welche vorhanden sind, von deren Einsatz aufgrund eines möglicherweise (negativen) Einflusses auf die Funktionalität der IoT-Anwendung abgeraten wird. Darüber hinaus ist es nicht einfach, unautorisierte und/oder manipulierte IoT-Geräte (Rogue Devices), die Mitarbeitende wissentlich oder unwissentlich im Netzwerk einsetzen, zu erkennen. Ein kompromittiertes Gerät ist für Cyberkriminelle in dem Fall das perfekte Mittel zum Zweck, um einen eigentlich geschützten Netzwerkperimeter ganz unbeobachtet zu überwinden.

Schwachstellen schwer auszumerzen

Dass sich das Problem unsicherer IoT-Geräte von allein erledigt, ist kaum zu erwarten: Selbst wenn Forschende Sicherheitslücken in IoT-Geräten identifizieren und aufdecken, gestalten sich die Bereitstellung und Anwendung von Sicherheitsupdates oft schwierig. Bei vielen IoT-Implementierungen fehlt ein langfristiges Wartungskonzept, ans Licht gebrachte offene Flanken bleiben oft über Jahre bestehen. Schwachstellen können bei herkömmlichen Endgeräten und Systemen in der Regel durch ein einfaches Software-Update behoben werden. Bei eingebetteten IoT-Systemen erfordert das Einspielen von Updates im Vergleich dazu einen ungleich höheren Aufwand.

IoT trotzdem auf dem Vormarsch

Trotz dieser Sicherheitsbedenken wird sich das IoT im Gesundheitswesen weiter durchsetzen, und das aus einem Grund: Über das Netzwerk verbundene medizinische Geräte ermöglichen dem medizinischen Personal nicht nur schnellere und genauere Diagnosen, sie sorgen vor allem für eine höhere Effizienz. Die Akzeptanz des IoT wird weiter zunehmen, da die Vorteile die Sicherheitsbedenken überwiegen. Aber auch neue Technologien wie diese lassen sich mit einem hohen Maß an Sicherheit implementieren.

IoT-Richtlinie erhöht den Schutz

Gesundheitseinrichtungen sollten proaktiv eine IoT-Richtlinie festlegen, die dem Thema Sicherheit beim IoT-Einsatz nachhaltig Rechnung trägt. Dabei gilt es im Einzelfall abzuwägen, ob es unter IT-Security-Gesichtspunkten sinnvoller wäre, eine IoT-Lösung komplett zu verbannen oder ob es gute Gründe dafür gibt, beispielsweise ein Gerät mit einer veralteten Windows-Version weiter zu nutzen. Die umfassende Auseinandersetzung mit dem individuellen Business Case einer IoT-Implementierung markiert einen wichtigen ersten Schritt auf dem Weg zur Erstellung einer soliden Richtlinie. Ein Teil dieses Prozesses sollte darin bestehen, als erstes eine Bestandsaufnahme vorzunehmen.

Zero-Trust-Ansatz und regelmäßige Bewertungen

Vor dem Einsatz von IoT sollten Unternehmen genau überlegen, wie und in welchem Umfang sie diese Technologie überhaupt nutzen wollen. Hier kann es hilfreich sein, den Zero-Trust-Ansatz zu verfolgen: Im Wesentlichen geht es bei diesem Sicherheitskonzept darum, keinem Gerät im Netzwerk zu vertrauen und jedes stets aufs Neue zu überprüfen. Gleichzeitig kommt es darauf an, regelmäßige Schwachstellen-Scans und Sicherheitsbewertungen für alle IoT-Geräte im Netzwerk zu etablieren. Nur dann wissen Gesundheitseinrichtungen, wogegen sie sich schützen müssen.

Fazit: IoT-Vorteile absichern

Das Internet der Dinge kann seinen Mehrwert entfalten, wenn die Sicherheit nicht vernachlässigt wird. Empfehlenswert ist die Auseinandersetzung mit den Risiken und die Einführung einer starken IoT-Richtlinie. Mit der richtigen Planung und Herangehensweise, kombiniert mit starken technischen Kontrollen, lassen sich die Möglichkeiten der Vernetzung ausschöpfen, ohne die IT-Sicherheit aus dem Blick zu verlieren.

Kontakt zum Autor:
Marc Laliberte, Technical Security Operations Manager, WatchGuard Technologies, Kontakt: twitter.com/xorro_

Verwandte Inhalte
© hcm-magazin.de 2021 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen