Wie Krankenhäuser ihre medizinischen Geräte und Betriebstechnik gegen Angriffe absichern

Lange Zeit galt für Cyberkriminelle und staatliche Cyberakteure eine klare rote Linie: Krankenhäuser und die Infrastruktur des Gesundheitswesens wurden als Ziel ausgeschlossen. In vielen Köpfen ist dieser längst vergangene Welpenschutz noch immer präsent. Die Überzeugung, niemand wolle Krankenhäusern und Kliniken etwas anhaben, ist weiterhin verbreitet.

Dabei ist das Gesundheitswesen seit einigen Jahren einer der am stärksten durch Cyberangriffe betroffenen kritischen Sektoren. Von den 289 Vorfällen im Gesundheitssektor, die 2024 den europäischen Behörden gemeldet wurden, fielen 49 auf Cyberangriffe¹. Damit liegt das Gesundheitswesen nach den Sektoren Energie (84) und Transport (65) an dritter Stelle. Auf globaler Ebene gab es in den vergangenen fünf Jahren fast 1.600 Berichte zu Cyberangriffen auf Gesundheitseinrichtungen.²

Zugleich wächst im Bereich Healthcare der Grad an Vernetzung der Betriebstechnik (zusammenfassend für medizinische Geräte und Gebäudeautomatisierung). Elektronische Patientenakte, roboterassistierte Telechirurgie, zentral gesteuerte Gebäudeautomation für HVAC-Systeme und die Versorgung mit den verschiedensten Gasen führen zu einer zunehmenden Digitalisierung der klinischen Prozesse.

Welche blinden Flecken gibt es bei der Cybersicherheit medizinischer Geräte und Anlagen?

Die etwas vereinfachte Antwort ist, dass die Betriebstechnik häufig einen einzigen blinden Fleck bildet. Sicherlich, die HVAC-Anlagen, medizinischen Geräte und hunderte Anzeigetafeln werden durch die Betriebstechniker:innen und die Hersteller gewartet. Jedoch kümmern diese sich nicht um die Cybersicherheit, sondern nur um das grundlegende betriebliche Funktionieren. Die IT-Abteilung wiederum hat in den meisten Fällen die Betriebstechnik als mögliches Einfallstor gar nicht auf dem Schirm, einfach weil es in der Vergangenheit nicht zwingend notwendig war – oder die Systeme zu speziell (und isoliert) waren.

Zudem herrscht häufig ein falsches Gefühl von Sicherheit. Die IT der Krankenhäuser wird klassisch durch Firewalls geschützt. Rein theoretisch ist damit auch die Betriebstechnik abgesichert. Jedoch sind klassische Firewalls selbst bestimmten Angriffsvektoren gegenüber blind, z. B.:

• Zero-Day-Schwachstellen,

• Angriffe über gestohlene Zugangsdaten (Stolen Credentials), die mittlerweile den häufigsten initialen Angriffsvektor bilden,

• Innentäter,

• Angriffe über die Software der medizinischen Geräte (Supply Chain Compromise).

Kurz: Sind Angreifende erst einmal im Netzwerk, hilft keine Firewall mehr.

Auch der Umstand, dass medizinische Geräte und Betriebstechnik meist insular betrieben werden (können) und häufig nur zur Wartung online gehen, bietet keinen Schutz. Nicht nur reichen Angreifenden die kurzen Wartungsfenster, um Systeme zu kompromittieren. Durch die zunehmende Vernetzung wird dieser vermeintlich sichere Zustand auch ein Fall der Vergangenheit. In Krankenhäusern rücken IT und Betriebstechnik und damit auch Betriebstechnik und Internet immer weiter zusammen.

Ein industrielles System zur Angriffserkennung für die Krankenhaus-Betriebstechnik?

Aus Sicht der Betriebssysteme und der verwendeten Kommunikationsprotokolle stehen medizinische Geräte der IT durchaus nahe. Aus Sicht der Kommunikationsstruktur und –muster sowie der Kernanforderungen ähneln sie jedoch viel stärker industriellen Netzen. Befehle und Kommunikation sind deterministisch, gleichförmig und wiederholend. Datenschutz ist wichtig, steht aber immer hinter Verfügbarkeit und Verlässlichkeit.

Aus diesem Grund teilen medizinische Geräte eine weitere Eigenschaft mit industriellen Komponenten und Netzen: Weder bringen sie von Haus aus Mechanismus für Cybersicherheit mit, noch wurden sie bei der Entwicklung gehärtet. Veraltete Betriebssysteme, bestätigte Schwachstellen, schwache Authentifizierung oder fehlende Mechanismen zum Blocken bösartiger Kommunikation sind somit nicht selten. Fakt ist auch, dass sich daran so schnell nichts ändern wird.

Ein Netzwerkmonitoring schützt die medizinischen Anlagen

Somit stehen die Verantwortlichen in Krankenhäusern und Kliniken vor der Herausforderung, das nicht abzustellende Restrisiko mit Fokus auf Verfügbarkeit zu managen.

Auf den Geräten selbst ist das nicht möglich, dafür sind diese nicht ausgelegt. Eine konsequente Netzwerk-Segmentierung hilft, um Risikozonen zu clustern. Jedoch ermöglicht erst ein netzbasiertes Angriffserkennungssystem (NIDS für network-based intrusion detection system), ungewollte (sprich: bösartige) Kommunikationsvorgänge innerhalb der Netzwerke frühzeitig zu erkennen.

Ein NIDS wie Rhebo Industrial Protector liest dafür die gesamte Kommunikation mit, die zwischen den Geräten im Netzwerk entsteht. Da es sowohl die vorherrschenden IT-Protokolle, als auch die industriellen Protokolle erkennt und versteht, wird ein Gesamtbild der Betriebstechnik-Cybersicherheit geschaffen. Ungewöhnliche, neuartige oder veränderte Kommunikationsmuster werden in Echtzeit erkannt und können umgehend auf ihr Risiko bewertet werden.

Zusätzlich werden bekannte Schwachstellen, Fehlkonfiguration (z. B. bei der Segmentierung der Netzwerke oder in Bezug auf automatisierte Werkeinstellungen der Geräte-Firmware) erkannt und können nachfolgend behoben werden.

Die Verantwortlichen der Betriebstechnik und der IT-Abteilung können somit in direkter Abstimmung schnell entscheiden, um sowohl Datenschutz als auch Anlagenverfügbarkeit sicherzustellen.

‍