Herr Neuschwander, Forschern in Israel ist es gelungen, Schadsoftware im Netzwerk einer Klinik zu platzieren und Computertomografie-Aufnahmen zu manipulieren. Warum ist das so alarmierend?
Das kann ich an einem fiktiven Beispiel erläutern: Vor einigen Wochen hat Benjamin Netanjahu die Wahl in Israel gewonnen, er bleibt amtierender Ministerpräsident. Wie wäre die Wahl wohl ausgegangen, wenn man ihm nachgesagt hätte, dass er nur noch wenige Monate zu leben hätte? Als Beweis wäre eine Computertomografie-Aufnahme von ihm in den Medien aufgetaucht, die einen großen Tumor in der rechten Lunge offenbart hätte. Hätte man ihn dann noch gewählt?
Wahrscheinlich nicht. Aber kann die Schadsoftware so überzeugende Fälschungen erzeugen?
Ja. Es können den CT-Aufnahmen gesunder Patienten Krebsgeschwüre hinzugefügt werden oder es können aus CT-Aufnahmen, die Krebsgeschwüre enthalten, diese entfernt werden. Die Forscher wollen auf schwerwiegende Sicherheitslücken bei den bildgebenden Verfahren in der Medizin hinweisen.
Und Ärzte fallen auf die Fälschungen herein?
Das bestätigen Tests, ja. Erfahrene Radiologen haben bei 3D-CT-Aufnahmen, denen Tumore hinzugefügt wurden, in 99 Prozent der Fälle eine echte Krebserkrankung diagnostiziert. In den Fällen, in denen echte Tumore wegretuschiert wurden, wurden 94 Prozent der Patienten für gesund erklärt.
Funktioniert das nur bei Aufnahmen von Krebsgeschwüren?
Die Tests wurden mit Bezug zu einem Lungenkarzinom durchgeführt, aber die Malware funktioniert auch bei Gehirntumoren, Blutgerinnseln, Knochenfrakturen oder Bandverletzungen. So könnte bei einem Transfer eines hochklassigen Fußballspielers, dessen Transfersumme über 100 Millionen Euro liegen könnte, eine einwandfreie MRT-Aufnahme seiner Kniegelenke geliefert werden, obwohl dieser an einer Knieproblematik leidet.
Wie kann es möglich sein, dass man diese Aufnahmen so manipulieren kann?
Kliniken verfügen über spezielle Netzwerke für ihre radiologischen Aufnahmen. Dort werden in einem Archivierungssystem alle Daten der MRTs oder CTs gespeichert, organisiert und von den Radiologen zur Begutachtung abgerufen. Die Übertragung und Ablage der Daten erfolgt in einem standardisierten Format. Entweder der Angreifer attackiert den Archivierungsserver. Oder er infiziert direkt den Rechner eines Radiologen. Dass die Archivierungsserver angreifbar sind, ist längst bekannt – vergangenes Jahr wurden mehrere signifikante Verwundbarkeiten bekannt. Da im Datensatz auch die persönlichen Daten des Patienten codiert werden, kann man auch nach den Scans bestimmter Personen suchen, um diese dann gezielt zu manipulieren.
Könnten sich Krankenhäuser vor dieser Manipulation denn nicht schützen?
Doch, sehr leicht sogar. Man müsste die Daten, sobald sie im Scan anfallen und übertragen werden, nur verschlüsseln. Auch die abgelegten Datensätze werden nicht gegen Manipulation geschützt, was einfach durch digitale Signaturen erreicht werden könnte. Damit könnte man die Integrität der Scans einfach verifizieren.
Sind Kliniken so schlecht geschützt?
Kliniken sind sehr auf die Sicherheit bedacht, wenn es um die Übertragung von personenbezogenen Daten nach außen geht. Innerhalb der Klinik selbst sind die Schutzmaßnahmen deutlich geringer. Auch in Deutschland ist es üblich, dass die Scan-Daten im Radiologie-Netzwerk unverschlüsselt übertragen und gespeichert werden. In Deutschland gibt es zur Zeit etwa 2700 CTs und 2350 MRTs. Angesichts der erheblichen Zahl solcher Systeme muss hier die Sicherheit für Patienten und Klinikpersonal dringend erhöht werden.
Sind Krankenhäuser überhaupt ein lohnendes Ziel für Hacker?
Ja. Kliniken oder allgemein die medizinische Versorgung gehören zu den Kritischen Infrastrukturen in Deutschland. Seit Längerem befürchtet man, dass im Rahmen terroristischer Cyber-Angriffe solche Attacken auf diese zivilen Infrastrukturen stattfinden könnten, sei es, um einen physischen Terrorakt zu begleiten oder um Angst und Schrecken zu produzieren, was darüber hinaus auch Menschenleben kosten kann. Und da sind die kritischen Infrastrukturen in Deutschland generell schlecht geschützt.
Gab es denn schon Angriffe auf Krankenhäuser?
Kliniken mussten in den vergangenen Jahren massive Angriffe hinnehmen. 2017 machte der Verschlüsselungstrojaner WannaCry weltweit über 230 000 Kliniken in 150 Ländern den Betrieb unmöglich, da dieser alle Daten, die für den Betrieb eines Krankenhauses erforderlich sind, auf den Festplatten verschlüsselte. Nur durch Zahlung eines Lösegelds sollten die Daten wieder verfügbar gemacht werden. Wie viele der Kliniken weltweit gezahlt haben und wie groß der Schaden tatsächlich war, lässt sich im Nachhinein nicht feststellen. 2018 waren wieder Kliniken von einem Ransomware-Angriff betroffen. Das Klinikum Fürstenfeldbruck, deren 450 Rechner alle lahmgelegt wurden und die keine Patienten mehr aufnehmen konnten, war einer der Betroffenen.
Braucht es härtere Vorschriften für die Sicherheit medizinischer Infrastruktur?
Kliniken haben neuerdings die Verpflichtung der Nachbesserung der Sicherung ihrer IT-Systeme. Denn das IT-Sicherheitsgesetz von 2015 und die damit verbundenen Änderungen verpflichteten nun alle Krankenhäuser mit mehr als 30 000 vollstationären Patienten jährlich zu technischen und organisatorischen Sicherheitsstandards. Sie müssen dem Bundesamt für Sicherheit in der Informationstechnik alle zwei Jahre im Rahmen einer Zertifizierung nachweisen, dass sie die Standards auch umsetzen.
Können Internet-Kriminelle im medizinischen Bereich Patienten auch direkt attackieren?
Ja. Der frühere US-Vizepräsident Dick Cheney ließ sich die Fernsteuerung seines Herzschrittmachers ausschalten, weil er einen Infarkt als Folge einer Cyberattacke fürchtete. Eine Studie offenbarte mehr als 8000 Schwachstellen in Herzschrittmachern. Andere Angriffspunkte sind beispielsweise Infusionspumpen in Kliniken. Bei der Dosierung von Medikamenten greifen diese Apparaturen, wenn sie vernetzt sind, oft auf Daten über Patient und Medikation zurück. Hier kann manipuliert werden, mit teils tödlichen Folgen. Auch die drahtlose Datenübertragung zwischen Blutzuckermessgerät und Insulinpumpe bei Diabetikern kann ein Einfallstor für eine gezielte Attacke auf eine Person sein und die Gabe von Insulin unterdrücken.
Zur Person
Jürgen Neuschwander ist seit 2011 der Dekan der Fakultät Informatik an der Hochschule für Technik, Wirtschaft und Gestaltung (HTWG) Konstanz. Seit 2001 lehrt er dort Technik der Informations- und Kommunikationssysteme und leitet das Labor für IT-Sicherheit. Zudem ist er Vorstand des Kompetenz-Netzwerks für Digitalwirtschaft und IT cyberLAGO. (dod)
