Eine unausgesprochene Realität

Es existiert allerdings noch eine viel düstere Realität, derer wir uns bewusst sein müssen: Wie fallen unsere Reaktionen aus, wenn die nächste Lösegeldforderung nicht darin besteht, verschlüsselte Computer freizuschalten, sondern das Leben von Angehörigen in Krankenhäusern oder sogar zu Hause durch vernetzte, medizinische Geräte zu gefährden? Hacker können ein medizinisches Gerät, wie beispielsweise eine Infusionspumpe, als Waffe benutzen, um Patienten Schaden zuzufügen oder den Tod zu verursachen. Wenn ein Hacker Zugriff auf ein Gerät in einem Krankenhausnetzwerk erhält, kann er sehr wahrscheinlich auch auf alle Geräte in diesem Netzwerk mit demselben Exploit zugreifen.

Infusionspumpen stellen die höchste Anzahl der eingesetzten, vernetzten medizinischen Geräte dar und bieten die größte Angriffsfläche für einen Angriff. Aufgrund ihrer lebenswichtigen Funktion als System zur Verabreichung von Medikamenten, stellt die Infusionspumpe die häufigste Bedrohung für Patienten dar, die Schaden oder Tod verursachen kann. Bildverarbeitungs- und weiteres, unterstützendes Equipment nutzt in der Regel ein COTS-Betriebssystem (Commercial Off-the-Shelf) wie Windows zur Ausführung seiner Anwendungen. Die Betriebssysteme führen durchschnittlich sieben Netzwerkanwendungen pro Gerät aus und sind am anfälligsten für Attacken. In der Regel kommunizieren drei dieser Anwendungen außerhalb des Krankenhausnetzwerks. Das inhärente Design dieser Anwendungen schränkt die Nützlichkeit von Netzwerk-Firewalls und Anti-Malware-Verteidigungsmaßnahmen ein und erhöht die Angriffsfläche nochmals erheblich.

Die Verletzlichkeiten des Netzwerks sind nicht auf Krankenhäuser beschränkt. Patienten, die mit internetfähigen, implantierten medizinischen Geräten (Herzschrittmacher) oder internetfähigen tragbaren Geräten (Insulinpumpen) herumlaufen, sind ebenfalls ein mögliches Ziel für Cyber-Terror. Es besteht damit für Millionen von Menschen auf der ganzen Welt das Risiko, als Folge eines  Angriffs auf oder eines Fehlers in einem implantierten Medizinprodukt, Verletzungen zu erfahren oder sogar zu sterben.

Das Problem eskaliert

Eck-Daten

Besonders bei vernetzten, medizinischen Geräten im Krankenhaus oder beim Patienten zu Hause ist heute die Integration von Safety- und Security-Funktionen unumgänglich, denn auch die Technologie für die Platzierung von Mal- und Ransomware entwickelt sich immer weiter. Das Problem der Security in der Medizintechnik setzt sich im Wesentlichen aus drei Teilen zusammen:

  • Vernetzte Medizinprodukte werden derzeit ohne robuste, kompetente Cybersicherheit hergestellt.
  • Software für Medizinprodukte unterliegt nicht den Standards der funktionalen Sicherheit.
  • Millionen von medizinischen Geräten und veralteten Krankenhaus-Systemen sind in Krankenhausnetzwerken installiert, die keine robuste Sicherheit gewährleisten.

Der Beitrag von Green Hills Software gibt einen Überblick über die aktuelle Sicherslage und darüber, wie sich Systeme mit Sicherheits-Features nachrüsten lassen.

Dies alles sind jedoch keine neuen Informationen, denn die Anzahl der Vorfälle wie Cyber-Angriffe verdoppelt sich aktuell jedes Jahr. Produktentwickler, Computerspezialisten und Urheber von Standards, die sich auf Software für Medizinprodukte auswirken, sowie andere Interessengruppen beobachten diese Zunahme der Cyberkriminalität. Sie sind es auch, die zahlreiche Vorschläge zur Standardisierung, Regulierung und Verschärfung der Sicherheit in medizinischen Systemen unterbreiten. Viele dieser Vorschläge empfehlen, bestehende internationale Standards zu nutzen, um die Sicherheit von Medizinprodukten zu erhöhen. Doch leider wurden die meisten dieser vorgeschlagenen Maßnahmen von den Systemherstellern bisher nicht umgesetzt.

Die Lösungen existieren bereits

Bild 4: Sicherheitstechnologien wie das Integrity-RTOS und die Integrity-Multivisor-Secure-Virtualisierung bieten hohe Widerstandsfähigkeit gegen unbefugte Zugriffe.

Bild 4: Sicherheitstechnologien wie das Integrity-RTOS und die Integrity-Multivisor-Secure-Virtualisierung bieten hohe Widerstandsfähigkeit gegen unbefugte Zugriffe. Green Hills Software

In den letzten zwei Jahrzehnten wurden Tausende von missions- und lebenswichtigen Systemen auf Basis von Green Hills Softwares Integrity-RTOS (Real Time Operating System) in Anwendungen für die Militär-, Luft- und Raumfahrtindustrie, die industrielle Steuerung, die Bahntechnik, die Schifffahrt und zuletzt die Automobilindustrie integriert. Die Erkenntnis, dass elektronische Systeme akute Schwachstellen enthalten und ein Missbrauch katastrophale Schäden verursachen und ein Risiko für Menschenleben darstellen kann, führte zur Entwicklung von Technologien nach strengen Standards mit strikten Sicherheitsvorkehrungen gegen Ausfallbedingungen und hoher Widerstandsfähigkeit gegen unbefugten Zugriff. Beispiele dafür sind das Integrity-RTOS (Eigenschreibweise: INTEGRITY), im Einsatz seit 1997, und die Integrity-Multivisor-Secure-Virtualisierung (2003). Diese Sicherheits-Technologien sind heute kommerziell von verschiedenen Anbietern auf der ganzen Welt erhältlich und erfahren Unterstützung durch anerkannte, internationale Normungsgremien (Bild 4).

Standard DO-178 Level A

Die US Federal Aviation Administration (FAA) und die Europäische Agentur für Flugsicherheit (EASA) verlangen die Zulassung von Flugzeugen nach strengen Standards, wie beispielsweise RTCA DO-178. Innerhalb dieses Standards sind kritische Avionik-Software-Systeme nach DO-178 Level A zertifiziert. Dieser Standard schützt vor den Flugzeug-Subsystemen, deren anomales Verhalten einen „katastrophalen Versagenszustand“ verursachen könnte. Es ist die einzige angemessene Sicherheitsnorm, wenn ein Versagen zu erheblichen Verlusten an Menschenleben oder größeren Sachschäden führen könnte. Zum Einsatz kommt der Standard in lebens- und einsatzkritischen Systemen sowohl für zivile als auch für militärische Flugzeuge. Aufgrund seiner Herkunft aus höchst sicherheitskritischen Anwendungen, gilt der DO-178 Level A aktuell als der strengste und am besten entwickelte Standard für Anwendungen, die ein Höchstmaß an Sicherheit erforderten. Wäre es angesichts des derzeitigen Klimas von weit verbreiteten Cyber-Terrorismus, Ransomware und Datenverstößen nicht angebracht, alle lebens- und geschäftskritischen Anwendungen im Internet der Dinge, auch medizinische Geräte, auf dieses Sicherheitsniveau zu beschränken?

In den USA hat die National Information Assurance Partnership (NIAP) durch ein gemeinsames Sponsoring mit dem National Institute of Standards and Technology (NIST) und der National Security Agency (NSA) die Common-Criteria-for-Information-Technology-Security-Evaluation (unterstützt als ISO/IEC 15408) entwickelt. Dieser internationale Standard definiert die Evaluations-Assurance-Level (EAL) von EAL1 (Lowest-Level of Assurance) bis EAL7 (High-Level of Assurance). Ein auf EAL4 basierendes System bietet ein Sicherheitsniveau, das vor „mäßigen Versuchen, die Sicherheit zu verletzen“ schützt. Allgemeine Betriebssysteme wie Windows, Linux, Android und andere sind nur nach EAL4 zertifiziert. Diese Betriebssysteme erfahren regelmäßige Hacker-Angriffe und Entwickler melden täglich Schwachstellen. Ein lebenswichtiges Gerät, wie beispielsweise eine Infusionspumpe, ist mindestens auf EAL6 abzusichern, um trotz ihrer hochentwickelten Systeme sicher vor Hackern und auch vor Angriffen fremder Nationalstaaten zu sein. Produkte, die diese Sicherheitsstufen bieten, sind seit Jahren in kommerzieller Form erhältlich. Dazu gehört beispielsweise das Green Hills Integrity-178, das 2008 eine Zertifizierung nach Common Criteria EAL6+ High Robustness erhielt.

Systeme im Krankenhaus nachrüsten

Aktuell in Krankenhäusern installierte Systeme und medizinische Geräte lassen sich mit hoher Wahrscheinlichkeit nicht mit einer robusten Cybersicherheit und streng getesteten Anwendungscodes und Betriebssystemen nachrüsten. Green Hills Software kann jedoch sichere und sicher verschlüsselte Gateways bereitstellen, die die Geräte schützen und nur die Kommunikation von bestimmten Netzwerkcomputern, Tablets oder Smartphones zulassen. Gesundheitseinrichtungen können mit dieser Technologie beispielsweise einen MRT-Scanner absichern und trotzdem die Kommunikation zum und vom Netzwerk ermöglichen.

Seit 1983 bietet Green Hills Software Embedded Software-Lösungen an, die alle Phasen der Systementwicklung in allen Industriezweigen unterstützen. Green Hills Software hat die höchsten Stufen der Sicherheitszertifizierungen erreicht, einschließlich DO-178 Level A, IEC 61508 SIL 4, IEC 62304, ISO 26262 ASIL D und nutzt über 35 Jahre Erfahrung, um die medizinische und andere Industrien dabei zu unterstützen, leistungsfähige und sichere Geräte und Systeme zu entwickeln, die den Anforderungen des Marktes heute und in Zukunft gerecht werden. Das Herzstück der Plattform für medizinische Geräte ist Green Hills Integrity-RTOS, eine robuste Separationskernel-Plattform für voll funktionsfähige Anwendungen. Zusammen mit der Integrity-Multivisor-Secure-Virtualisierung, Middleware und Services bietet Green Hills zulassungsreife Lösungen für den Einsatz in Medizinprodukten der Klassen II und III mit allen unterstützenden Life-Cycle-Dokumentationen.

Seite 2 von 212