Medizinische Geräte, Sensoren und andere Ausrüstungen (IoMT) sind heute mit dem Internet verbunden und können Gesundheitseinrichtungen und vor allem Krankenhäusern helfen, die Patientenversorgung zu verbessern, Kosten zu senken und die Effizienz zu steigern. Mit dem Nutzen dieser modernen Ausrüstung erhöht sich jedoch auch deren Schutzbedarf drastisch.
Worauf es bei der IT-Sicherheit im Internet der vernetzten Medizin ankommt, erklären in diesem Beitrag Melanie Eschbach, Sales Team Manager (Public & Healthcare) und Ulrike Scharf, SE Team Leader Public bei Check Point Software Technologies GmbH.
Durch die Verbindung von medizinischen Geräten, Sensoren und anderen Ausrüstungen (IoMT) mit dem Internet können Gesundheitseinrichtungen und vor allem Krankenhäuser die Patientenversorgung verbessern, Kosten senken und die Effizienz steigern. Das Internet der vernetzten medizinischen Geräte umfasst vernetzte Krankenhausbetten, Monitore, Herzschrittmacher und vieles andere mehr.
Sogar die Sauerstoffsättigung des Blutes kann überwacht werden. Insgesamt hilft die Vernetzung Ärzten dabei, Notfälle zu reduzieren und zu verhindern. Alle diese IoT-Anwendungsfälle zielen darauf ab, die Genesung der Patienten zu beschleunigen oder ihren Komfort zu erhöhen.
Neben der Segmentierung stellen Compliance und Zertifizierungen eine große Herausforderung dar. Für Krankenhäuser sind die Indikatoren Patientensicherheit, Patientenzufriedenheit, Behandlungskosten und die durchschnittliche Verweildauer im Krankenhaus von zentraler Bedeutung. In Krankenhäusern ist die Anzahl der Betten ein entscheidender Indikator, in der Regel umfasst dieses 20 oder mehr IoT-Geräte.
Die Absicherung dieser Geräte stellt aufgrund einer Vielzahl von Protokollen eine Herausforderung dar. Dazu kommen inhärente Schwachstellen, die auf veraltete Betriebssysteme, feste oder schwache Passwörter, Schwierigkeiten beim Patchen, physische Zugänglichkeit, fehlerhafte Betriebssystemkonfigurationen, fehlende integrierte Sicherheitsmaßnahmen und unsichere Kommunikationsprotokolle zurückzuführen sind.
Eine beträchtliche Anzahl von IoMT-Installationen laufen immer noch auf der sehr anfälligen Windows 7-Plattform und - noch schlimmer - auf dem oftmals eingebetteten Windows XP, für dass es seit geraumer Zeit keine automatischen Patches mehr gibt. Ein einfaches Upgrade von OEM-Geräten auf Windows 7 ist aufgrund der hohen Kosten oftmals nicht möglich.
Beispiele für Geräte mit eingebetteten Windows XP-Betriebssystem sind bildgebende Systeme, Magnetresonanztomographen (MRT) und Computertomographen (CT), Blutdruckmessgeräte und Defibrillatoren. Grobe Schätzungen gehen davon aus, dass 70 Prozent aller medizinischen Geräte nicht unterstützt werden.
Herausforderung 5G und IomT
Weitere Herausforderungen entstehen in Verbindung mit der Entwicklung von 5G und IomT. In den USA gibt es bereits jetzt robotergestützte Dienste wie die Entnahme von Blutproben, die Desinfektion von Krankenhauszimmern und die Lieferung von Medikamenten.
2019 wurde eine vollständig ferngesteuerte Operation mit orthopädischen Operationsrobotern durchgeführt. Die COVID-19-Pandemie hat zumindest in Nordamerika Investitionen in die Robotik beschleunigt, um Personalknappheit, die Belastung durch soziale Distanzierungsprotokolle und Einschränkungen in der Lieferkette zu lindern.
Ein US-amerikanisches Krankenhaus verfügt im Durchschnitt über 130 Betten. Wie bereits beschrieben, gibt es etwa 20 IoT-Assets pro Bett. Das bedeutet, dass ein Krankenhaus insgesamt über mindestens 2.600 medizinische IoT-Assets verfügt, Smart Building, Smart Office und alle anderen Assets nicht mitgerechnet. Dies stellt ein echtes Risiko dar, eine erweiterte Angriffsfläche und viele Möglichkeiten für Angreifer.
Lösungsansatz Zero Trust
Abhilfe schaffen kann das Sicherheitsmodell Zero Trust. Es funktioniert nach dem Prinzip „vertrauen niemanden“. Damit ist gemeint, dass der Zugriff auf Anwendungen und Daten niemals als geschützt bewertet werden sollte, selbst wenn er sich innerhalb der eigenen Netzwerkgrenzen befindet. Zero Trust kann in jeder Anwendung vor Ort oder in der Cloud implementiert werden, je nach den Sicherheitsanforderungen der Organisation.
Ein zentrales Krankenhaus kann beispielsweise andere Anforderungen haben als ein Pflegeheim oder ein häuslicher Pflegedienst, in dem die Mitarbeiter mit ihren Geräten unterwegs sind oder die Geräte sich an verschiedenen Orten befinden. Daten müssen darüber hinaus klassifiziert werden, um richtig geschützt zu werden.
Die Absicherung unstrukturierter Daten wie Text, Fotos, Video, Audio und ferngesteuerte Operationen mit Robotersystemen erfordern außerdem unterschiedliche Schutz- und Kontrollmaßnahmen. Eine Durchsetzung dieses Modells beginnt mit der Identifizierung aller Geräte im Netzwerk, auf die dann automatisch eine Zero-Trust-Policy mit „Least Privilege“ angewendet wird. In der Folge wird nur relevanten Systemen und Nutzern Zugriff auf diese Geräte gewährt.
Fazit
In den letzten Jahren war es vor allem die Ransomware-Bedrohung, die Gesundheitseinrichtungen und deren IT-Sicherheitsabteilungen auf Trab gehalten haben. Sensible Gesundheitsdaten, die in IoT-Geräten gespeichert sind, können zusätzlich zu den auf der Office-IT gespeicherten Daten kompromittiert werden, was zu Unterbrechungen und potenziellen Reputationsschäden für Patienten führt.
Durch die Gewährleistung von Sicherheit und die Implementierung strenger Sicherheitsprotokolle können Gesundheitsorganisationen das Risiko von Ransomware-Angriffen minimieren und die Integrität medizinischer Daten und letztlich ihrer Patienten schützen. Hierbei unterstützt die Umsetzung des Zero Trust-Sicherheitsmodells, dass nach dem Motto „never trust, always verify“ für eine bessere Kontrolle der IT-Infrastruktur sorgt.