«Mit einer manipulierten Infusionspumpe könnten wir eine Tötung herbeiführen»

Medizingeräte wie Arzneimittelpumpen oder Operationsroboter kommen ins Visier von Cyberkriminellen. Mit potenziell tödlichen Folgen.

, 16. Januar 2024 um 14:19
letzte Aktualisierung: 17. Juni 2024 um 06:46
image
Medizingeräte könnten in die Fänge von Cyberkriminellen gelangen. | Bild: Medinside, erstellt mit Midjourney
Der Gesundheitssektor ist derzeit das beliebteste Ziel von Cyberkriminellen – das zeigte eine Untersuchung der europäischen Cyberbehörde Enisa im Sommer 2023.
Dabei sei Ransomware eine der grössten Bedrohungen (54 Prozent), sowohl was die Anzahl der Vorfälle als auch die Auswirkungen auf den Gesundheitssektor betrifft. Auf etwa 43 Prozent der Vorfälle folgen Datenverletzung, Datendiebstahl oder Unter­brechungen.
Was bislang allerdings unterschätzt werde und laut dem Report eine der zentralen Herausforderungen der Zukunft sei – das ist der Umgang mit Schwachstellen in Medizinprodukten und deren potenzielle Auswirkungen auf Patientensicherheit und Datenschutz.
Im Interview mit Medinisde ordnet der Cypersecurity-Experte Marc Ruef ein.

  • image

    Marc Ruef

    Experte für Cybersicherheit

    Er ist Mitgründer der Scip AG in Zürich, die Beratungen im Bereich Cybersecurity anbieten.


Herr Ruef, wie wahrscheinlich ist das Szenario eines «virtuellen Todes am Krankenbett» etwa durch einen gehackten Herzschrittmacher? Oder durch einen manipulierten Operationsroboter oder eine falsch programmierte Insulinpumpe? Es könnte Realität werden. Im Rahmen einer Sicherheitsüberprüfung für ein Schweizer Spital haben wir vor Kurzem eine Schwachstelle in einer vernetzten Infusionspumpe gefunden. Über das Netzwerk liessen sich so Patienten überdosieren. Indem wir zeitgleich die Vitaldaten des Patientenmonitors manipuliert und die Alarmierung unterdrückt haben, konnten wir so sehr konsequent virtuell eine Tötung herbeiführen. Diese konkreten Schwachstellen haben wir den Herstellern gemeldet; sie wurden mittlerweile behoben. Es gibt aber noch eine Vielzahl an unentdeckten oder nicht adressierten Sicherheitslücken.
Sicherheitslücken, die ein gefundenes Fressen für Cyberkriminelle sein können. Was ist deren Motiv? Medizinalgeräte sind essenziell, um in der heutigen Zeit funktionieren zu können. Werden Geräte manipuliert oder gestört, kann es zu kostspieligen oder gar fatalen Ausfällen kommen. Cyberkriminelle werden sich dessen bewusst und versuchen zu erpressen. Zudem fallen bei Medizinalgeräten Daten an, die temporär oder langfristig auf einem solchen System verbleiben. Ihr Diebstahl kann ebenfalls für Erpressungszwecke eingesetzt werden.
Weshalb sind Medizingeräte so anfällig für Cyberangriffe? Medizinalgeräte sind oft komplexe und starre Gebilde, die in erster Linie durch Unternehmen entwickelt werden, die traditionell eher im Elektronikbereich als in der Informatik verwurzelt sind. Diese drei Faktoren führen dazu, dass das Thema Cybersicherheit nicht auf jenem Nievau gelebt wird, auf dem es gelebt werden müsste.
«Hersteller reagieren stets als erstes mit Anwälten, bevor man gewillt ist auf technischer Ebene über die Probleme zu sprechen.»
Im Rahmen von Sicherheitsanalysen haben wir viele Klassen von Medizinalgeräten untersucht. Keine von diesen ist besonders gut oder besonders schlecht. Die Grundprobleme sind bei allen ähnlich, manifestieren sich aber natürlich auf Grund der verschiedenen Einsatzgebiete der Geräte unterschiedlich.
Was tun die Hersteller dafür, um diese Sicherheitslücken zu schliessen? Die Marktzulassung für ein Medizinalgerät ist komplex und aufwändig. Ein Hersteller möchte Aufwand und Kosten gering halten, weshalb Anpassungen an Systemen verhindert werden sollen. Doch eben solche Anpassungen sind erforderlich, um Sicherheitslücken mitigieren zu können. Hersteller reagieren stets als erstes mit Anwälten, bevor man gewillt ist auf technischer Ebene über die Probleme zu sprechen. Hier hat sich die US-amerikanische FDA als sehr starker Partner hervorgetan, mit dessen Hilfe wir Schwachstellen stets schnell lösen lassen können. Schliesslich will kein Hersteller seine Zulassung im grossen Markt der USA verlieren.
Wie hoch schätzen Sie das Risiko für das Elektronische Patientendossier ein? Der Diebstahl und die Erpressung mit Patientendaten ist momentan in erster Linie ein Problem für die Spitäler – wird mit der Zunahme der Übergriffe aber auch gezielt gegen Patienten eingesetzt werden. Das Tragische daran ist, dass der Patient keinen Einfluss auf die Sicherheit und den Schutz seiner Daten hat. Er ist ein potentielles Opfer, das mit der Hoffnung leben muss, dass alles gut gehen wird.
Diese medizinischen Geräte sind besonders anfällig für Cyberattacken:
1. Pumpen zur Arzneimittelinfusion
2. Herzschrittmacher
3. Tragbare Gesundheitsgeräte (Wearables)
4. MRT-Geräte 5.
5. Elektronisches Patientendossier
Laut dem Security Report 2023 von Check Point Software Technologies sind Cyberangriffe im Jahr 2022 im Vergleich zum Vorjahr weltweit um 38 Prozent gestiegen, Angriffe auf den Gesundheitssektor sogar um 74 Prozent. Wie kommt es zu dieser massiven Zunahme? Hier spielen verschiedene Faktoren zusammen: Einerseits schreitet die digitale Transformation stetig voran, wodurch ein Mehr an Systemen zum Einsatz kommen. Diese werden zudem immer komplexer, wodurch die Angriffsfläche generell ansteigt. Und immer mehr Kriminelle realisieren, dass sie deshalb mit Cybercrime eine ertragreiches Geschäftsfeld erschliessen können. Der Trend der Zunahme von Cyberangriffen wird also noch viele Jahre anhalten.
Wie sieht die Situation aktuell in der Schweiz aus? Die Schweiz ist, mindestens in diesem Kontext, kein Sonderfall. Spitalleitungen haben oft nicht den Fokus oder noch nicht mal das Interesse, sich auf professioneller Ebene mit Cybersecurity auseinanderzusetzen. Oft fehlt das Budget, was zu löchrigen und fragilen Infrastrukturen führt. Es ist ein Wunder, dass nicht schon mehr Zwischenfälle an die Öffentlichkeit gekommen sind. Mit der Professionalisierung der Cyberkriminellen und der Zunahme ihrer Skrupellosigkeit wird wohl aber auch hierzulande der eine oder andere Fall in die Medien kommen. Die wahren Opfer sind dann die Patienten. Diejenigen, die sich nicht wehren können.
  • cyberattacken
  • arbeitswelt
  • medizingeräte
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Zuschläge falsch ausbezahlt; dürfen aber behalten werden.

Im Kantonsspital Obwalden gab es ein Gerangel um irrtümlich erstattete Sonntagszuschläge. Doch nun werden die Inkonvenienz-Vergütungen sogar nochmals verbessert.

image

Rehab Basel sucht einen neuen Direktor

Stephan Bachmann verlässt die Klinik für Neurorehabilitation und Paraplegiologie per Mitte 2025.

image

Deutschland: Klinikverbund testet Exoskelette fürs Pflegepersonal

Die Hilfs- und Stützgeräte sollen auch helfen, den Personalmangel zu mildern.

image

Verschwendetes Potenzial: Der Preis der Bürokratie in den Spitälern

Könnte man den täglichen Papierkram in Medizin und Pflege um nur eine Stunde senken, so würde die Arbeitskraft von über 3000 Ärzten und 9000 Pflege-Profis frei. Eine Rechnung.

image
Kommentar von Thierry Carrel

Machthierarchien gehören der Vergangenheit an

Der Kader-Berater Eric Lippmann sichtet in den Spitälern notorische Führungsmängel. «Ich habe das Gegenteil erlebt», schreibt Thierry Carrel. Eine Replik.

image

Bei einer Spitalpsychologin gilt Corona nicht als Berufskrankheit

In der Pflege liegt der Fall jedoch anders. Dazu liegt nun ein Bundesgerichts-Urteil vor.

Vom gleichen Autor

image

Spital Wallis: Interimistische Chefärzte für die Onkologie

Cristina Nay Fellay und Grégoire Berthod übernehmen vorübergehend die Onkologieabteilung des Centre Hospitalier du Valais Romand.

image

KSA: Weiterer Abgang in der Geschäftsleitung

Sergio Baumann ist nicht länger beim Kantonsspital Aarau tätig: Der Betriebsleiter, der zeitweise als interimistischer CEO fungierte, hat sein Büro bereits geräumt.

image

Initiative fordert Stärkung der Medikamenten-Versorgung

Die Initiative «Ja zur medizinischen Versorgungssicherheit» wurde heute mit 131'500 Unterschriften eingereicht.