Immer mehr medizinische Implantate und Geräte sind mit digitalen Schnittstellen ausgestattet – und damit potentielle Angriffspunkte für Hacker. Hersteller und Krankenhäuser stehen vor einer großen Herausforderung.

Mit einem Knopfdruck am Computer konnte Florian Grunow das Narkosegerät einfach abschalten. Er hatte sich über einen Netzwerkanschluss in das Gerät gehackt und die Kontrolle übernommen. Angriffe wie dieser sind sein Job. Denn Grunow ist Sicherheitsforscher beim Heidelberger Unternehmen ERNW und führt Penetrationstests durch. Dabei versuchen IT-Experten, sich unerlaubt Zugang zu digitalen Systemen zu verschaffen und so deren Schwachstellen aufzudecken.

Schon 2014 konnte der amerikanische Forscher Scott Erven bei einer umfangreichen Studie zur digitalen Sicherheit von Medizintechnik beinahe jedes untersuchte Gerät hacken. Er verschaffte sich Zugriff auf den Chirurgie-Roboter, die Kühlung von Blutkonserven und die Steuerung von Beatmungsgeräten.

Digitale Schnittstellen überall
Längst hat die Digitalisierung auch im medizinischen Bereich Einzug gehalten. Herzschrittmacher, Defibrillatoren und Insulinpumpen mit digitalen Schnittstellen erlauben Ärzten den Zugriff auf das Implantat, ohne den Patienten einer Operation unterziehen zu müssen. Programmierbare Beatmungsgeräte, Medizinpumpen und Roboter arbeiten präziser und können ferngesteuert werden. Geräte mit Internetanschluss ermöglichen Herstellern die Fernwartung. „Geräte, die früher nur im OP standen, werden nach und nach vernetzt. Die Features stehen im Vordergrund, die Sicherheit steckt aber in den Kinderschuhen“, sagt Grunow.

Der 36-Jährige begann sich schon während des Studiums für Sicherheitsfragen zu interessieren. Er studierte zunächst einige Semester Medizin und machte dann einen Bachelor in medizinischer Informatik an der Hochschule Mannheim. Anschließend sattelte er einen Master in Software Engineering drauf und heuerte beim Heidelberger IT-Sicherheitsdienstleister ERNW an.

Mangelnder Schutz
Immer wieder stellt er bei seiner Arbeit fest: Was Ärzten und Schwestern die Arbeit erleichtern soll, hat Nebenwirkungen für den Patienten, denn die digitalen Schnittstellen sind oft nicht ausreichend geschützt. „Die Hersteller verlassen sich darauf, dass die Krankenhäuser ihre Geräte digital isolieren und in einem sicheren Netzwerk betreiben“, sagt Grunow. De facto hat aber der jahrelange Sparzwang an deutschen Kliniken gerade bei der IT seine Spuren hinterlassen: Sie ist häufig veraltet und angreifbar.

Eine fatale Kombination. Während die Geräte medizinisch gesehen einwandfrei arbeiten, findet Grunow bei seinen Tests immer wieder unverschlüsselte Kommunikation, offene Ports und fehlende oder einfach zu erratene Passwörter wie „admin“ oder „1234“. Experten sprechen von „safety“ und „security“ – eine Unterscheidung, die es in der deutschen Sprache nicht gibt. Jedes Gerät muss laut Medizinproduktegesetz vor der Markteinführung zwar unzähligen klinischen Tests unterzogen werden, um die Gerätesicherheit nachzuweisen. In puncto Datensicherheit reicht der Zulassungsbehörde der Nachweis, dass die Gerätesoftware über eine Autorisierungsfunktion verfügt.

Beunruhigende Studienergebnisse
Grunow hat für seine Studie bisher zwischen 15 und 20 Geräte untersucht und nur drei gefunden, bei denen er keinen Schaden anrichten konnte. Die amerikanischen Sicherheitsforscher Billy Rios und Terry McCorcle warnen vor insgesamt 300 unsicheren medizinischen Geräten von knapp 40 Unternehmen, weil sie sogenannte „hard coded“, also fest voreingestellte Passwörter haben, die leicht zu erraten und manipulieren sind. Der ehemalige amerikanische Vizepräsident Dick Cheney ließ deshalb während seiner Amtszeit die Wifi-Funktion seines Defibrillators deaktivieren. Sein Arzt hatte ihn gewarnt, dass digitale Angreifer dem Gerät den Befehl geben könnten, seinem Herz Stromstöße zu geben.

Das Risiko, dass Hacker das Implantat eines einzelnen Patienten oder ein einzelnes Gerät im Krankenhaus gezielt manipulieren, ist nüchtern betrachtet relativ gering. Man spricht von einem James-Bond-Szenario, bei dem der Aufwand in Kauf genommen wird, um einem VIP gezielt zu schaden. Als viel wahrscheinlicher sehen Experten die Gefahr an, dass ein Cyberangriff einen Großteil der Krankenhaustechnik verrückt spielen oder ausfallen lässt.

Die Branche reagiert
Einige große Krankenhäuser verlangen daher längst Sicherheitstests von den Herstellern. Und die Branche fängt an, sich stärker mit dem Thema Cybersicherheit auseinanderzusetzen, wie der Verband der Hightech-Industrie Spectaris betont. „Die Hersteller müssen das Know-how ins Haus holen und das Thema zur gelebten Security machen“, rät Grunow dazu.

Erste Unternehmen gehen mit gutem Beispiel voran. Der Beatmungsgerätehersteller Dräger hat einen „responsible disclosure Prozess“ eingeführt, bei dem er sehr eng mit Sicherheitsforschern zusammenarbeitet. Mittelständischen Herstellern fehlt es hingegen oft noch an Wissen und Budget. Viele Medizintechniker beherrschen zwar hardwarenahe Programmiersprachen, die aber für die Entwicklung von Webanwendungen aus Sicherheitsperspektive ungeeignet sind.

Grunow glaubt, dass auch an den Hochschulen mehr Sensibilisierung gefragt ist. „IT-Security findet im Informatikstudium oft kaum Aufmerksamkeit“, so der Experte. Wer aber Kenntnisse in medizinischer Informatik und in IT-Security mitbringt, dem stünden am Markt viele Türen offen.

(Unicum)