Was sind die größten Cybersecurity-Herausforderungen, mit denen die Medizintechnik heute konfrontiert wird?
Die Agentur der Europäischen Union für Cybersecurity (ENISA) hat im Juni 2023 zu dem Thema eine aktuelle Analyse vorgelegt. Sie umfasst Cybervorfälle von Januar 2021 bis März 2023 und beschreibt die wichtigsten Bedrohungen, Akteure, Auswirkungen und Trends. Dabei ist Ransomware mit 54 Prozent das häufigste Angriffsszenario. Und die Erfolgsquote ist bei derartigen Angriffen auch noch ziemlich hoch: 43 Prozent führen zu einer Datenschutzverletzung oder einem Datendiebstahl. Eine weitere oft verwendete Angriffstechnik sind sogenannte Denial-of-Service-Angriffe (DDoS), die auf die Verfügbarkeit von Systemen und Daten abzielen.
Welche Maßnahmen können denn ergriffen werden, um die Sicherheit von medizinischen Geräten zu gewährleisten?
Im Grunde gibt es drei entscheidende Punkte: Backups, Backups, Backups. Wobei natürlich nicht nur Gesundheitsorganisationen Offline-Backups von geschäftskritischen Daten erstellen sollten. Denn oft ist das Ziel der Ransomware, die vorhandenen Daten abzuziehen und auf den Servern der Betreiber zu löschen. Nach Übergabe eines Lösegeldes kann der Betreiber dann darauf hoffen, die Daten zurück zu bekommen. Oder die Ransomware verschlüsselt die Daten vor Ort und gegen ein Lösegeld bekommt man den Schlüssel zur Entschlüsselung angeboten. Vor einem solchen Ausgeliefertsein bewahren Backups die Daten.
Doch Vorsicht: Die Malware kann sich schon über einen längeren Zeitraum auf den Systemen befinden. Und damit sind natürlich auch die Backups betroffen. Somit würde ein Backup bei einer einfachen Wiederinbetriebnahme der Betriebssoftware die Schadsoftware wieder ins System bringen. Deshalb sollten die Systeme im Ernstfall ganz neu aufgesetzt werden.
Die Hersteller der Produkte unterstützen den laufenden Betrieb in der Regel durch die im Produkt bereitgestellten technischen Maßnahmen. Wichtig sind unter anderem regelmäßige Patches und Updates für Software und Betriebssysteme, geeignete Passwortrichtlinien, Unterstützung von Multi-Faktor-Authentifizierung sowie sichere Fernzugriffsprotokolle. Um die Cybersicherheit sowohl bei der Herstellung als auch im Betrieb zu gewährleisten, braucht es aber auf jeden Fall den Dialog zwischen Hersteller und Betreiber.
Welche Strategie schlagen Sie für die Gestaltung dieses Dialogs vor?
Als VDE raten wir vor allem dazu, ein geeignetes Risikomanagement zu implementieren. Diesen Ansatz nennen wir ARGOS (Advancing Risk-Management and Governance On the basis of Security). Dabei werden, basierend auf den schützenswerten Gütern, bzw. Assets und den Schnittstellen (Interfaces), unter Berücksichtigung der Umgebung, in der die Produkte betrieben werden sollen, die Bedrohungen, bzw. Threats modelliert und geeignete Sicherheitsmaßnahmen formuliert. Dieses Vorgehen liefert entscheidende Erkenntnisse, um die Medizinprodukte in ein Netzwerk sicher integrieren und betreiben zu können. Denn dieser Ansatz liefert eben auch die Informationen, die der Hersteller dem Betreiber zum sicheren Betrieb seines Produktes im Netzwerk mitteilen muss - etwa welche Sicherheitsvorkehrungen er im Produkt implementiert hat.
Quelle: VDE Rhein-Main, Mitgliederzeitschrift, Ausgabe 1/2024
