Bild 1: Vernetzte medizinische Geräte erlauben es, aus der Ferne Diagnosen zu stellen und Patienten sowohl zu überwachen als auch zu behandeln.

Bild 1: Vernetzte medizinische Geräte erlauben es, aus der Ferne Diagnosen zu stellen und Patienten sowohl zu überwachen als auch zu behandeln. (Bild: Shutterstock 766754320)

Über die letzten 30 Jahre hinweg fand in der Luftfahrt ein Übergang von konventionellen mechanischen Flugkontrollen hin zur digitalen, Computer-kontrollierten Flugsteuerung „Fly-by-Wire“ statt. In jüngerer Zeit hat die Automobilindustrie unter dem Schlagwort „Drive-by-Wire“ vergleichbare Potenziale ausgemacht. Der analoge Ansatz, der allgemein unter dem Begriff „X-by-Wire“ bekannt ist, eignet sich auch für die Medizingeräte-Industrie. Schließlich wird heutzutage in medizinischen Geräten auch nahezu alle Funktionalität und Komplexität durch Software ermöglicht. Angesichts der zunehmenden Komplexität der Software müssen die funktionale Sicherheit und die IT-Security von Medizingeräten bereits bei der Entwicklung der Designs zur obersten Priorität werden.

Das Internet der Dinge (IoT)

Bild 1: Vernetzte medizinische Geräte erlauben es, aus der Ferne Diagnosen zu stellen und Patienten sowohl zu überwachen als auch zu behandeln.

Bild 1: Vernetzte medizinische Geräte erlauben es, aus der Ferne Diagnosen zu stellen und Patienten sowohl zu überwachen als auch zu behandeln. Shutterstock 766754320

Milliarden vernetzter Geräte sollen laut Prognosen innerhalb des nächsten Jahrzehnts in Betrieb sein. Vor diesem Hintergrund ist es nahezu unvorstellbar, den Wert des zunehmenden Vernetzungsgrad nicht in die Planung der meisten neuen medizinischen Embedded-Designs mit einzubeziehen. Produkte, die mit integrierter Internet-Connectivity entwickelt wurden, haben erstaunliche Fortschritte in der Pflege und Telemedizin ermöglicht. So erlaubt es die Nutzung vernetzter medizinischer Geräte aus der Ferne Diagnosen zu stellen und Patienten zu überwachen sowie zu behandeln (Bild 1).

Das Gesundheitswesen im Fadenkreuz von Cyber-Bedrohungen

Trotz der zahlreichen Neuerungen, die sich angesichts der Zunahme vernetzter Geräte und der Telemedizin ergeben haben, war die Medizinindustrie zuletzt Ziel zahlreicher Cyber-Attacken, die erhebliche Behinderungen in der Patientenversorgung verursacht haben und deren Behebung die Industrie Millionen Dollar gekostet hat. Die Kosten für die Bewältigung des Angriffs können die Zahlung von Lösegeldforderungen und Kosten für Prozesse, die betroffene Parteien unter Umständen führen, umfassen. Krankenhäuser können zudem für die Verletzung von Datenschutzgesetzen wie HIPAA (US) und GDPR (EU) haftbar gemacht werden, was womöglich Strafen in Millionenhöhe nach sich zieht. Cyberkriminelle nutzen medizinische Geräte, die mit angreifbaren Netzwerken verbunden sind, als Einfalltor, um Malware in Netzwerken von Krankenhäusern zu installieren.

Bild 2: Bildgebende Systeme, Lebenserhaltungssysteme, implantierbare Herzschrittmacher und Defibrillatoren sind potenzielle Angriffsziele von Cyberkriminellen.

Bild 2: Bildgebende Systeme, Lebenserhaltungssysteme, implantierbare Herzschrittmacher und Defibrillatoren sind potenzielle Angriffsziele von Cyberkriminellen. sfam_photo - shutterstock.com

Medizinische Geräte, die bereits über TCP/IP oder Wi-Fi/Bluetooth-Kommunikationsfunktionen an Krankenhausnetzwerke angeschlossen sind, verfügen in der Regel nicht über eine sichere Vernetzung, und ihre Betriebssoftware wurde auch nicht gründlich auf Anomalien hin getestet. Jedes angeschlossene Gerät kann von Sicherheitslücken betroffen sein. Bildgebende Systeme, Lebenserhaltungssysteme, implantierbare Herzschrittmacher und Defibrillatoren sowie zahlreiche andere vernetzte, medizinische Geräte sind potenzielle Angriffsziele von Cyberkriminellen (Bild 2). Darüber hinaus enthalten viele dieser Produkte aufgrund des Fehlens strenger Software-Codierungsstandards für Medizinprodukte Fehler in ihrer Software und ihren Host-Betriebssystemen, die sich als Schwachstellen herausstellen können.  Wenn eine Schwachstelle von einem Cyberkriminellen entdeckt wird, lässt sie sich ausnutzen und an alle identischen, mit dem Internet verbundenen medizinischen Geräte gleichzeitig weitergeben.

Das Ziel eines Exploits ist es, ein Gerät im Netzwerk zu übernehmen, es als Portal für die Installation von Malware und Ransomware in das Netzwerk der Gesundheitseinrichtung zu integrieren, für den Diebstahl von elektronischen Krankenakten zu benutzen oder den Betrieb eines Geräts so zu beeinflussen, dass Patienten zu Schaden kommen. Es genügt ein ungesichertes medizinisches Gerät im Netzwerk, um Cyber-Kriminellen den Schwachpunkt zu bieten, der ihnen einen offenen Zugang zum System zu ermöglichen und größtmögliches Chaos zu verursachen. Bei allen aktuellen Embedded-Designs für Medizinprodukte ist es für Hersteller unerlässlich, die Kommunikationsanschlüsse ihrer angeschlossenen Geräte zu sichern und Betriebssysteme zu verwenden, die grundlegende Sicherheit und Schutz für lebenswichtige Anwendungen bieten.

Auch Hacker-Technologie schreitet voran

Bild 3: Auch die Technologie der Hacker schreitet weiter voran und macht es immer schwieriger, sich ausbreitende Ransomware abzufangen und zu blockieren.

Bild 3: Auch die Technologie der Hacker schreitet weiter voran und macht es immer schwieriger, sich ausbreitende Ransomware abzufangen und zu blockieren. Shutterstock 749142682

Aktuell entwickeln und testen Hacker Ransomware-Angriffe, die sich hunderte Male schneller verbreiten, indem sie die GPU (Graphical Processing Unit) des Computers verwenden, um die anvisierten Dateien mit Malware zu verschlüsseln. GPU-beschleunigtes Computing verlagert rechenintensive Teile der Anwendung auf den Grafikprozessor, während der Rest des Codes noch auf der CPU läuft. Anwendungen – egal ob gut oder schlecht – haben immer kürzere Laufzeiten, was es für bestehende Anti-Malware-Tools immer schwieriger macht, eine sich ausbreitende Ransomware abzufangen und zu blockieren.  Es ist also zu erwarten, dass zukünftig Angriffe noch schwieriger abzuwehren sind als in der Vergangenheit (Bild 3).

Eine unausgesprochene Realität

Es existiert allerdings noch eine viel düstere Realität, derer wir uns bewusst sein müssen: Wie fallen unsere Reaktionen aus, wenn die nächste Lösegeldforderung nicht darin besteht, verschlüsselte Computer freizuschalten, sondern das Leben von Angehörigen in Krankenhäusern oder sogar zu Hause durch vernetzte, medizinische Geräte zu gefährden? Hacker können ein medizinisches Gerät, wie beispielsweise eine Infusionspumpe, als Waffe benutzen, um Patienten Schaden zuzufügen oder den Tod zu verursachen. Wenn ein Hacker Zugriff auf ein Gerät in einem Krankenhausnetzwerk erhält, kann er sehr wahrscheinlich auch auf alle Geräte in diesem Netzwerk mit demselben Exploit zugreifen.

Infusionspumpen stellen die höchste Anzahl der eingesetzten, vernetzten medizinischen Geräte dar und bieten die größte Angriffsfläche für einen Angriff. Aufgrund ihrer lebenswichtigen Funktion als System zur Verabreichung von Medikamenten, stellt die Infusionspumpe die häufigste Bedrohung für Patienten dar, die Schaden oder Tod verursachen kann. Bildverarbeitungs- und weiteres, unterstützendes Equipment nutzt in der Regel ein COTS-Betriebssystem (Commercial Off-the-Shelf) wie Windows zur Ausführung seiner Anwendungen. Die Betriebssysteme führen durchschnittlich sieben Netzwerkanwendungen pro Gerät aus und sind am anfälligsten für Attacken. In der Regel kommunizieren drei dieser Anwendungen außerhalb des Krankenhausnetzwerks. Das inhärente Design dieser Anwendungen schränkt die Nützlichkeit von Netzwerk-Firewalls und Anti-Malware-Verteidigungsmaßnahmen ein und erhöht die Angriffsfläche nochmals erheblich.

Die Verletzlichkeiten des Netzwerks sind nicht auf Krankenhäuser beschränkt. Patienten, die mit internetfähigen, implantierten medizinischen Geräten (Herzschrittmacher) oder internetfähigen tragbaren Geräten (Insulinpumpen) herumlaufen, sind ebenfalls ein mögliches Ziel für Cyber-Terror. Es besteht damit für Millionen von Menschen auf der ganzen Welt das Risiko, als Folge eines  Angriffs auf oder eines Fehlers in einem implantierten Medizinprodukt, Verletzungen zu erfahren oder sogar zu sterben.

Das Problem eskaliert

Eck-Daten

Besonders bei vernetzten, medizinischen Geräten im Krankenhaus oder beim Patienten zu Hause ist heute die Integration von Safety- und Security-Funktionen unumgänglich, denn auch die Technologie für die Platzierung von Mal- und Ransomware entwickelt sich immer weiter. Das Problem der Security in der Medizintechnik setzt sich im Wesentlichen aus drei Teilen zusammen:

  • Vernetzte Medizinprodukte werden derzeit ohne robuste, kompetente Cybersicherheit hergestellt.
  • Software für Medizinprodukte unterliegt nicht den Standards der funktionalen Sicherheit.
  • Millionen von medizinischen Geräten und veralteten Krankenhaus-Systemen sind in Krankenhausnetzwerken installiert, die keine robuste Sicherheit gewährleisten.

Der Beitrag von Green Hills Software gibt einen Überblick über die aktuelle Sicherslage und darüber, wie sich Systeme mit Sicherheits-Features nachrüsten lassen.

Dies alles sind jedoch keine neuen Informationen, denn die Anzahl der Vorfälle wie Cyber-Angriffe verdoppelt sich aktuell jedes Jahr. Produktentwickler, Computerspezialisten und Urheber von Standards, die sich auf Software für Medizinprodukte auswirken, sowie andere Interessengruppen beobachten diese Zunahme der Cyberkriminalität. Sie sind es auch, die zahlreiche Vorschläge zur Standardisierung, Regulierung und Verschärfung der Sicherheit in medizinischen Systemen unterbreiten. Viele dieser Vorschläge empfehlen, bestehende internationale Standards zu nutzen, um die Sicherheit von Medizinprodukten zu erhöhen. Doch leider wurden die meisten dieser vorgeschlagenen Maßnahmen von den Systemherstellern bisher nicht umgesetzt.

Die Lösungen existieren bereits

Bild 4: Sicherheitstechnologien wie das Integrity-RTOS und die Integrity-Multivisor-Secure-Virtualisierung bieten hohe Widerstandsfähigkeit gegen unbefugte Zugriffe.

Bild 4: Sicherheitstechnologien wie das Integrity-RTOS und die Integrity-Multivisor-Secure-Virtualisierung bieten hohe Widerstandsfähigkeit gegen unbefugte Zugriffe. Green Hills Software

In den letzten zwei Jahrzehnten wurden Tausende von missions- und lebenswichtigen Systemen auf Basis von Green Hills Softwares Integrity-RTOS (Real Time Operating System) in Anwendungen für die Militär-, Luft- und Raumfahrtindustrie, die industrielle Steuerung, die Bahntechnik, die Schifffahrt und zuletzt die Automobilindustrie integriert. Die Erkenntnis, dass elektronische Systeme akute Schwachstellen enthalten und ein Missbrauch katastrophale Schäden verursachen und ein Risiko für Menschenleben darstellen kann, führte zur Entwicklung von Technologien nach strengen Standards mit strikten Sicherheitsvorkehrungen gegen Ausfallbedingungen und hoher Widerstandsfähigkeit gegen unbefugten Zugriff. Beispiele dafür sind das Integrity-RTOS (Eigenschreibweise: INTEGRITY), im Einsatz seit 1997, und die Integrity-Multivisor-Secure-Virtualisierung (2003). Diese Sicherheits-Technologien sind heute kommerziell von verschiedenen Anbietern auf der ganzen Welt erhältlich und erfahren Unterstützung durch anerkannte, internationale Normungsgremien (Bild 4).

Standard DO-178 Level A

Die US Federal Aviation Administration (FAA) und die Europäische Agentur für Flugsicherheit (EASA) verlangen die Zulassung von Flugzeugen nach strengen Standards, wie beispielsweise RTCA DO-178. Innerhalb dieses Standards sind kritische Avionik-Software-Systeme nach DO-178 Level A zertifiziert. Dieser Standard schützt vor den Flugzeug-Subsystemen, deren anomales Verhalten einen „katastrophalen Versagenszustand“ verursachen könnte. Es ist die einzige angemessene Sicherheitsnorm, wenn ein Versagen zu erheblichen Verlusten an Menschenleben oder größeren Sachschäden führen könnte. Zum Einsatz kommt der Standard in lebens- und einsatzkritischen Systemen sowohl für zivile als auch für militärische Flugzeuge. Aufgrund seiner Herkunft aus höchst sicherheitskritischen Anwendungen, gilt der DO-178 Level A aktuell als der strengste und am besten entwickelte Standard für Anwendungen, die ein Höchstmaß an Sicherheit erforderten. Wäre es angesichts des derzeitigen Klimas von weit verbreiteten Cyber-Terrorismus, Ransomware und Datenverstößen nicht angebracht, alle lebens- und geschäftskritischen Anwendungen im Internet der Dinge, auch medizinische Geräte, auf dieses Sicherheitsniveau zu beschränken?

In den USA hat die National Information Assurance Partnership (NIAP) durch ein gemeinsames Sponsoring mit dem National Institute of Standards and Technology (NIST) und der National Security Agency (NSA) die Common-Criteria-for-Information-Technology-Security-Evaluation (unterstützt als ISO/IEC 15408) entwickelt. Dieser internationale Standard definiert die Evaluations-Assurance-Level (EAL) von EAL1 (Lowest-Level of Assurance) bis EAL7 (High-Level of Assurance). Ein auf EAL4 basierendes System bietet ein Sicherheitsniveau, das vor „mäßigen Versuchen, die Sicherheit zu verletzen“ schützt. Allgemeine Betriebssysteme wie Windows, Linux, Android und andere sind nur nach EAL4 zertifiziert. Diese Betriebssysteme erfahren regelmäßige Hacker-Angriffe und Entwickler melden täglich Schwachstellen. Ein lebenswichtiges Gerät, wie beispielsweise eine Infusionspumpe, ist mindestens auf EAL6 abzusichern, um trotz ihrer hochentwickelten Systeme sicher vor Hackern und auch vor Angriffen fremder Nationalstaaten zu sein. Produkte, die diese Sicherheitsstufen bieten, sind seit Jahren in kommerzieller Form erhältlich. Dazu gehört beispielsweise das Green Hills Integrity-178, das 2008 eine Zertifizierung nach Common Criteria EAL6+ High Robustness erhielt.

Systeme im Krankenhaus nachrüsten

Aktuell in Krankenhäusern installierte Systeme und medizinische Geräte lassen sich mit hoher Wahrscheinlichkeit nicht mit einer robusten Cybersicherheit und streng getesteten Anwendungscodes und Betriebssystemen nachrüsten. Green Hills Software kann jedoch sichere und sicher verschlüsselte Gateways bereitstellen, die die Geräte schützen und nur die Kommunikation von bestimmten Netzwerkcomputern, Tablets oder Smartphones zulassen. Gesundheitseinrichtungen können mit dieser Technologie beispielsweise einen MRT-Scanner absichern und trotzdem die Kommunikation zum und vom Netzwerk ermöglichen.

Seit 1983 bietet Green Hills Software Embedded Software-Lösungen an, die alle Phasen der Systementwicklung in allen Industriezweigen unterstützen. Green Hills Software hat die höchsten Stufen der Sicherheitszertifizierungen erreicht, einschließlich DO-178 Level A, IEC 61508 SIL 4, IEC 62304, ISO 26262 ASIL D und nutzt über 35 Jahre Erfahrung, um die medizinische und andere Industrien dabei zu unterstützen, leistungsfähige und sichere Geräte und Systeme zu entwickeln, die den Anforderungen des Marktes heute und in Zukunft gerecht werden. Das Herzstück der Plattform für medizinische Geräte ist Green Hills Integrity-RTOS, eine robuste Separationskernel-Plattform für voll funktionsfähige Anwendungen. Zusammen mit der Integrity-Multivisor-Secure-Virtualisierung, Middleware und Services bietet Green Hills zulassungsreife Lösungen für den Einsatz in Medizinprodukten der Klassen II und III mit allen unterstützenden Life-Cycle-Dokumentationen.

Martin Nappi

Vice President Business Development Medical Devices and Systems bei Green Hills Software

(na, tm)

Sie möchten gerne weiterlesen?

Unternehmen

Green Hills Software Ltd.

Leigh Road
SO50 9PD Eastleigh, Hampshire
United Kingdom