Sicherheitslücken in Krankenhäusern: Patienten in Gefahr

Kritische Sicherheitslücken in Krankenhäusern können lebensbedrohlich sein. Schwachstellen müssen deswegen nicht nur gepatcht werden, sondern die Patches müssen auch schnell an den richtigen Stellen ankommen. Allerdings ist ein gewissenhafter Umgang mit Sicherheitslücken längst nicht bei allen Ausrüstern medizinischer Einrichtungen Standard, wie der Sicherheitsforscher Jean Pereira von der Cytres GmbH zuletzt festgestellt hat.

In den vergangenen Monaten erlebten mehrere deutsche Krankenhäuser Cyberangriffe – für Pereira keine Überraschung: "Ich bin im Moment in der Lage, jede deutsche Stadtverwaltung und jedes deutsche Krankenhaus zu hacken, weil einfach alle Systeme gerade ungefähr auf dem gleichen Sicherheitsniveau sind", erklärte er in einem Video.

Pereira machte im Sommer 2023 in einem Krankenhaus in NRW bei einer Sicherheitsanalyse 22 Sicherheitslücken ausfindig, verteilt auf mehrere Geräte verschiedener Hersteller. Teilweise handelte es sich um medizinische, teilweise um nicht-medizinische Geräte, die jedoch in medizinischen Infrastrukturen weit verbreitet sind – darunter Alarmsysteme für Patienten-EKGs, Belüftungssysteme für OP-Säle und Etikettendrucker. Neben der untersuchten Klinik in NRW kämen die anfälligen Geräte in Tausenden weiteren Krankenhäusern und medizinischen Infrastrukturen zum Einsatz, warnt Pereira.

Fernzugriff auf Netzwerkinfrastruktur der Krankenhäuser

Um die Schwachstellen auszunutzen und die Systeme der Krankenhäuser zu infiltrieren, muss ein Angreifer nicht einmal vor Ort sein. Er kann sich aus der Ferne einen Zugriff verschaffen – und das selbst dann, wenn die Geräte selbst nicht vom Internet aus erreichbar sind.

Möglich ist das etwa durch einen sogenannten Cors Bypass, wie Pereira ihn in einem Bericht auf der Cytres-Webseite dokumentiert hat. In einem Video demonstriert der Forscher den Angriff.

Angreifer müssen lediglich einen Mitarbeiter im Krankenhaus dazu bringen, einen bösartigen Link anzuklicken. Daraufhin analysiert ein in die aufgerufene Webseite eingebettetes Skript im Hintergrund die Netzwerkinfrastruktur und sucht nach anfälligen Systemen, um diese automatisch zu infiltrieren.

Das kann zum Beispiel bestimmte Etikettendrucker des Herstellers Zebra treffen, die in medizinischen Infrastrukturen weit verbreitet sind. In diesen Geräten konnte Pereira entsprechende Sicherheitslücken ausfindig machen.

Angriffe auf laufende Operationen

Ist die Kontrollübernahme über einen dieser Etikettendrucker geglückt, können Hacker von dort aus weitere Angriffstechniken einsetzen, um ihre Zugriffe innerhalb des Netzwerks auszuweiten. Die nächsten Ziele könnten dann beispielsweise Belüftungssysteme der Berghof GmbH sein.

Pereira hat darin Schwachstellen entdeckt, die es Angreifern ermöglichen, die Luftzufuhr in sterilen Operationssälen zu unterbrechen. "Ein solcher Angriff führt zum sofortigen Abbruch der Operation, was fatale Folgen für den Patienten haben kann", warnt der Forscher.

Weitere mögliche Ziele sind Laborsysteme der Dedalus Labor GmbH. Eine von Pereira aufgedeckte Sicherheitslücke in deren Software ermöglicht es Angreifern, Blutgruppen oder Allergieinformationen auszutauschen – mit der Folge, dass Patienten die falsche Behandlung bekommen.

Darüber hinaus hat der Forscher eine kritische Sicherheitslücke in für die Überwachung von Patienten-EKGs eingesetzten Alarmsystemen der Tetronik GmbH entdeckt. Sie erlaubt es böswilligen Akteuren, die Kontrolle über diese Systeme zu übernehmen und sie vollständig abzuschalten.