Medizingeräte – die unterschätzte Gefahr
Wenn Cyber-Security auf Patientensicherheit trifft
Während es vor 12 bis 24 Monaten noch nötig war, Krankenhäuser über die Notwendigkeit von Cyber-Security zu evangelisieren, stellt man heute fest, dass die Sensibilisierung gewirkt hat: Immer mehr Health-CIOs kommen mit uns zu strategischen Security-Themen und -Projekten ins Gespräch. Nicht nur die verschärfte Rechtslage bewegt Entscheider dazu, über eine betreute IT-Sicherheit nachzudenken, auch das weltweit gestiegene Bedrohungsszenario sorgt bei vielen für ein erhöhtes Risikobewusstsein. Cyberkriminelle agieren längst nicht mehr nach dem Zufallsprinzip ohne Organisation. Das Geschäftsmodell der Hackangriffe hat eine grundlegende Professionalisierung erfahren: Einige Hackerorganisationen haben sich durch Spezialisierung auf die Entwicklung von Malware fokussiert, während andere sich „vertrieblich“ um die gezielte Akquisition von Opfern mittels verschiedener Angriffsvektoren bemühen. In solchen Organisationen finden sich – wie in „echten Unternehmen“ – teilweise sogar HR- und Support-Prozesse wieder. Diese Situation hat die IT-Abteilungen dazu bewegt, sich mit spezialisierten Partnern in der Managed Security stärker aufzustellen.
Beim Einstieg in eine betreute Cybersicherheit ist für die meisten die User Awareness der schnellste und effektivste Weg. Die kurzfristige positive Auswirkung auf die PPP – Phish-Prone-Percentage – die Wahrscheinlichkeit in einer Organisation, mit der Nutzer auf eine Phishing-E-Mail reinfallen – bestärkt IT-Leitungen in ihrer Entscheidung, die Aufmerksamkeit der Belegschaft zu schärfen und sie zu „Human Firewalls“ auszubilden. Bei weiteren Häusern kommen auch weitreichendere Managed Services zum Einsatz: Für die kontinuierliche Überwachung und die Behandlung von Sicherheitslücken führen wir Lösungen für das Schwachstellenmanagement ein. Für die Echtzeitüberwachung und die Analyse von Angriffen und Ausfällen findet das schon bald verpflichtende Frühwarnsystem SIEM seinen disruptiven Einsatz.
Was ist denn nun mit Medizingeräten?
Bei Gesprächen mit CIOs und den Security-Experten in unserem SOC stellen wir fest, dass eine Disziplin noch sehr wenig Beachtung erhält: Medical-Internet-of-Things-(MIoT-)Security oder einfacher gesagt, die nachhaltige Absicherung von vernetzten Medizingeräten.
Medizingeräte werden unter anderem vom Medizinproduktegesetz ge- regelt. Durch den Dokumentationsaufwand in den Produktionsprozes- sen sowie die Nutzung von Embedded-Systemen, sind Updatevorgänge bei den Herstellern nicht so schnell durchführbar wie bei klassischer Software. Auch die Abhängigkeit von bestimmten Betriebssystemen erschwert das Schließen von Sicherheitslücken. Dem gegenüber steht der Einsatzzweck von Medizintechnik und den damit verbundenen Risiken: Diese Geräte kommen nicht nur mit hochsensiblen Patientendaten in Berührung, sondern können bei Fehlkonfiguration, Manipulation oder Ausfall eine große Bedrohung für die Patientensicherheit darstellen.
Mit einer verwalteten MIoT-Security werden potenziell bedrohte Geräte identifiziert. Neben dem Schließen von Sicherheitslücken, wenn Patches verfügbar sind, stehen in der Netzwerksegmentierung weitreichende Möglichkeiten zur Verfügung, um jegliche Risiken für Datenabfluss und Manipulation zu verringern.
Wir haben einen Service auf Krankenhäuser zugeschnitten, der IT und Medizintechnik bei dem sicheren Betrieb von Medizingeräten aktiv unterstützt. Denn bei Medizintechnik ist Cyber-Security mehr als eine lästige Pflicht – diese ist die Voraussetzung für eine sichere Patientenversorgung.
Bei MIoT-Security müssen IT und Medizintechnik zusammenarbeiten
- 6,2 Schwachstellen pro Medizingerät
- 40 Prozent der Medizingeräte sind bei End-of-Life und bald ohne Sicherheitsupdates
(Quelle: FBI Cyber Division, 09/2022) - Von 2020 ➡ 2021 ein Zuwachs von 14,5 Prozent an vernetzten Medizingeräten
- 30 Prozent aller Geräte hatten bis zu zwei kritischen Schwachstelle