«Mit einer manipulierten Infusionspumpe konnten wir eine Tötung herbeiführen»

Der Gesundheitssektor ist derzeit das beliebteste Ziel von Cyberkriminellen – das zeigte eine Untersuchung der europäischen Cyberbehörde Enisa im Sommer 2023.

Dabei sei Ransomware eine der grössten Bedrohungen (54 Prozent), sowohl was die Anzahl der Vorfälle als auch die Auswirkungen auf den Gesundheitssektor betrifft. Auf etwa 43 Prozent der Vorfälle folgen Datenverletzung, Datendiebstahl oder Unter­brechungen.

Was bislang allerdings unterschätzt werde und laut dem Report eine der zentralen Herausforderungen der Zukunft sei – das ist der Umgang mit Schwachstellen in Medizinprodukten und deren potenzielle Auswirkungen auf Patientensicherheit und Datenschutz.

Im Interview mit Medinisde ordnet der Cypersecurity-Experte Marc Ruef ein.

Herr Ruef, wie wahrscheinlich ist das Szenario eines «virtuellen Todes am Krankenbett» etwa durch einen gehackten Herzschrittmacher? Oder durch einen manipulierten Operationsroboter oder eine falsch programmierte Insulinpumpe? Es könnte Realität werden. Im Rahmen einer Sicherheitsüberprüfung für ein Schweizer Spital haben wir vor Kurzem eine Schwachstelle in einer vernetzten Infusionspumpe gefunden. Über das Netzwerk liessen sich so Patienten überdosieren. Indem wir zeitgleich die Vitaldaten des Patientenmonitors manipuliert und die Alarmierung unterdrückt haben, konnten wir so sehr konsequent virtuell eine Tötung herbeiführen. Diese konkreten Schwachstellen haben wir den Herstellern gemeldet; sie wurden mittlerweile behoben. Es gibt aber noch eine Vielzahl an unentdeckten oder nicht adressierten Sicherheitslücken.

Sicherheitslücken, die ein gefundenes Fressen für Cyberkriminelle sein können. Was ist deren Motiv? Medizinalgeräte sind essenziell, um in der heutigen Zeit funktionieren zu können. Werden Geräte manipuliert oder gestört, kann es zu kostspieligen oder gar fatalen Ausfällen kommen. Cyberkriminelle werden sich dessen bewusst und versuchen zu erpressen. Zudem fallen bei Medizinalgeräten Daten an, die temporär oder langfristig auf einem solchen System verbleiben. Ihr Diebstahl kann ebenfalls für Erpressungszwecke eingesetzt werden.

Weshalb sind Medizingeräte so anfällig für Cyberangriffe? Medizinalgeräte sind oft komplexe und starre Gebilde, die in erster Linie durch Unternehmen entwickelt werden, die traditionell eher im Elektronikbereich als in der Informatik verwurzelt sind. Diese drei Faktoren führen dazu, dass das Thema Cybersicherheit nicht auf jenem Nievau gelebt wird, auf dem es gelebt werden müsste.

Im Rahmen von Sicherheitsanalysen haben wir viele Klassen von Medizinalgeräten untersucht. Keine von diesen ist besonders gut oder besonders schlecht. Die Grundprobleme sind bei allen ähnlich, manifestieren sich aber natürlich auf Grund der verschiedenen Einsatzgebiete der Geräte unterschiedlich.

Was tun die Hersteller dafür, um diese Sicherheitslücken zu schliessen? Die Marktzulassung für ein Medizinalgerät ist komplex und aufwändig. Ein Hersteller möchte Aufwand und Kosten gering halten, weshalb Anpassungen an Systemen verhindert werden sollen. Doch eben solche Anpassungen sind erforderlich, um Sicherheitslücken mitigieren zu können. Hersteller reagieren stets als erstes mit Anwälten, bevor man gewillt ist auf technischer Ebene über die Probleme zu sprechen. Hier hat sich die US-amerikanische FDA als sehr starker Partner hervorgetan, mit dessen Hilfe wir Schwachstellen stets schnell lösen lassen können. Schliesslich will kein Hersteller seine Zulassung im grossen Markt der USA verlieren.

Wie hoch schätzen Sie das Risiko für das Elektronische Patientendossier ein? Der Diebstahl und die Erpressung mit Patientendaten ist momentan in erster Linie ein Problem für die Spitäler – wird mit der Zunahme der Übergriffe aber auch gezielt gegen Patienten eingesetzt werden. Das Tragische daran ist, dass der Patient keinen Einfluss auf die Sicherheit und den Schutz seiner Daten hat. Er ist ein potentielles Opfer, das mit der Hoffnung leben muss, dass alles gut gehen wird.

Laut dem Security Report 2023 von Check Point Software Technologies sind Cyberangriffe im Jahr 2022 im Vergleich zum Vorjahr weltweit um 38 Prozent gestiegen, Angriffe auf den Gesundheitssektor sogar um 74 Prozent. Wie kommt es zu dieser massiven Zunahme? Hier spielen verschiedene Faktoren zusammen: Einerseits schreitet die digitale Transformation stetig voran, wodurch ein Mehr an Systemen zum Einsatz kommen. Diese werden zudem immer komplexer, wodurch die Angriffsfläche generell ansteigt. Und immer mehr Kriminelle realisieren, dass sie deshalb mit Cybercrime eine ertragreiches Geschäftsfeld erschliessen können. Der Trend der Zunahme von Cyberangriffen wird also noch viele Jahre anhalten.

Wie sieht die Situation aktuell in der Schweiz aus? Die Schweiz ist, mindestens in diesem Kontext, kein Sonderfall. Spitalleitungen haben oft nicht den Fokus oder noch nicht mal das Interesse, sich auf professioneller Ebene mit Cybersecurity auseinanderzusetzen. Oft fehlt das Budget, was zu löchrigen und fragilen Infrastrukturen führt. Es ist ein Wunder, dass nicht schon mehr Zwischenfälle an die Öffentlichkeit gekommen sind. Mit der Professionalisierung der Cyberkriminellen und der Zunahme ihrer Skrupellosigkeit wird wohl aber auch hierzulande der eine oder andere Fall in die Medien kommen. Die wahren Opfer sind dann die Patienten. Diejenigen, die sich nicht wehren können.