Video Tipp
Video Tipp2
Aktuelle News
Weitere News
Vor-Ort-Reportagen
Verlagsprodukte
Service
Termine     [Weitere...]
RSS-Feed Aktuelle News
Multimedia
 
  








Veröffentlicht: 03.05.2017


Cybersecurity in der Medizintechnik

Anleitung zum Hacking-Workshop

Hotel Seehof, Berlin am 27. April 2017




"Hacking leicht gemacht"


Die zunehmende Digitalisierung und Vernetzung macht auch vor der Medizintechnik nicht Halt. Doch wie groß ist das damit einhergehende Risiko? Und wie greift ein Hacker eigentlich Systeme in einem Netzwerk an? Mit einer Einführung in das Angreifen von IT-Systemen durften sich Pressevertreter beim Workshop „Cyber-Angriffe – von der Panik zur Strategie“ am 27. April im Hotel Seehof in Berlin mit genau diesen Fragen beschäftigen. Organisiert wurde die Veranstaltung von Dräger.


Der Hippokratische Eid für Medizingeräte

In seiner Keynote „Demystifying Hospital Hacks and a Hippocratic Oath for Connected Healthcare“ erläuterte Beau Woods, Deputy Director, Cyber Statecraft Initiative, Atlantic Council, Washington D.C., die Herausforderungen für Hersteller medizinischer Geräte im Hinblick auf IT-Sicherheit. Seine Organisation, der Atlantic Coucil, ist eine 1961 gegründete Denkfabrik (Think Tank) und Public Policy-Gruppe in den USA, mit dem Auftrag der Förderung von konstruktiver Führung und Engagement in internationalen Angelegenheiten auf Basis der zentralen Rolle der atlantischen Gemeinschaft bei der Bewältigung der internationalen Herausforderungen des 21. Jahrhunderts. Beau Woods ist ebenso aktiv in der Initiative „I Am Cavalry“, einer Basisorganisation, die sich auf die Auswirkungen von Cyberangriffen auf die öffentliche Sicherheit fokussiert. Die Bereiche umfassen Medizingeräte, Automobile, Hausgeräte und öffentliche Infrastruktur. Alle Mitglieder sind Voluntäre und arbeiten ehrenamtlich. „It’s too important to make it a job“, konstatiert Beau Woods.
Woods erklärte, dass die neuesten technologischen Entwicklungen auch für die Patientenversorgung mit erheblichen Verbesserungen im Hinblick auf Qualität, Kosteneffizienz und medizinischer Forschung einhergehen, aber natürlich auch neue Angriffsmöglichkeiten für Cyberattacken bietet. Er ging im Einzelnen auf den „Hippocratic Oath for Connected Medical Devices“, einer Weiterführung der symbolischen Bestätigung von Medizinern, bestmögliche Pflege im Sinne der Patienten zu erbringen („Hippocratic Oath“), die auf die Patientensicherheit eingeht und aus der Perspektive von Medizingeräten verfasst wurde.
Woods erläuterte die Methodik von Microsoft mit „open sources“ zu arbeiten, denn nur so sei es möglich, dass die Anwender Sicherheitslücken finden und sie aufzeigen.
Schließlich ging Woods noch auf die Motivation der Hacker ein, die sich mit den Sicherheitsmechanismen und deren Schwachstellen beschäftigen. Hierbei spielt auch die Loyalität zu Gesetzen eine Rolle, um den Begriff als positiv oder negativ zu werten.
Ein Hacker hat immer Gründe und eine bestimmte Motivation zum Hacken. Man unterscheidet üblicherweise in zwei Gruppen: White-Hats und Black-Hats. Die White-Hats sind Hacker, denen es nicht um den persönlichen Profit geht, sondern vielmehr darum Sicherheitslücken aufzuzeigen, um Systeme dann auch sicherer zu machen. Die Black-Hats hingegen versuchen mit teils kriminellen Methoden Systeme zu zerstören, Lösegeld zu erpressen oder durch anderes Ausnutzen von Sicherheitslücken finanzielle oder ideologische Motive durchzusetzen. Woods unterschied in seinem Vortrag die einzelnen Hackergruppen:
- Scriptkiddies: sie attackieren schlecht gesicherte Systeme, es sind meist Programmierexperten, die eine Software aushebeln
- Nation State: z.B. . Anonymous, die mehr technisch orientiert sind
- Cyber Terrorists: z.B. ISIS
- Cyber Criminals: financial motivation – Ransomware




Beau Woods, Deputy Director, Cyber Statecraft Initiative, Atlantic Council, Washington D.C.

Hands-on-Session; „Frisch gehackt“ – Welche Schutzmechanismen greifen?

Hannes Molsen, Global IT-Security Director bei Dräger, erklärte in seiner praktischen Übung die Basic-Tools und Abwehrszenarien am Beispiel eines Live-Hacks in vernetzte Windows-Rechner. Hierzu wurden den Teilnehmern Laptops, Server und Medizingerät zur Verfügung gestellt, so dass eine reale Hacker-Szene nachgestellt werden konnte. Letztendlich wurden die einzelnen Phasen unter Anleitung durchlaufen:
- Zugang verschaffen
- Informationen sammeln
- System kompromittieren
- Schaden anrichten
- System fernsteuern
Die Teilnehmer waren letzendlich doch überrascht, wie einfach die volle Kontrolle über ein IT-System übernommen werden konnte.




Bild rechts: Hannes Molsen, Global IT-Security Director bei Dräger

Hannes Molsen referierte schließlich noch über die IT-Sicherheit von Medizingeräten und wie Dräger mit diesen Herausforderungen umgeht und welche Sicherheitsvorgaben eingeführt wurden. „Es gibt kein System ohne Sicherheitslücken“, gibt Molsen zu bedenken und führt es weiter aus: „Eine hunderprozentige IT-Sicherheit kann niemand versprechen, aber es gibt Möglichkeiten, ein hohes Niveau zu erreichen.“ Also gibt es zwar immer Sicherheitslücken, aber es muss verhindert werden, dass diese ausgenutzt werden.
Für einen effizienten Austausch mit externen Entwicklern und IT-Anwendern hat Dräger eine hauseigene Cybersecurity-Webseite erstellt. Ebenso wird regelmäßig ein „Awareness Training“ durchgeführt. Um Geräte über ihren gesamten Lebenszyklus sicher zu betreiben, müssen sie zudem so entwickelt werden, dass sie auch nachträglich Sicherheits-Updates erhalten können.

Die IT ermöglicht eine vereinfachte Kommunikation zwischen Ärzten, Pflegepersonal und Patienten, doch die zunehmene Vernetzung birgt das Risiko von Datenverslust, Fehlfunktionen und Cyber-Angriffen und stellt die Branche vor große Herausforderungen.


von Dagmar Finlayson

Drucker geeignete Seite Sende diesen Artikel einem Freund


Aktuelle Ausgabe