Site Logo

FBI warnt vor nicht-gepatchten medizinischen Geräten

Themen:
28. Okt.. 2022
|
Kevin Williams

Branchenexperten sind seit langem über die Cybersecurity-Schwachstellen besorgt, die durch die zunehmende Anzahl von IoT-Medizingeräten entstehen. „Wearables werden oft ohne Gedanken an die Cybersecurity übereilt auf den Markt gebracht“, sagt William Hodges, Cybersecurity-Experte in Miami. „Ein Unternehmen möchte mit dem ersten IoT-Herzmonitor oder der ersten Blutdruckmanschette schneller als andere auf den Markt kommen, doch der Preis, den es dafür zahlt, ist oft eine Schwachstelle in der Cybersicherheit.“

Es zieht reale, greifbare Konsequenzen für medizinische Einrichtungen nach sich, die Opfer eines Cyberangriffs werden. So war es kürzlich in einem Krankenhaus in Des Moines der Fall, als einem dreijährigen Kind die falsche Dosis an Medikamenten verabreicht wurde, nachdem ein Cyberangriff die Systeme des Krankenhauses lahmgelegt hatte.

Laut lokalen Nachrichtenquellen:

Ein Cyberangriff auf das MercyOne Children's Hospital in Des Moines, Iowa, führte unmittelbar dazu, dass einem dreijährigen Jungen nach einer Mandeloperation die falsche Medikamentendosis verabreicht wurde, was verheerende Folgen hätte haben können. Glücklicherweise überlebte das Kind ohne dauerhafte Schäden. 

Ungepatchte Medizinprodukte

Das Problem ist so besorgniserregend, dass das FBI kürzlich eine Warnung vor ungesicherten und ungepatchten Medizinprodukten veröffentlicht hat.

In der Warnung heißt es teilweise:

„Das FBI hat eine wachsende Zahl von Schwachstellen festgestellt, die durch nicht gepatchte medizinische Geräte, die mit veralteter Software betrieben werden, und durch Geräte mit unzureichenden Sicherheitsfunktionen entstehen. Cyberkriminelle, die Schwachstellen in Medizinprodukten ausnutzen, gefährden die Betriebsabläufe von Gesundheitseinrichtungen, die Patientensicherheit sowie die Vertraulichkeit und Integrität von Daten.“

Hodges erklärt, dass Software für Medizinprodukte viele Jahre überdauern kann und dass das, was einst als robuster Schutz galt, heute veraltet ist.

„Einige Medizinprodukte sind so konzipiert und programmiert, dass sie Jahrzehnte halten, und ein Hacker, der vor zehn Jahren nicht in das Gerät eindringen konnte, hat heute möglicherweise kein Problem damit“, berichtet Hodges. Er fügt hinzu, dass das gesamte medizinische IoT-Ökosystem ein Flickenteppich aus locker regulierten Geräten mit unterschiedlichen Standards ist.

„Dies schafft eine Unmenge an Möglichkeiten für Cyberkriminelle, die die Schwachstellen dieser Produkte kennen. So wie einige MSPs auf das Gesundheitswesen spezialisiert sind, gilt das Gleiche für einige Hacker. Sie sind auf Medizinprodukte spezialisiert“, warnt Hodges.

Weitere Ergebnisse im FBI-Bulletin:

  • 53 % der vernetzten Medizinprodukte und anderer Internet of Things (IoT)-Geräte in Krankenhäusern weisen bekannte kritische Schwachstellen auf.
  • Zu den für Cyberangriffe anfälligen Medizinprodukten gehören Insulinpumpen, intrakardiale Defibrillatoren, mobile Kardio-Telemetrie, Herzschrittmacher und intrathekale Schmerzpumpen. Cyberkriminelle, die diese Medizinprodukte kompromittieren, können sie anweisen, ungenaue Messwerte zu liefern, Überdosen von Medikamenten zu verabreichen oder auf andere Weise die Gesundheit von Patienten zu gefährden.
  • Im Durchschnitt gibt es 6,2 Schwachstellen pro Medizinprodukt, und es wurden Rückrufe für kritische Geräte wie Herzschrittmacher und Insulinpumpen mit bekannten Sicherheitsproblemen herausgegeben, während über 40 Prozent der Medizinprodukte gegen Ende ihres Lebenszyklus wenig bis gar keine Sicherheits-Patches oder Upgrades bieten.

Hodges sagt, dass das FBI versucht, MSPs, CISAs und IT-Mitarbeiter zu informieren, die Sicherheit von Medizinprodukten nicht zu ignorieren. „Manchmal denken IT-Leute, dass ein alter, klobiger Herzschrittmacher oder ein Dialysegerät kein Cybersecurity-Risiko darstellen kann, aber das stimmt einfach nicht“, erklärt er. „Alle Medizinprodukte – alte wie neue – müssen geprüft und gesichert werden.“

Zusätzlich zur Patientensicherheit können MSPs, die die Sicherheit von Medizinprodukten verwalten, für saftige Bußgelder und Strafen hinsichtlich HIPAA von Seiten der Aufsichtsbehörden verantwortlich gemacht werden, wenn es bei einem ungesicherten Gerät zu einem Verstoß kommt.

Hodges empfiehlt außerdem, dass MSPs mit medizinischen Portfolios die folgenden Schritte unternehmen:

Audit: Machen Sie eine Bestandsaufnahme aller Medizinprodukte unter Ihrer Aufsicht.

„Das bedeutet alles, auch wenn Sie nicht glauben, dass es von Bedeutung ist. Sie brauchen eine zentrale Datenbank von allem – von einem medizinischen Wearable einer Privatperson bis zum Inventar Ihres Kunden“, sagt Hodges und fügt hinzu, dass es oft eine umfassende Aufgabe ist, weil Medizinprodukte auf viele Standorte verteilt sein können.

„Die Leute scheuen oft vor diesem Schritt zurück, weil er Zeit kostet, aber man kann keinen Plan entwickeln, wenn man seine Schwachstellen nicht kennt“, erklärt er.

Planen: Sobald Sie eine Liste aller Medizinprodukte haben, die in Ihren Zuständigkeitsbereich fallen, müssen Sie einen Plan entwickeln, um jedes Gerät zu patchen und zu überwachen.

„Es ist eine große Aufgabe, aber die Folgen einer Nichterfüllung können tödlich und kostspielig sein“, warnt Hodges.

Das FBI empfiehlt zusätzliche Schritte, darunter:

Endpunktschutz: Wenn das Medizinprodukt dies unterstützt, verwenden Sie Antivirensoftware auf einem Endpunkt. Wird diese nicht unterstützt, führen Sie eine Integritätsprüfung durch, wenn das Gerät zu Wartungszwecken vom IT-Netzwerk getrennt wird.

Schwachstellen-Management: Arbeiten Sie mit Herstellern zusammen, um Schwachstellen auf betriebsbereiten Medizinprodukten zu minimieren.

Schulung: Implementieren Sie die erforderlichen Schulungen für Mitarbeiter, um potenzielle Bedrohungen zu identifizieren und zu melden.

Hodges sagt, dass die Empfehlung des FBI hinsichtlich des Trainings absolut relevant ist. „Die Schulung von Mitarbeitenden zur Erkennung von Bedrohungen ist eine der besten und kostengünstigsten Investitionen, die ein MSP oder ein Unternehmen tätigen kann“, rät er.

Bekämpfen Sie Sicherheitsbedrohungen mit Schulungen zur Stärkung des Risikobewusstseins

Dieser Artikel erschien ursprünglich auf SmarterMSP.com. Abonnieren Sie SmarterMSP.com, um die neuesten Erkenntnisse, Neuigkeiten und Informationen zur Cybersecurity zu erhalten, die Ihnen bei der Verbesserung Ihres MSP-Geschäfts helfen.



Kevin Williams

Kevin Williams ist ein in Ohio ansässiger Journalist. Williams hat für eine Vielzahl von Publikationen geschrieben, darunter Washington Post, New York Times, USA Today, Wall Street Journal, National Geographic und andere. Mitte der 90er Jahre schrieb er zum ersten Mal über die Online-Welt in ihrem Anfangsstadium für das heute nicht mehr existierende „Online Access“-Magazin.  Vernetzen Sie sich hier auf LinkedIn mit ihm.

Verwandte Beiträge:
FBI warnt vor nicht-gepatchten medizinischen Geräten
FBI warnt vor nicht-gepatchten medizinischen Geräten
 Sicherung des Internets der medizinischen Dinge
Sicherung des Internets der medizinischen Dinge
 Why cybercriminals are increasingly targeting your real estate clients
Why cybercriminals are increasingly targeting your real estate clients
Email security is channel’s biggest focus for 2019
Email security is channel’s biggest focus for 2019