Cybersecurity befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Auch im Gesundheitswesen und speziell in der Medizintechnik ist Cybersecurity zu einem wichtigen Thema geworden. Wir haben dazu mit dem VDE Senior Expert Hans Wenner gesprochen, um herauszufinden, wo die größten Herausforderungen in Sachen Cybersecurity liegen und wie man Cyber-Risiken minimieren kann.
Herr Wenner, warum ist Cybersecurity auch in der Medizintechnik zu einem wichtigen Thema geworden?
Das hat vor allem mit der technologischen Entwicklung der Medizintechnik zu tun. Software spielt eine immer größere Rolle. Es gibt praktisch keine medizinischen elektrischen Geräte mehr, die nicht auch über Software verfügen. Und dann ist da die Software selbst, also medizinische Apps aller Art. Und wo Software ist, kann diese auch kompromittiert werden. Außerdem sind Medizingeräte immer mehr vernetzt, untereinander, mit dem Internet oder zum Beispiel mit dem Krankenhausinformationssystem. Das freut Hacker natürlich.
Wie schätzen Sie die aktuelle Bedrohungslage ein?
Ich folge hier der Einschätzung des aktuellen BSI-Lageberichts 2021: kritisch. Man muss nur die Zeitung aufschlagen und findet schnell einen Bericht über ein gehacktes Klinikum, eine gehackte Behörde und dergleichen. Die Auswirkung auf die Versorgung und die Schäden sind erheblich. Die KBV hat kürzlich auch an die niedergelassenen Ärzte und Psychotherapeuten appelliert, die IT-Sicherheit ernst zu nehmen. Denn auch die Praxen werden von Hackern bedroht. Laut BSI-Lagebericht 2021 haben cyber-kriminelle Erpressungsmethoden insgesamt zugenommen. Pro Tag wurden bis zu einer halben Million neue Schadprogramm-Varianten erfasst! Auch die Qualität der Angriffe hat zugenommen. Die gute Nachricht ist: gezielte Hacker-Angriffe auf einzelne Medizinprodukte spielen keine so große Rolle. Die Cyber-Kriminellen haben es auf die Gesundheitsinfrastruktur insgesamt abgesehen, deren Teil Medizingeräte sind. Und hier ist die Bedrohungslage global und schnelllebig.
Mit welchen Cybersecurity-Problemen muss bei Medizingeräten gerechnet werden?
Da die meisten Cyber-Attacken über Netzwerk-Schnittstellen stattfinden, hilft die OWASP Top 10 bei der Security-Analyse. Die listet die zehn häufigsten Kategorien von Schwachstellen in Webanwendungen auf. In der aktuellen Liste (Stand: 2021) liegt auf Platz 1 die gezielte Manipulation von Zugriffsrechten. Auf den Plätzen 2 und 3 sind unzureichende oder fehlende Datenverschlüsselung und die Injektion von Schad-Code. Bemerkenswert ist auch der „Neueinsteiger“ auf Platz 4: Risiken im Zusammenhang mit Design- und Architekturfehlern! Dem kann durch effektives Threat.Modeling, sichere Designmuster und Referenzarchitekturen bereits in der Entwicklung begegnet werden. Noch mehr auf die technischen Details bei der Softwareentwicklung geht die CWE Top 25 Most Dangerous Software Weaknesses ein. Das ist eine Liste der häufigsten und folgenreichsten Probleme, die in den vergangenen zwei Kalenderjahren aufgetreten sind.
Diese Übersichten listen Schwachstellen auf, die oft leicht zu finden und auszunutzen sind, was das Bedrohungsszenario noch erhöht. Sie sind aber nur ein Einstieg in die Security-Analyse, denn in der Medizintechnik sind Safety, also die Betriebssicherheit und Security, die Informationssicherheit verknüpft. Damit ein Hersteller die spezifischen Cybersecurity-Probleme herausfinden kann, muss er eine gezielte Analyse durchführen. Und die beinhaltet sowohl die Auswirkungen auf Safety und Security. Das geht dann über eine bloße Auflistung - wie zum Beispiel bei Pentests - hinaus.
Wie gehen die Hersteller mit dieser Problematik um?
Das ist unterschiedlich. Software-affine Hersteller und solche, die in großem Umfang personenbezogene Daten verarbeiten, sind sich der Problematik bewusst und verfolgen einen Security-by-Design-Ansatz, d.h. sie legen ihre Geräte und Systeme von vornherein so aus, dass sie so wenig wie mögliche Einfallstore für Angriffe bieten. Diese Art von Prävention ist sicher der beste Security-Ansatz! Und dann gibt es natürlich eine Vielzahl weiterer Maßnahmen, die ergriffen werden können, um Systeme gegen Angriffe zu härten und Risiken zu verringern. Das Problem, was ich sehe, ist, dass viele Hersteller Cyber-Risiken trotz der realen Bedrohungslage immer noch zu sehr auf die leichte Schulter nehmen. Das hängt damit zusammen, dass die Medizintechnik Hardware-dominiert ist und Software oft nur als Add-On gesehen wird. Und es wird auch zu häufig nach dem Sankt Florian-Prinzip agiert, indem davon ausgegangen wird, dass man selbst schon nicht betroffen sei, sondern eben nur die anderen. Das ist aber angesichts der realen Bedrohungslage eine gefährliche Einschätzung.
Und was sagt der Gesetzgeber? Haben wir ausreichende Sicherheitsanforderungen?
Da hat sich in den vergangenen Jahren viel getan. Kein Wunder angesichts der Bedrohungslage. Was die Infrastruktur angeht, ist das vor allem die Kritis-Verordnung, die auch Teile der Gesundheitsversorgung als kritische Infrastruktur einordnet. Die entsprechenden Einrichtungen, also größere Krankenhäuser, Hersteller bestimmter Medizinprodukte usw. müssen dann bestimmte Security-Anforderungen erfüllen. Doch auch bei den Medizinprodukten selbst sind die Anforderungen durch die europäische Verordnung über Medizinprodukte, die MDR, stark gestiegen. Medizinprodukte müssen heute so konstruiert und hergestellt werden, dass Risiken, und damit auch Cyber-Risiken, soweit es geht, reduziert werden. Dazu gibt es mittlerweile eine Vielzahl an Regeln, Empfehlungen, Detailanforderungen und Zertifikaten. Das ist ja an sich zu begrüßen, aber das Problem ist die Fülle an Regeln, die zum Teil schwer zu interpretieren und praktisch umzusetzen sind und dann auch noch auf eine veränderliche und schnellebige Bedrohungslage treffen. Das überfordert viele kleinere und mittelgroße Unternehmen schlichtweg.
Was empfehlen Sie, um Cyber-Risiken so gut es geht zu reduzieren?
Wie bereits erwähnt muss ein Hersteller eine spezifische Risikoanalyse für sein Medizinprodukt durchführen, um erkennen zu können, welche speziellen Cyber-Risiken bestehen und wie er diese minimieren kann.
An Tools zum Auffinden von Schwachstellen - wie zum Beispiel den Pentests - mangelt es nicht, insbesondere, wenn bestehende Produkte analysiert werden sollen. Aber wesentlich schneller und kostengünstiger ist es, bereits im Vorfeld diese Schwachstellen zu erkennen und zu eliminieren.
Hier setzt unsere systematische VDE-Vorgehensweise ARGOS an, bei der sukzessive ermittelt wird, welche schützenswerten Güter einem etwaigen Cyber-Angriff ausgesetzt sind, über welche Mechanismen derartige Angriffe stattfinden könnten, welche Schäden daraus resultieren - sowohl in Sachen Safety als auch Security - und wie sich Hersteller und Betreiber dagegen schützen können. Diese Systematik ist in dieser Abfolge innovativ, da sie Safety und Security miteinander verbindet. Genau das, was in der Medizintechnik Grund-Voraussetzung ist. Zudem orientiert sich ARGOS an der einschlägigen Norm für Risikomanagement, und die Vorgehensweise ist seit Jahren bei den Herstellern etabliert. Der Lern- und Implementierungsaufwand ist deshalb gering.
Und noch der Blick in die Glaskugel: Wie steht es um die Security in der vernetzten Gesundheitsversorgung von morgen?
Ich denke, es wird darauf ankommen, Cybersecurity als elementare Sicherheitsanforderung einer Software, eines Gerätes oder eines Systems zu begreifen und dann so effizient wie möglich Maßnahmen zum Schutz zu entwickeln. Dazu muss man sich auf ein stetiges technologisches Wettrennen einlassen, denn die Angreifer entwickeln sich kontinuierlich weiter. Die Frage ist, wie sich Cybersecurity technisch und regulatorisch weiterentwickeln muss, damit auch neuen Technologien etwas entgegengesetzt werden kann. Ich denke hier zum Beispiel an den Quantencomputer, der unsere derzeitigen kryptographischen Verfahren obsolet machen würde. Cybersecurity ist also ein kontinuierlicher Prozess, der in Zukunft, wie jetzige Prozesse auch, ein normaler Bestandteil eines Unternehmens sein wird.
Danke für das Gespräch!