Viele Kliniken zählen nach dem neuen IT-Sicherheitsgesetz als kritische Infrastrukturen (KRITIS). Heißt: Sie müssen sich unter anderem besonders gegen Cybercrime-Attacken schützen. Wie leicht eine Krankenhaus-IT zu knacken ist, zeigt ein realer Fall eines Kollegen.
Der Kollege, von Beruf so genannter White-Hat-Hacker oder auch Penetrationstester, deckt bei einem privaten Klinikaufenthalt als Patient ungeplant eine massive IT-Sicherheitslücke auf. Ein Servicetechniker führt Wartungsarbeiten am Multimediasystem des Krankenzimmers durch. Er nutzt den vorhandenen USB-Anschluss, um seine Tastatur anzuschließen, und durch Drücken der Windows- bzw. Alt-Tab-Taste verschafft er sich direkten Zugriff auf die Managementkonsole des Systems. Er beseitigt ein technisches Problem, loggt sich im Anschluss aus, trennt seine Tastatur und geht – alles vor den Augen der Patienten in dem Zimmer.
Der IT-Sicherheitsexperte lässt sich am Folgetag von Bekannten berufliches Equipment ans Krankenbett bringen. Es dauert nicht lange und er hat Zugriff auf den Administratorbereich seiner Multimediastation. Die wiederum ist mit den Systemen der anderen Zimmer vernetzt. Damit kann der IT-Profi auch dort TV-Sender verstellen und die für Video-Telefonie integrierte Kamera aktivieren. Das alles gelingt ihm, ohne nur ein einziges illegales Hacker-Tool zu benutzen und einen Passwortschutz zu umgehen. Dazu kommt: Niemanden vom Klinikpersonal fällt auf, was der Patient mit seiner externen Tastatur anstellt.
Über das Multimediasystem auf Beatmungsgeräte zugreifen
Der White-Hat-Hacker bricht den Versuch ab und informiert die IT-Abteilung des Krankenhauses. Die staunen nicht schlecht. Im ihrem Beisein darf er sich im System genauer umschauen. Binnen eines Tages kann der Profi auf die Netzwerk- und Management-Interfaces mehrerer aktiv genutzter medizinischer Geräte zugreifen. Unter Aufsicht übernimmt er die Kontrolle über ein (nicht genutztes) Beatmungsgerät und kann dieses vollständig steuern. Das reicht den Verantwortlichen. Die IT-Abteilung des Krankenhauses geht auf Ursachenforschung und entwickelt Maßnahmen, damit diese als kritisch einzustufenden Sicherheitslücken rasch geschlossen werden können.
Kurze Schwachstellenanalyse
Dieser ungeplante Live-Hack war möglich, weil mehrere Faktoren zusammenkamen:
- Hätte das Krankenhaus unerlaubte USB-Geräte wie Tastatur und Maus am Multimediasystem im Krankenzimmer geblockt, wäre ein derart leichter Zugriff nicht möglich gewesen.
- Das Multimediasystem war nicht durch ein Passwort gesichert, und es gab auch keine Trennung der einzelnen Systeme in den verschiedenen Zimmern durch einen Passwortschutz.
- Es fehlte eine „harte“ Trennung der verschiedenen virtuellen LAN-Netzwerke (VLANs) durch definierte Kommunikationswege, beispielsweise durch die Nutzung von Access Control Lists (ACL).
- Mangelnde Security Awareness bei den Mitarbeitern im Krankenhaus. Der Service-Techniker lässt sich bei der Wartung des unsicheren Systems quasi über die Schulter schauen. Die Pflegekräfte und Ärzte stört es nicht, dass ein Patient an der Multimediaanlage hantiert.
Was sich aus dem Fall lernen lässt
Mit einem derartigen Fall möchte kein Klinikbetreiber in der Zeitung stehen. Das Beispiel zeigt allerdings auch, dass Krankenhäuser im Vergleich zu vielen anderen Unternehmen mehr Angriffsfläche für einen physischen Zugriff auf die IT bieten. Es herrscht reger Publikumsverkehr. Überall auf dem Klinikgelände verteilt gibt es eine Fülle verschiedener digitaler Anschlüsse. Dritte können physisch auf die Infrastruktur zugreifen, so dass Sicherheitsvorkehrungen auf einen viel größeren Bereich ausgedehnt werden müssen als für IT-Abteilungen normalerweise üblich.
Das IT-Sicherheitsgesetz stuft viele Krankenhäuser inzwischen als Betreiber kritischer Infrastrukturen (KRITIS) ein. Ab wann ein Unternehmen zu KRITIS zählt und damit die Vorgaben des Gesetzes bis Mitte 2019 zwingend erfüllen muss, wurden am 29. Juni 2017 im Bundesgesetzblatt veröffentlicht. Bei Nichtbeachtung drohen ab 2019 empfindliche Geldstrafen von bis zu 100.000 Euro je Verstoß.
Zu den Sicherheitsauflagen für KRITIS-Krankenhäuser zählt zum einen eine „Absicherung nach aktuellem Stand der Technik“, um technische Schwachstellen wie in dem beschriebenen Fall auszuschließen. Zum anderen fordert das IT-Sicherheitsgesetz die Einführung eines umfassenden Information Security Management Systems (ISMS), möglichst gemäß ISO27001.