Sicherheitsexperten berichten seit Jahren über Schwachstellen in Krankenhaus- und Kliniknetzwerken. Obwohl diese Netzwerke sensible Patientendaten enthalten und mit lebenswichtigen Medizingeräten verbunden sind, lassen sie sich noch immer auf einfache Weise infiltrieren. Die Netzwerkausrüstung, beispielsweise Router, mag zwar auf dem neuesten Stand der Technik sein, die medizintechnischen Geräte, die an das Netzwerk angeschlossen sind, weisen aber oft einen geringen oder keinen Datenschutz auf. Gelangt Schadsoftware in ein solches Gerät, öffnet sich für Angreifer eine Hintertür, über die sie dann Zugriff auf sensible Daten im gesamten Netzwerk erhalten. Hinzu kommt, dass sich das betroffene Medizingerät dann auf gefährliche Weise manipulieren lässt.
2015 wurde eine umfassende Regulierung hinsichtlich der Datensicherheit medizintechnischer Geräte gestartet. In der EU gilt nun die neue generelle Datenschutzverordnung für alle Geräte, die strenge Anforderungen an den Schutz personenbezogener Daten stellt. Zusätzliche Regelungen, die sich speziell auf medizintechnische Geräte und intravenöse Applikationshilfen beziehen, werden demnächst verabschiedet.
Eck-daten
Entwickler von Medizingeräten kennen die Vorgaben hinsichtlich der funktionalen Sicherheit ihrer Geräte und halten sie ein. Eine ganz neue Rolle im Entwicklungsprozess spielt das Thema Schutz der Geräte und Netzwerke vor externen Angreifern. Um Cybersicherheit in Produkte zu implementieren, hat Integrity Security Services (ISS) fünf Regeln erstellt. Zusammen mit dem PHASE-Modell des Unternehmens, das die Punkte minimale Implementierung, Komponentenarchitektur, Least Privilege, sicherer Entwicklungsprozess sowie unabhängige Überprüfung durch Experten abdeckt, lassen sich auf dieser Basis sichere Systeme realisieren.
Für Geräteentwickler enthalten die Empfehlungen der FDA (US Food und Drug Administration) nützliche Hinweise zur Einhaltung von Sicherheitsanforderungen. So hat die Behörde formale Leitlinien für die Datensicherheit medizintechnischer Geräte erlassen – sowohl für den Zeitraum vor der Markteinführung als auch danach. Als wesentlicher Punkt vor der Markteinführung beziehungsweise Freigabe verlangt die FDA, dass Sicherheitsrisiken Teil einer Risikoanalyse sein sollten, während nach der Markteinführung sichere Software-Aktualisierungen durchzuführen sind.
Sicherheitswarnung der FDA
Die neuen Richtlinien, die nach der Markteinführung eines Geräts gelten, besagen aber auch, dass die FDA normalerweise Software-Änderungen nicht freigeben oder genehmigen muss, wenn im Feld nur Funktionen aktualisiert werden, die die Cybersicherheit betreffen. In Notfällen will die Behörde so ein schnelles Eingreifen garantieren. Die FDA hat sogar zum ersten Mal eine Sicherheitswarnung ausgesprochen, die eine Sicherheitslücke einer Infusionspumpe betrifft. In ihrer Sicherheitswarnung empfahl die Behörde aufgrund von Sicherheitslücken auf den Einsatz verschiedener zuvor genehmigter Geräte zu verzichten.
Entwickler von Medizingeräten sind mit der Einhaltung der Bestimmungen hinsichtlich der funktionalen Sicherheit bestens vertraut. Nun kommt die Cybersicherheit als weitere Dimension zum Entwicklungsprozess hinzu. Dabei sollten Entwickler Experten mit hinzuziehen, um die unterschiedlichen Eigenschaften zu berücksichtigen, die für eine angemessene Sicherheitsstufe des jeweiligen Produkts erforderlich sind. Integrity Security Services (ISS), ein Unternehmen von Green Hills Software, hilft Kunden, die FDA- und EU-Anforderungen anhand eines durchgängigen Embedded-Security-Designs zu adressieren. ISS unterstützt Entwickler von Medizingeräten anhand der folgenden fünf Regeln für Embedded-Security.
Regel 1: Kommunizieren, ohne dem Netzwerk zu vertrauen
Viele Medizingeräte sind dauerhaft vernetzt und manche sind für Wartungsarbeiten oder Upgrades zu vernetzen. Der Schutz von Patientendaten ist dabei ebenso wichtig wie der Schutz grundlegender Betriebsparameter, beispielsweise die Dosierung bei Infusionspumpen. Selbst ohne sensible Daten kann ein Gerät beim Anschluss an ein Kliniknetzwerk zum Ziel für Angreifer werden, die darüber in das Netzwerk eindringen (Bild 1).
Um eine Sicherheitsverletzung zu verhindern, sind alle Endpunkte zu authentifizieren. Dies umfasst das Gerät selbst, jeden Benutzer, der mit dem Gerät interagiert, und jedes andere angeschlossene System. Sichere Designs sollten niemals davon ausgehen, dass Nutzer und Steuerungssoftware zuverlässig sind, nur weil die empfangenen Nachrichten das korrekte Format aufweisen. Bei den von der FDA beanstandeten Infusionspumpen konnte ein Angreifer Zugriff auf das Netzwerk erlangen, das Protokoll über Reverse Engineering ausspähen und anschließend ordnungsgemäße Befehle zurücksenden, die die Abgabe einer Überdosis des Medikaments an den Patienten veranlasst hätten. Authentifizierung schützt medizintechnische Geräte vor der Ausführung von Befehlen aus unbekannten Quellen.
Regel 2: Sicherstellen, dass die Software nicht manipuliert ist
Es gibt zahlreiche Möglichkeiten, Schadsoftware in ein Gerät einzubringen. Dazu zählen
- eine Hardware-Debug-Schnittstelle wie JTAG,
- der Zugriff auf Test- und Debug-Schnittstellen wie Telnet und FTP,
- die Nutzung von Steuerprotokollen, die ohne Rücksicht auf Sicherheit entwickelt wurden, sowie
- die Simulation eines Software-Updates, das Vertrauenswürdigkeit ohne Überprüfung vorgibt.
Entwickler sollten Systemssoftware so lange nicht vertrauen, bis die Vertrauenswürdigkeit bewiesen ist. Der Punkt, an dem die Authentifizierung beginnt, heißt Root-of-Trust (Bild 2). In hochzuverlässigen Systemen muss diese entweder in Hardware oder in unveränderlichem Speicher ausgelegt sein. Ein sicherer Boot-Vorgang beginnt am Punkt der Root-of-Trust und überprüft die Echtheit jeder Software-Ebene, bevor das System deren Ausführung erlaubt.
Sicheres Booten überprüft die Quelle und Integrität der Software über digitale Signaturen. Die Software wird bei der Freigabe „unterzeichnet“ und bei jedem Laden überprüft. Dies gewährleistet, dass ein Gerät frei von Schadsoftware ist und ordnungsgemäß arbeitet. Sicheres Booten verhindert somit Malware und folglich Angriffe auf das Netzwerk. Dies entspricht den neuen FDA-Richtlinien. Diese empfehlen, dass ein Gerät imstande sein sollte, ungültige Software zu erkennen und zu melden.
Regel 3: Sensible Daten schützen
Patientendaten, Betriebsparameter und Software müssen nicht nur bei der Übertragung im Netzwerk, sondern auch innerhalb des Geräts geschützt werden. Dies lässt sich über ein Security-Design bewerkstelligen, das Trennung und Verschlüsselung umfasst und sicherstellt, dass nur authentifizierte Software und Nutzer Zugriff auf die gespeicherten Daten haben.
Um Daten bei der Übertragung zu schützen, muss sichergestellt sein, dass sie nur an einem entsprechenden Endpunkt einsehbar sind. Dabei ist zu beachten, dass eine Standard-Wireless-Verschlüsselung keine sichere Kommunikation garantiert und nur die Datenverbindung, aber nicht die Daten schützt. Jedes andere System, das Zugriff auf das Wireless-Netzwerk erlangt, kann die Datenpakete in verschlüsselter Form empfangen. Datenschutz lässt sich durch Netzwerk-Sicherheitsprotokolle wie TLS erreichen. Damit ist eine sichere Client-/Server-Kommunikation durch gegenseitig authentifizierte und eindeutig verschlüsselte Sitzungen möglich.
Regel 4: Schlüssel zuverlässig sichern
Schlüssel zur Verschlüsselung und Authentifizierung sind in jedem Fall zu schützen. Werden sie kompromittiert, kann ein Angreifer sensible Daten entschlüsseln oder einen gültigen Endpunkt vortäuschen. Darum sind Schlüssel von nicht vertrauenswürdiger Software zu isolieren. Schlüssel, die in nichtflüchtigem Speicher abgelegt sind, sollten stets verschlüsselt werden und nur nach sicherem Booten entschlüsselt werden. Da der Schutz von Patientendaten – vor allem in der EU – höchste Priorität hat, bieten hochsichere Kernels und Sicherheitsmodule eine schichtweise Trennung für das ausfallsichere Design.
Schlüssel müssen auch während der Fertigung und über den gesamten Produktlebenszyklus mithilfe einer durchgehenden Sicherheitsinfrastruktur geschützt werden. Ist ein Schlüssel jederzeit lesbar, sind alle Geräte, die ihn nutzen, anfällig für Angriffe. Eine Enterprise-Sicherheitsinfrastruktur schützt Schlüssel und digitale Identitäten über verteilte Lieferketten und bietet darüber hinaus zusätzliche wirtschaftliche Vorteile, die über Software-Updates hinausgehen, wie beispielsweise Geräteüberwachung in Echtzeit sowie Schutz gegen Fälschungen und Lizenzdateien, um die Verwendung optionaler Funktionen zu steuern (Bild 3).
Regel 5: Zuverlässiger Betrieb
Entwickler im Bereich der Medizintechnik sind sich bewusst, dass die größte Gefahr für ein System die unbekannten Designfehler und Mängel sind, die während der Entwicklung der Geräte auftreten können. Green Hills Software empfiehlt daher mit seinem PHASE-Modell (Principle of High Assurance Software Engineering) fünf Prinzipien zur Entwicklung sicherer Lösungen. Diese lauten wie folgt:
- Minimale Implementierung – Code sollte so geschrieben sein, dass nur die erforderlichen Funktionen ausgeführt werden. So lässt sich „Spaghetti-Code“ vermeiden, der nicht überprüfbar oder wartbar ist.
- Komponentenarchitektur – Umfangreiche Softwaresysteme sollten auf Komponenten aufbauen, die klein genug sind, um einfach verständlich und wartbar zu sein. Safety- und Security-kritische Dienste sollten von nichtkritischen Diensten getrennt sein.
- Least Privilege – Jede Komponente sollte nur Zugriff auf die Ressourcen (beispielsweise Speicher, Kommunikationskanäle, I/Os) erhalten, die unbedingt erforderlich sind.
- Sicherer Entwicklungsprozess – Hochsichere Systeme wie medizintechnische Geräte erfordern einen hochsicheren Entwicklungsprozess. Zusätzliche Kontrollen umfassen die Sicherheit der Entwicklungstools und sichere Programmierungsstandards, um ein sicheres Design zu gewährleisten.
- Unabhängige Überprüfung durch Experten – Die Evaluierung über einen etablierten Drittanbieter bestätigt die Sicherheitsanforderungen und ist für eine Zertifizierung oft erforderlich. Wie bei der funktionalen Sicherheit erhalten Komponenten den Vorzug, die bereits für Cybersicherheit zertifiziert wurden. Sie sind zuverlässige Komponenten, die sich für neue Designs wiederverwenden lassen.
Auf diesen fünf Prinzipien basiert die Entwicklung des Echtzeit-Betriebssystems Integrity von Green Hills Software. In der Anwendungsentwicklung minimieren sich damit die Wahrscheinlichkeit sowie die Auswirkungen eines Softwarefehlers oder eines neuen Angriffs auf die Cybersicherheit.
Durchgängige Datensicherheitslösung
Der Aufbau eines sicheren medizintechnischen Geräts, das den aktuellen Regelungen entsprechen soll, verlangt ein durchgängiges Sicherheitsdesign, das die Datensicherheit und Zuverlässigkeit des vernetzten Geräts über den gesamten Lebenszyklus adressiert. Dies erfordert eine Sicherheitsarchitektur, die einen sicheren Betrieb garantiert und gewährleistet, dass Schlüssel, Zertifikate und sensible Daten während des gesamten Betriebs sowie bereits in der Fertigung durch eine Enterprise-Security-Infrastruktur geschützt sind. Die optimale Auswahl der Geräte- und Enterprise-Security-Lösungen hängt von den Betriebs- und Fertigungsumgebungen genauso ab wie von geschäftlichen Anforderungen.
Mary Sue Haydt
(hb)