Hightech-Medizin hat schwache Abwehrkräfte

Der 1. Juni 2020 war für jene Forscher der University of California in San Francisco (UCSF), die praktisch seit Ausbruch der COVID-19-Pandemie einen Impfstoff gegen den Coronavirus SARS-CoV-2 suchen, ein schwarzer Tag. Hacker hatten das System des Labors geentert, die Daten mit einer Erpressersoftware verschlüsselt und Lösegeld gefordert. Wissend, dass die UCSF einen jährlichen Umsatz von 7,5 Milliarden Dollar macht und jährlich allein mehr als 300 Millionen Dollar an Spenden erhält, forderten die Hacker 3 Millionen Dollar Lösegeld. In den darauffolgenden Tagen verhandelten UCSF-Vertreter über eine Chat-Funktion in der Erpressersoftware mit den Hackern. Schließlich konnten sie sich beim Lösegeld auf 1,140,895 Dollar einigen. In Form von 116,4 Bitcoins überwiesen sie es – entgegen der Meinung der Polizei – an das Wallet der Cyberkriminellen. Sie erhielten am Tag darauf die Entschlüsselungssoftware und die Forschungsdaten waren gerettet.

Die Cyberattacke auf die UCSF ist kein Einzelfall. Bereits Mitte Mai 2020 hatten Hacker das Spital im tschechischen Brünn lahmgelegt. In der Klinik befand sich das größte Corona-Testlabor des Landes. Ende März 2020 wurde das COVID-19-Impfstoff-Testzentrum von Hammersmith Medicines Research (HMR) in London von Hackern angegriffen. Das Gesundheitssystem wird aber nicht erst seit COVID-19 von Cyberkriminellen attackiert, seit Jahren schon ist es eines jener Branchen, die regelmäßig Opfer von Angriffen wird. 

Der Gesundheitsbereich ist stark durch Technologie vernetzt

Die Gesundheitsindustrie hat von der Vernetzung extrem profitiert. So hat die Digitalisierung – nebst der Entwicklung neuester Geräte – auch dazu geführt, dass Mediziner über Grenzen hinweg miteinander arbeiten. Sie können sich beraten und gemeinsam Diagnosen und Therapien entwickeln. Die Technologie hat es möglich gemacht, mehr Leben zu retten. Jedes zweite medizinische Gerät auf dem Markt arbeitet bereits mit Softwareunterstützung. Das beginnt beim Diagnosegerät und reicht über die Überwachungssysteme im OP oder im Emergency-Room bis hin zu Implantaten wie Herzschrittmachern oder Insulinpumpen. Selbst Fieberthermometer, Blutdruckmessgeräte oder Körperwaagen sind zum Teil zu vernetzten Hightech-Geräten mutiert. Rechnet man diverse Gesundheits-Apps, Fitness-Armbänder, Smartwatches oder auch Sensoren, mit denen etwa die Lebenszeichen eines Säuglings überwacht werden, dazu, wird dem Nutzer allmählich bewusst, wie sehr der gesamte Gesundheitsbereich von vernetzter Technologie erfasst ist.

Aber stellt euch vor, ihr liegt am Operationstisch und plötzlich versagt das Beatmungsgerät – weil Cyberkriminelle einen Computervirus (Ransomware/Erpressersoftware) in den Computertomographen, das Beatmungsgerät oder was auch immer Ärzte für Operationen brauchen, eingeschleust haben. Erst wenn sie Lösegeld zahlen, funktioniert das Gerät wieder. Das ist nicht Utopie, das passiert regelmäßig. Während der Wannacry-Attacke im Jahr 2017 – das war die eigentlich erste große globale Ransomware-Attacke  – mussten unter anderem in Großbritannien 80 von 236 des britischen National Health Service geschlossen werden. In Schottland wurden 14 Krankenhäuser Opfer der Erpressersoftware – die Schadsoftware machte einen Betrieb der Spitäler unmöglich.

Häufig ist die IT-Sicherheit mangelhaft

Und wer nun glaubt, dass diese Branche geläutert ist, irrt. Die Schweizer Cybersecurity-Firma Dreamlab hat 281 Kliniken in der Schweiz analysiert und fand dabei Hunderte Schwachstellen, die oft auf veraltete Betriebssysteme oder schlechte Firewalls zurückzuführen waren. Insgesamt hat Dreamlab 60 kritische Punkte entdeckt. Über diese könnten Hacker Logindaten stehlen und damit folglich auch Patientendaten, von Befunden bis zu Röntgenbildern, entwenden. Viele dieser medizinischen Geräte laufen auf alten, beziehungsweise veralteten Versionen von Windows, die bekanntermaßen zahlreiche Sicherheitslücken aufweisen. Es ist nicht nur in der Schweiz so, auf der ganzen Welt arbeiten Spitäler nach wie vor auf veralteten Betriebssystemen. Im Sommer 2019 wurden Spitäler des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland Opfer von Cyberattacken. Auf der ganzen Welt verlassen sich Mediziner auf die Digitalisierung im Gesundheitssystem. Allerdings vergessen die Spitalserhalter und IT-Verantwortlichen mitunter die IT-Sicherheit.

Jeff Tully und Christian Dameff sind Pioniere im medizinischen Cybercrimebereich. Tully bezeichnet sich selbst als Arzt, „ethischer Hacker“, Forscher und Anwalt für Patientensicherheit. Dameff ist Medical Director of Cybersecurity an der University of California San Diego und zählt ebenso zur Gruppe der ethischen Hacker. Die beiden Mediziner waren unter den Ersten, die erkannt haben, dass Cybercrime für die Medizin eine immense Bedrohung darstellt. Bereits 2017 simulierten sie einen Hackerangriff auf ein Krankenhaus und, im Schatten des Lösegeldangriffs der Ransomware WannaCry, ver- anstalteten sie das erste CyberMed-Summit mit dem thematischen Schwerpunkt: IT-Sicherheitsprobleme im medizinischen Bereich.

Die Vorteile vieler Geräte sind höher als die Gefahren einer Cyberattacke

Ziel der beiden Vorkämpfer war es, Gerätehersteller und Sicherheitsforscher zu einer engeren Zusammenarbeit zu bewegen. Auch wollten sie Krankenhausbetreiber und sämtliche Organisationen des Gesundheitswesens davon überzeugen, dass sie ihren Fokus künftig auf IT-Sicherheit legen sollen: „Wir wollen weder die Patienten in Panik versetzen, noch würden wir ihnen davon abraten, lebensrettende Geräte wie Herzschrittmacher oder Insulinpumpen zu nutzen, denn die Vorteile dieser Geräte sind immer noch deutlich höher als die Gefahren, die eine mögliche Cyberattacke darstellt. Aber die Hersteller sollen dazu verpflichtet werden, das Problem ernst zu nehmen.“

IT-Sicherheit im Gesundheitswesen muss Priorität haben

Wenn IT-Systeme nicht den allerhöchsten Sicherheitsstandards entsprechen, kann es daher als schwer fahrlässiges Versagen gewertet werden. Handelt es sich doch um Systeme, die Medizinern die Möglichkeit geben, Leben zu retten, rasche Diagnosen zu erstellen und die Lebensqualität von Patienten zu verbessern. Ein Sicherheitsversagen in diesem Bereich lässt sich daher mit dem Versagen gleichsetzen, menschliches Leben zu schützen.

Regelmäßig demonstrieren Hacker auf den einschlägigen Kongressen, wie sie Insulinpumpen hacken Herzschrittmacher deaktivieren. Allein 2017 hat die US-Food and Drug Administration (FDA) insgesamt 465.000 Herzschrittmacher zurückgerufen. Auch Wearables, die bei vielen Menschen derzeit so beliebt sind, können sie manipulieren. Jonathan Zdziarski, einer der führenden iOS-Sicherheitsexperten, hat herausgefunden, dass der „Owlet WiFi Baby Heart Monitor“ das schlechteste IoT-Gadget der Gegenwart ist. Den kleine Sensor tragen Babys am Fuß unter einer Socke. Er überwacht den Herzschlag und den Sauerstoffgehalt und sendet diese Daten drahtlos an eine kleine Basisstation und an eine App in den Smartphones der Eltern. Allerdings war er unzureichend gegen Hacker-Angriffe abgesichert. Hacker konnten den Eltern quasi eine Null-Linie in die App schicken.

Die Datenmanipulation wird neben der Deaktivierung von Geräten eines der großen Probleme in der digitalen Ära. Hat sich ein Hacker erst Zugang zu medizinischen Systemen verschafft, kann er weit mehr Schaden anrichten, als nur das System zu sperren, Lösegeld zu fordern oder Patientendaten auf dem Schwarzmarkt zu verkaufen. Er kann die Daten manipulieren. Vier Forscher der Cornell University in Ithaca, New York, haben Anfang 2019 demonstriert, wie ein Computervirus CT- und MRT-Scans verfälschen kann – das Computervirus hatte in Aufnahmen künstlich geschaffene Tumore integriert – obwohl der Patient kerngesund war.

Gerald Reischl

Gerald Reischl ist gefragter Tech- und IT-Security-Experte, Journalist und Buchautor. Als Berater begleitete er Unternehmer auf deren Herausforderungen in der digitalen. Gegenwärtig ist Gerald Reischl Kommunikationschef eines der führenden Technologie-Unternehmens Österreichs, AT&S – jenem Unternehmen, das als Enabler die Digitalisierung der Welt maßgeblich mitgestaltet.


Artikel per E-Mail verschicken