Aktuelles, Experten - geschrieben von am Dienstag, Januar 10, 2023 20:28 - noch keine Kommentare

Gesundheitswesen: IT-Sicherheit muss verbessert werden

Christoph Saatjohann erforscht an der der FH Münster Schwachstellen der medizinischen IT-Infrastruktur

[datensicherheit.de, 10.01.2023] Die Bedrohung im sogenannten Cyber-Raum ist offenbar so hoch wie nie – zu diesem Ergebnis kommt jedenfalls das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 im Bericht zur Lage der IT-Sicherheit in Deutschland. Davon betroffen sei zunehmend auch das Gesundheitswesen: Die Digitalisierung erhöhe dort das Risiko von Vorfällen zulasten der IT-Sicherheit. Insbesondere Krankenhäuser seien in der vergangenen Zeit bereits häufiger Opfer von Cyber-Angriffen geworden. Wie man die aktuell mehr als 200.000 medizinischen Einrichtungen in Deutschland besser schützen kann, untersucht nach eigenen Angaben der FH Münster Christoph Saatjohann, Doktorand im dortigen Labor für IT-Sicherheit. Im Fokus seiner Forschung stehen demnach unterschiedliche Aspekte – von der Telematikinfrastruktur (TI), der zentralen Plattform für digitale Anwendungen im deutschen Gesundheitswesen, über IT-Sicherheitslücken in kardiologischen Implantaten bis hin zur Entwicklung neuer Werkzeuge und Maßnahmen zur Detektion und Reaktion im Falle eines Cyber-Angriffs.

fh-muenster-christoph-saatjohann

Foto: FH Münster / Jana Bade

Christoph Saatjohann untersucht, wie man Krankenhäuser und Arztpraxen besser vor Cyber-Angriffen schützen kann

Arztpraxen sollten das Thema IT-Sicherheit ernst nehmen

So habe Saatjohann gemeinsam mit Kollegen bereits mehrfach vor gravierenden Sicherheitslücken im Medizinsektor gewarnt. „Sie simulierten einen Hackerangriff und wären in mehreren Fällen in der Lage gewesen, sensible Patientenakten ohne Passwortschutz aufrufen zu können. Auf vielen Kommunikationswegen sei eine sichere Ende-zu-Ende-Verschlüsselung nach wie vor nicht gewährleistet“, meldet die FH Münster. Saatjohann kommentiert mahnend: „Klartext-E-Mails mit sensiblen Daten ohne Verschlüsselung verschicken – das geht so nicht!“

Auch ein Telefax sei heute nicht mehr datenschutzkonform, da es nicht mehr wie früher analog, sondern über das Internet verschickt werde. Bei ihrer Untersuchung hätten sie zudem festgestellt, dass die TI bei falscher Handhabung des sogenannten TI-Konnektors, dem zentralen Gerät für den sicheren Netzzugang, fehleranfällig sei. Saatjohann führt aus: „Es gab damals zwei potenzielle Sicherheitslücken: Einmal bei einer fehlerhaften Konfiguration des Praxisnetzwerks und zum anderen beim Anschluss an ein zentrales Rechenzentrum.“ Es sei wichtig, dass Praxen das Thema IT-Sicherheit ernst nehmen und für die Einrichtung und Wartung der TI-Konnektoren Experten fragen.

Über IT-Sicherheitslücken könnten einzelnen, ausgewählten Personen Schaden zugefügt werden

„Wie sicher oder eher unsicher Technik im Herzen ist, zeigte Saatjohann vergangenes Jahr in einer Studie gemeinsam mit Endres Puschner, Doktorand am Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum, und weiteren Beteiligten der FH Münster sowie des Universitätsklinikums Münster (UKM).“ Die Sicherheitsforscher hätten für die Programmierung und Überwachung von implantierbaren Herzschrittmachern, Kardioverter-Defibrillatoren und Herzmonitoren genutzte Programmiergeräte und Telemonitoring-Geräte analysiert. Über die dabei aufgedeckten Lücken könnte einzelnen, ausgewählten Personen – beispielsweise Prominenten – direkt oder indirekt Schaden zugefügt werden.

Saatjohann und Puschner hätten außerdem die Datenschutz-Prozesse der Hersteller und Krankenhäuser untersucht. Aus Sicht der Patienten seien diese Prozesse „unzureichend und frustrierend“, so der FH-Doktorand. Während eines Vortrags beim virtuellen Hackertreffen „rC3“ (remote Chaos Communication Congress) hätten sie zur Veranschaulichung ein Videospiel auf einem Programmiergerät installiert – „mit dem normalerweise Herzschrittmacher in Kliniken eingestellt und verwaltet werden“.

Im Medizinsektor grundsätzlich großer Nachholbedarf im Bereich IT-Sicherheit

Im März 2022 sei das neueste Forschungsprojekt „MedMax“ gestartet worden, an welchem Saatjohann mitwirke. Unter Leitung von Prof. Dr. Sebastian Schinzel, Leiter des Labors für IT-Sicherheit an der FH Münster, und Prof. Dr. Thomas Hupperich von der WWU Münster hätten die Wissenschaftler erforscht, wie sie mithilfe datenschutzkonform gesammelter Telemetriedaten aus Krankenhäusern Cyber-Angriffe detektieren könnten. Zur Untersuchung seien Methoden des Maschinellen Lernens (ML) genutzt worden, um krankenhausspezifische Angriffsmuster und Anomalien ausfindig zu machen. Dabei bezögen sie erstmalig auch spezielle medizintechnische Kommunikationsprotokolle wie „DICOM“, „HL7“ oder „FHIR“ mit ein. Aufbauend auf Studien der Vorgängerprojekte „MediSec“ sowie „MITSicherheit.NRW“ konfrontiere das Forschungsteam Ärzte, Patienten, Pfleger und IT-Personal mit Cyber-Angriffen und analysiere ihre Reaktionen. „Es hat sich gezeigt, dass eine reine Prävention nicht mehr ausreicht“, betont Saatjohann und rät: „Wir brauchen daher effektive Tools und Maßnahmen zur Detektion und vor allem Reaktion“ – beispielhaft benennt er ein Cyber-Sicherheitstraining für alle Akteure im Gesundheitswesen.

Im Februar 2023 stehe indes der nächste Fachvortrag an – erneut gehe es darin um unsichere E-Mail-Kommunikation. Saatjohann und Fabian Ising, ebenfalls Doktorand im Labor für IT-Sicherheit, würden zum Thema „KIM: Kaos in der Medizin – Unsichere Mails in der TI“ bei einer Konferenz des „DFN-CERT“, dem „Computer Emergency Response Team“ (CERT) des Deutschen Forschungsnetzes (DFN) referieren. Im Mittelpunkt stehen dann laut FH Münster „Schwachstellen im Clientmodul der Fachanwendung Kommunikation im Medizinwesen“ (KIM). Dieses Modul solle Nachrichten beim Versand verschlüsseln und signieren sowie E-Mails beim Abruf entschlüsseln und die Signatur prüfen. Die FH-Doktoranden hätten der gematik, der nationalen Agentur für digitale Medizin und Verantwortungsträgerin der TI, bereits im Frühjahr 2022 Sicherheitslücken gemeldet. „Im Medizinsektor gibt es grundsätzlich großen Nachholbedarf im Bereich IT-Sicherheit“, so Saatjohanns Fazit und unterstreicht abschließend: „In kaum einem Bereich ist die Sicherheit von Daten und die Vermeidung unberechtigter Zugriffe so wichtig wie im Gesundheitswesen.“

Weitere Informationen zum Thema:

DFN CERT
30. DFN-Konferenz „Sicherheit in vernetzten Systemen“ / 08.-10. Februar 2023, Grand Elysée Hotel Hamburg

FH MÜNSTER
Christoph Saatjohann M.Sc.

FH MÜNSTER
MedMax

FH MÜNSTER
Kopfhörer – Der FHMS-Podcast: Hacker im Hospital: IT-Sicherheit im Bereich Medizintechnik

FH MÜNSTER, 12.05.2022
Krankenhäuser besser vor Cyberangriffen schützen / FH Münster, Ruhr-Universität Bochum und Medizintechnikunternehmen schließen gemeinsames Forschungsprojekt ab

FH MÜNSTER, 06.01.2022
„Listen to your heart“: Christoph Saatjohann spricht bei Hackerkongress über IT-Sicherheitslücken in kardiologischen Implantaten

FH MÜNSTER, 23.04.2021
Elektronische Patientenakte – sicher oder unsicher? / Christoph Saatjohann sprach in Online-Vortrag über Sicherheitsrisiken und Chancen der elektronischen Patientenakte



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung