Mobile-Menu

Tipps für sichere Medizin-IT Cyber-Sicherheit von medizinischen Geräten

Autor / Redakteur: Ira Zahorsky / Dipl.-Ing. (FH) Andreas Donner

Die Risiken für medizinische Geräte durch Lücken in der IT-Sicherheit und die Gefahren für Kliniken und Patienten sind ein akutes Thema. Wie anfällig sind Medizinprodukte in Krankenhausnetzwerken? Wer kümmert sich um die Sicherheitsaktualisierungen der Geräte?

Firma zum Thema

Die US-Arzneimittelbehörde warnt vor der Verwendung von Medikamenteninfusionspumpen des Typs Hospira Symbiq aufgrund einer Sicherheitslücke.
Die US-Arzneimittelbehörde warnt vor der Verwendung von Medikamenteninfusionspumpen des Typs Hospira Symbiq aufgrund einer Sicherheitslücke.
(Bild: Hospira)

Bereits vier verschiedene Benachrichtigungen hat das ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) des US Department of Homeland Security in diesem Jahr zu Produkten des Healthcare-Anbieters Hospira herausgegeben. Unter anderem machte es eine Sicherheitslücke möglich, die verschriebenen Medikamentendosen der Infusionspumpe des Typs Hospira Symbiq zu ändern.

Laut Billy Rios, dem Sicherheitsexperten, der die Schwachstelle in einem der Hospira-Geräte entdeckt hatte, verbinden sich die Pumpen mit dem Krankenhausnetzwerk, um Medikamentenbibliotheken herunterzuladen. Diese werden herangezogen, um die oberen und unteren Grenzwerte zu steuern, die die Maschine zuverlässig einhalten muss. Der Konstruktionsfehler liegt in der Tatsache, dass die Pumpe empfangene Mitteilungen nicht authentifiziert.

Wie anfällig sind die Geräte?

Das wirft die Frage auf, ob andere Medizinprodukte in Krankenhausnetzwerken anfällig für ähnliche Angriffe sind. Ist die Firmware und sind die Sicherheitsaktualisierungen auf all diesen Geräten auf dem neuesten Stand und wer verwaltet sie?

„Die Cybersicherheit von medizinischen Geräten sollte daher – und das gilt natürlich auch für das Gesundheitswesen in Europa – mittels kurzfristigen Maßnahmen und längerfristigen strategischen Plänen gewährleistet werden. Strenge Patch-Management-Prozesse für medizinische Geräte und Netzwerksegmentierung sind die beiden Kernelemente, um derartige Probleme in den Griff zu bekommen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Ein Netzwerksegment, das speziell für medizinische Vorrichtungen reserviert ist, kann die Gefahr von Sicherheitslücken und Zero-Day-Exploits, die noch nicht entdeckt worden sind, verringern.“

Vier-Stufen-Plan für mehr Sicherheit

Folgende Schritte sollen die Cyber-Sicherheit von medizinischen Geräten erhöhen:

  • Bestandsaufnahme aller Medizinprodukte: Bestimmung, welche medizinische Geräte eine Verbindung zum Netzwerk haben (kabelgebunden oder kabellos); Bestimmung der zuständigen Verantwortlichen aus Verwaltung und IT für jedes medizinische Gerät; „herrenlose“ Geräte müssen einem Verantwortlichen zugewiesen werden.
  • Patch-Management-Plan für medizinische Geräte: Festlegung, wer das medizinische Gerät aktualisiert, also interne IT oder Hersteller/Lieferant
  • Beurteilung der Netzwerkarchitektur für Medizinprodukte: Erstellung eines dedizierten Netzwerksegments für medizinische Geräte; Das Segment muss konfiguriert sein, um eingehende und ausgehende Verbindungen zu blockieren (sofern nicht ausdrücklich erlaubt).
  • Plan entwickeln für die Migration medizinischer Geräte in das vorgesehene Netzwerksegment

Die Umsetzung dieses Vier-Stufen-Plans könnte, angesichts der Größe vieler Einrichtungen im Gesundheitswesen, die Tausende von medizinischen Geräten über viele Abteilungen verteilt im Einsatz haben, Monate dauern. Ausgewählte Mitarbeiter im Gesundheitswesen sollten daher eingewiesen werden, wie sie Sicherheitsrisiken von medizinischen Geräten in der klinischen Netzwerkumgebung abwenden können – zum Wohle der Patienten.

(ID:43551573)

Über den Autor

 Ira Zahorsky

Ira Zahorsky

Redakteurin und Online-CvD, IT-BUSINESS