Interview mit Florian Lukavsky zum Thema IoT-Sicherheit

Kleine Sicherheitslücken mit großen Folgen

Über Florian Lukavsky: Florian Lukavskys Karriere als Hacker begann bereits im Kindesalter mit dem Umgehen der elterlichen Kindersicherungen. Seither hat er als CREST-zertifizierter Ethical Hacker zahlreiche Zero-Day-Schwachstellen an Softwareentwickler kommuniziert sowie Hunderte Pentests und Security Reviews von IoT-Geräten durchgeführt. Heute leitet Florian Lukavsky IoT Inspector, eine europäische Plattform für automatisierte Sicherheitsanalysen und Compliance Checks von IoT-Firmware.

Kleine Sicherheitslücken mit großen Folgen

Florian Lukavsky | © privat/IoT Inspector

Cyberangriffe auf die deutsche Gesundheitsinfrastruktur haben zugenommen. Wo sehen Sie aktuell die größten Gefahren?

Zahlreiche Krankenhäuser und Kliniken in Deutschland wurden bereits Opfer diverser Cyberattacken – so etwa das Klinikum Fürth oder das DRK Südwest in Neuwied, sowie insgesamt 28 Krankenhäuser in NRW und elf Krankenhäuser in Rheinland-Pfalz beziehungsweise dem Saarland. [1] Die Einfallstore der Angreifer sind dabei vielfältig – von Phishing-E-Mails bis hin zum Ausnutzen von Schwachstellen in gängiger Unternehmenssoftware oder IoT-Geräten. Gerade das Thema IoT-Security ist in vielen IT- und OT-Abteilungen heimischer Unternehmen, Dienstleister und Infrastrukturbetrieben immer noch ein blinder Fleck.

Könnten Sie den Begriff IoT-Geräte etwas näher erläutern?

Vereinfacht gesagt versteht man unter dem Internet der Dinge (= Internet of Things/IoT) kleine Computer mit Netzwerkverbindung, die meist ohne Bildschirm und Tastatur auskommen. Im Privatgebrauch sind etwa smarte Haushaltsgeräte (zum Beispiel Staubsaugerroboter, Babycams oder digital gesteuerte Beleuchtungssysteme), Sprachassistenten (wie Alexa) und Router besonders verbreitet. Im professionellen Umfeld zählen dazu auch Zutrittssysteme, Sensoren aller Art, Audio/Video-Konferenzraum-Equipments, VoIP-Telefonie oder eben vernetzte Medizintechnik. In 69 Prozent aller Organisationen gibt es heute bereits mehr IoT-Geräte als traditionelle Notebooks oder Desktop-PCs. [2] Dabei handelt es sich oft um Produkte mit niedrigen Sicherheitsstandards, die kaum überwacht und selten gewartet werden. Laut Computerworld.ch sind „57 Prozent der IoT-Geräte anfällig für Angriffe mit mittleren oder hohen Schäden als Folge und 41 Prozent der Angriffe nutzen Schwachstellen von IoT-Geräten aus“. [3]

Haben Sie Beispiele, wie Angriffe über IoT-Geräte konkret abgelaufen sind? Und was ist künftig noch vorstellbar?

2019 wurden 30.000 sensible Patientendaten aus einer Gemeinschaftspraxis in Niedersachsen für alle Welt frei zugänglich im Internet veröffentlicht, darunter Krankheitsbefunde, Arztbriefe und vertrauliche Gesprächsnotizen. [4] Eine Schwachstelle in einem handelsüblichen WLAN-Router der Telekom hatte dazu geführt, dass diese überaus privaten Daten ungeschützt aufrufbar waren.

Immer wieder kommt es vor, dass solche Schwachstellen von Angreifern gezielt ausgenutzt werden. Dies führte etwa im Herbst 2020 zu einem höchst bedenkenswerten Zwischenfall an der Uniklinik Düsseldorf: Ein Ransomware-Angriff hat die IT der Klinik komplett lahmgelegt – und somit das gesamte Krankenhaus zum Stillstand gebracht. Operationen wurden abgesagt, Rettungswagen durften das Klinikum nicht mehr ansteuern. [5]

Doch nicht nur die Gesundheitsinfrastruktur ist einem erhöhten Sicherheitsrisiko ausgesetzt. Auch die stetig steigende Zahl an vernetzten Patient Devices ist von potenziell fatalen Sicherheitslücken betroffen. Das US Department of Homeland Security hat bereits mehrfach Warnungen für vernetzte Health-Tech-Produkte von Medtronic ausgesprochen. [6] Angreifer hätten beispielsweise Herzschrittmacher authentifiziert fernsteuern und so die Pumpfrequenz ändern oder das Gerät komplett abschalten können – mit nachvollziehbar verheerenden Folgen. Wenn Menschenleben von IoT-Geräten abhängig sind, erreichen Cyberangriffe eine völlig neue Dimension.

Wie können sich Gesundheitsdienstleister gegen die Angriffe wappnen?

Ein umfassendes IT-Sicherheitskonzept muss auf jeden Fall das Thema IoT-Security beinhalten. Dies ist in vielen IT- und OT-Abteilungen heimischer Gesundheitsdienstleister immer noch ein blinder Fleck. Unsere Plattform IoT Inspector analysiert IoT-Firmware automatisch auf bedrohliche Schwachstellen und Compliance-Verstöße – tagesaktuell, skalierbar und kosteneffizient.

Welche Rolle spielt dabei das Krankenhauszukunftsgesetz?

Für die Verbesserung der digitalen Infrastruktur in den heimischen Krankenhäusern stellen Bund und Länder Fördergelder in Milliardenhöhe bereit. Wir begrüßen insbesondere, dass „Investitionen in die Informationssicherheit einen integralen Bestandteil aller Fördermaßnahmen darstellen, weil 15 Prozent der jeweiligen Projektsumme in IT-Sicherheitsmaßnahmen umgesetzt werden müssen.“ [7] Dies gilt insbesondere auch für jene Krankenhäuser, die nicht Teil der kritischen Infrastruktur sind.

Was umfasst die Nachweispflicht gegenüber dem BSI?

Unsere Kliniken und Krankenhäuser haben bis Jahresende Zeit, ihre IT-Security zu verstärken und Mechanismen zur fortlaufenden Sicherheitsprüfung einzurichten. Ab 2022 verlangt der Gesetzgeber, dass die Maßnahmen zur IT-Sicherheit aller Krankenhäuser dem Stand der Technik entsprechen. Zudem muss dem BSI regelmäßig Nachweis über Art und Umfang der durchgeführten Prüfungen sowie auch eine Liste der aufgedeckten Sicherheitsmängel erbracht werden. Meiner Einschätzung nach umfasst diese Nachweispflicht auch ganz klar Sicherheitslücken in IoT-Geräten.

Welche Folgen hat es, wenn Gesundheitsdienstleister diese Pflichten verletzen?

Beim Angriff auf die Uniklinik Düsseldorf musste ein Krankenwagen mit einer Notfallpatientin an Bord ins 25 Kilometer entfernte Wuppertal ausweichen – die Frau stirbt kurz nach Eintreffen in der Notaufnahme. Die Oberstaatsanwaltschaft in Köln hat die Anklage auf fahrlässige Tötung in diesem Fall allerdings fallen gelassen – der Zustand der Patientin sei so schlecht gewesen, dass sie in jedem Fall verstorben wäre. Die Cyberattacke habe an den medizinischen Tatsachen nichts geändert.

Doch auch die wirtschaftlichen Schäden waren für das Klinikum enorm. Insgesamt waren rund 30 Server von dieser digitalen Erpressung betroffen. Es dauerte knapp einen Monat, bis die Uniklinik wieder zu ihrem Normalbetrieb zurückkehren konnte. Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) betont, dass die Attacke durch die Einhaltung rudimentärer Sicherheitsmaßnahmen zu vermeiden gewesen wäre. Auch Oberstaatsanwalt Markus Hartmann gibt zu bedenken, dass es nur „eine Frage der Zeit ist, bis ein Angriff gegen Krankenhäuser wirklich eine Tragödie verursacht“. [8]

 

[1] https://www.kma-online.de/aktuelles/it-digital-health/detail/it-sicherheit-von-kliniken-mangelhaft-a-45318

[2] https://www.forbes.com/sites/dharmeshthakker/2019/12/11/how-to-keep-a-security-breach-out-of-your-internet-connected-stocking-this-christmas/#32b78dac6ed7

[3] https://www.computerworld.ch/security/iot/sicherheit-fuers-iot-2603276.html

[4] https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html

[5] https://www.golem.de/news/todesfall-citrix-sicherheitsluecke-ermoeglichte-angriff-auf-krankenhaus-2009–150948.html

www.heise.de/news/Cyber-Angriff-auf-Uniklinik-Duesseldorf-Shitrix-schlug-zu-4904979.html

[6] https://techcrunch.com/2019/03/22/medtronic-defibrillators-critical-flaws/

www.massdevice.com/homeland-security-updates-cybersecurity-warnings-involving-some-medtronic-products/

www.massdevice.com/dhs-warns-on-medtronic-mycarelink-cybersecurity-vulnerabilities/

[7] Krankenhauszukunftsfonds – Zur Schulung – 1. Kapitel: Rahmenbedingungen dieser Förderung

[8] https://www.heise.de/hintergrund/Staatsanwalt-macht-Rueckzieher-Krankenhaus-Hacker-nicht-fuer-Tote-verantwortlich-4961183.html

www.kma-online.de/aktuelles/it-digital-health/detail/it-sicherheit-von-kliniken-mangelhaft-a-45318

 

Entnommen aus MTA Dialog 9/2021