«Mit einer manipulierten Infusionspumpe könnten wir eine Tötung herbeiführen»

Medizingeräte wie Arzneimittelpumpen oder Operationsroboter kommen ins Visier von Cyberkriminellen. Mit potenziell tödlichen Folgen.

, 16. Januar 2024 um 14:19
letzte Aktualisierung: 17. Juni 2024 um 06:46
image
Medizingeräte könnten in die Fänge von Cyberkriminellen gelangen. | Bild: Medinside, erstellt mit Midjourney
Der Gesundheitssektor ist derzeit das beliebteste Ziel von Cyberkriminellen – das zeigte eine Untersuchung der europäischen Cyberbehörde Enisa im Sommer 2023.
Dabei sei Ransomware eine der grössten Bedrohungen (54 Prozent), sowohl was die Anzahl der Vorfälle als auch die Auswirkungen auf den Gesundheitssektor betrifft. Auf etwa 43 Prozent der Vorfälle folgen Datenverletzung, Datendiebstahl oder Unter­brechungen.
Was bislang allerdings unterschätzt werde und laut dem Report eine der zentralen Herausforderungen der Zukunft sei – das ist der Umgang mit Schwachstellen in Medizinprodukten und deren potenzielle Auswirkungen auf Patientensicherheit und Datenschutz.
Im Interview mit Medinisde ordnet der Cypersecurity-Experte Marc Ruef ein.

  • image

    Marc Ruef

    Experte für Cybersicherheit

    Er ist Mitgründer der Scip AG in Zürich, die Beratungen im Bereich Cybersecurity anbieten.


Herr Ruef, wie wahrscheinlich ist das Szenario eines «virtuellen Todes am Krankenbett» etwa durch einen gehackten Herzschrittmacher? Oder durch einen manipulierten Operationsroboter oder eine falsch programmierte Insulinpumpe? Es könnte Realität werden. Im Rahmen einer Sicherheitsüberprüfung für ein Schweizer Spital haben wir vor Kurzem eine Schwachstelle in einer vernetzten Infusionspumpe gefunden. Über das Netzwerk liessen sich so Patienten überdosieren. Indem wir zeitgleich die Vitaldaten des Patientenmonitors manipuliert und die Alarmierung unterdrückt haben, konnten wir so sehr konsequent virtuell eine Tötung herbeiführen. Diese konkreten Schwachstellen haben wir den Herstellern gemeldet; sie wurden mittlerweile behoben. Es gibt aber noch eine Vielzahl an unentdeckten oder nicht adressierten Sicherheitslücken.
Sicherheitslücken, die ein gefundenes Fressen für Cyberkriminelle sein können. Was ist deren Motiv? Medizinalgeräte sind essenziell, um in der heutigen Zeit funktionieren zu können. Werden Geräte manipuliert oder gestört, kann es zu kostspieligen oder gar fatalen Ausfällen kommen. Cyberkriminelle werden sich dessen bewusst und versuchen zu erpressen. Zudem fallen bei Medizinalgeräten Daten an, die temporär oder langfristig auf einem solchen System verbleiben. Ihr Diebstahl kann ebenfalls für Erpressungszwecke eingesetzt werden.
Weshalb sind Medizingeräte so anfällig für Cyberangriffe? Medizinalgeräte sind oft komplexe und starre Gebilde, die in erster Linie durch Unternehmen entwickelt werden, die traditionell eher im Elektronikbereich als in der Informatik verwurzelt sind. Diese drei Faktoren führen dazu, dass das Thema Cybersicherheit nicht auf jenem Nievau gelebt wird, auf dem es gelebt werden müsste.
«Hersteller reagieren stets als erstes mit Anwälten, bevor man gewillt ist auf technischer Ebene über die Probleme zu sprechen.»
Im Rahmen von Sicherheitsanalysen haben wir viele Klassen von Medizinalgeräten untersucht. Keine von diesen ist besonders gut oder besonders schlecht. Die Grundprobleme sind bei allen ähnlich, manifestieren sich aber natürlich auf Grund der verschiedenen Einsatzgebiete der Geräte unterschiedlich.
Was tun die Hersteller dafür, um diese Sicherheitslücken zu schliessen? Die Marktzulassung für ein Medizinalgerät ist komplex und aufwändig. Ein Hersteller möchte Aufwand und Kosten gering halten, weshalb Anpassungen an Systemen verhindert werden sollen. Doch eben solche Anpassungen sind erforderlich, um Sicherheitslücken mitigieren zu können. Hersteller reagieren stets als erstes mit Anwälten, bevor man gewillt ist auf technischer Ebene über die Probleme zu sprechen. Hier hat sich die US-amerikanische FDA als sehr starker Partner hervorgetan, mit dessen Hilfe wir Schwachstellen stets schnell lösen lassen können. Schliesslich will kein Hersteller seine Zulassung im grossen Markt der USA verlieren.
Wie hoch schätzen Sie das Risiko für das Elektronische Patientendossier ein? Der Diebstahl und die Erpressung mit Patientendaten ist momentan in erster Linie ein Problem für die Spitäler – wird mit der Zunahme der Übergriffe aber auch gezielt gegen Patienten eingesetzt werden. Das Tragische daran ist, dass der Patient keinen Einfluss auf die Sicherheit und den Schutz seiner Daten hat. Er ist ein potentielles Opfer, das mit der Hoffnung leben muss, dass alles gut gehen wird.
Diese medizinischen Geräte sind besonders anfällig für Cyberattacken:
1. Pumpen zur Arzneimittelinfusion
2. Herzschrittmacher
3. Tragbare Gesundheitsgeräte (Wearables)
4. MRT-Geräte 5.
5. Elektronisches Patientendossier
Laut dem Security Report 2023 von Check Point Software Technologies sind Cyberangriffe im Jahr 2022 im Vergleich zum Vorjahr weltweit um 38 Prozent gestiegen, Angriffe auf den Gesundheitssektor sogar um 74 Prozent. Wie kommt es zu dieser massiven Zunahme? Hier spielen verschiedene Faktoren zusammen: Einerseits schreitet die digitale Transformation stetig voran, wodurch ein Mehr an Systemen zum Einsatz kommen. Diese werden zudem immer komplexer, wodurch die Angriffsfläche generell ansteigt. Und immer mehr Kriminelle realisieren, dass sie deshalb mit Cybercrime eine ertragreiches Geschäftsfeld erschliessen können. Der Trend der Zunahme von Cyberangriffen wird also noch viele Jahre anhalten.
Wie sieht die Situation aktuell in der Schweiz aus? Die Schweiz ist, mindestens in diesem Kontext, kein Sonderfall. Spitalleitungen haben oft nicht den Fokus oder noch nicht mal das Interesse, sich auf professioneller Ebene mit Cybersecurity auseinanderzusetzen. Oft fehlt das Budget, was zu löchrigen und fragilen Infrastrukturen führt. Es ist ein Wunder, dass nicht schon mehr Zwischenfälle an die Öffentlichkeit gekommen sind. Mit der Professionalisierung der Cyberkriminellen und der Zunahme ihrer Skrupellosigkeit wird wohl aber auch hierzulande der eine oder andere Fall in die Medien kommen. Die wahren Opfer sind dann die Patienten. Diejenigen, die sich nicht wehren können.
  • cyberattacken
  • arbeitswelt
  • medizingeräte
Artikel teilen

Loading

Kommentar

Mehr zum Thema

image

LUKS: Neues Arbeitsmodell in der Pflege

Weniger Betten pro Pflegefachperson, mehr administrative Aufgaben für FaGe, mehr Ausbildungsplätze: Das Luzerner Kantonsspital testet Wege, um das Berufsfeld attraktiver zu machen.

image

KSBL: Gewerkschaften erachten Lohnrunde als gescheitert

Damit verliere das Kantonsspital Baselland gegenüber anderen Spitälern an Boden. Bei der KSBL-Löhnen liegt nur etwa halb so viel drin wie beim Universitätsspital Basel

image

KSBL: Lohnsumme steigt um 0,5 Prozent

Gehaltsanpassungen, bezahlte Umkleidezeit, klarere Arbeitszeiten für Oberärzte: Das Kantonsspital Baselland passt diverse Anstellungsbedingungen an.

image

Sinkende Impfbereitschaft beim Gesundheits-Personal – ein Backlash?

Impf-Experte Christoph Berger bemerkt, dass die Impfquote bei den Spitalangestellten wieder sinkt. Und hat einen Verdacht.

image

Prinzip 42+4: Der VSAO nimmt die Spitäler an die Hand

Eine Wegleitung soll dem Arbeitszeitmodell für Assistenzärte im ganzen Land zum Durchbruch verhelfen.

image

KSW: Neuer Leiter der Klinik für Neurologie und Stroke Unit

Hans-Georg Wirsching kommt vom Unispital Zürich. Er folgt auf Biljana Rodic.

Vom gleichen Autor

image

Susanne Stallkamp wird neue CEO der NSN Medical

Zugleich wird sie auch Geschäftsführerin der Limmatklinik. Stallkamp war im September überraschend als CEO der Gesundheitsversorgung Oberengadin zurückgetreten.

image

Kispi-Mediziner neu an der Spitze des SPHN

Matthias Baumgartner übernimmt 2025 den Vorsitz des Swiss Personalized Health Network und tritt damit die Nachfolge von Urs Frey an.

image

20 Prozent mehr Organtransplantationen

661 Patienten wurden 2023 für eine Organtransplantation hospitalisiert. Die deutliche Steigerung erklärt sich nicht mit dem Organgesetz.