Jedes vierte medizinisches Gerät (23 %) weist eine Schwachstelle aus dem Known-Exploited-Vulnerabilities (KEV)-Katalog der US-Cyber-Sicherheitsbehörde CISA auf. Zudem finden sich knapp zwei Drittel (63 %) der KEVs in medizinischen Netzwerken. Zu diesen Ergebnissen kommt der neue Bericht „State of CPS Security Report: Healthcare 2023“ des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty.
In der ersten auf das Gesundheitswesen fokussierten Ausgabe des State of CPS Security Reports untersucht Team82, die preisgekrönte Forschungseinheit von Claroty, die Auswirkungen der zunehmenden Vernetzung medizinischer Geräte. Ziel des Berichts ist es, die umfassende Konnektivität kritischer medizinischer Geräte – von bildgebenden Systemen bis hin zu Infusionspumpen – aufzuzeigen und die damit verbundenen Risiken zu beleuchten. Im Rahmen der Untersuchungen von Team82 tauchen häufig Schwachstellen und Implementierungsfehler auf. Im Healthcare-Bereich kann dabei in jedem der Fälle eine direkte Verbindung zu potenziell negativen Auswirkungen auf die Behandlung gezogen werden.
„Die Vernetzung hat zu großen Veränderungen in Krankenhausnetzwerken geführt und deutliche Verbesserungen in der Patientenversorgung bewirkt. Ärzte sind in der Lage, aus der Ferne Diagnosen zu stellen, Medikamente zu verschreiben und Behandlungen mit einer nie dagewesenen Effizienz durchzuführen“, erklärt Amir Preminger, Vice President of Research von Claroty. „Die zunehmende Konnektivität erfordert jedoch eine entsprechende Netzwerkarchitektur und ein Verständnis für die Anfälligkeit für Angriffe, die damit einhergeht. Einrichtungen des Gesundheitswesens und ihre Sicherheitspartner müssen Richtlinien und Strategien entwickeln, die die Notwendigkeit widerstandsfähiger medizinischer Geräte und Systeme betonen. Essenziell sind dabei ein sicherer Fernzugriff, die Priorisierung des Risikomanagements und die Segmentierung.“
Die wichtigsten Ergebnisse
Gefährdung durch Gastnetzwerke: 22 Prozent der Krankenhäuser haben Geräte angeschlossen, die Gastnetzwerke, welche Patienten und Besuchern WiFi-Zugang bieten, mit internen Netzwerken verbinden. Dies schafft einen gefährlichen Angriffsvektor: Angreifer können so schnell Assets im öffentlichen WiFi finden und anvisieren sowie diesen Zugang als Brücke zu den internen Netzwerken nutzen, in denen sich die Geräte zur Patientenversorgung befinden. Die Untersuchungen von Team82 haben gezeigt, dass 4 Prozent der chirurgischen Geräte, also kritische Geräte, deren Ausfall die Patientenversorgung deutlich beeinträchtigen könnte, über Gastnetzwerke kommunizieren.
Veraltete Betriebssysteme: 14 Prozent der vernetzten medizinischen Geräte laufen mit nicht unterstützten oder am Ende der Lebensdauer befindlichen Betriebssystemen. Bei 32 Prozent der nicht unterstützten Geräte handelt es sich um bildgebende Geräte, einschließlich Röntgen- und MRT-Systeme, die für die Diagnose und die vorgeschriebene Behandlung unerlässlich sind, und bei 7 Prozent um chirurgische Geräte.
Hohe Ausnutzungswahrscheinlichkeit: Der Bericht untersuchte Geräte mit hohen Exploit-Prediction-Scoring-System (EPSS)-Werten, die auf einer Skala von 0 bis 100 die Wahrscheinlichkeit angeben, dass eine Software-Schwachstelle in freier Wildbahn tatsächlich ausgenutzt wird. Die Analyse ergab, dass 11 Prozent der Patientengeräte, z. B. Infusionspumpen, und 10 Prozent der chirurgischen Geräte Sicherheitslücken mit hohen EPSS-Werten aufweisen. Betrachtet man Geräte mit nicht unterstützten Betriebssystemen genauer, so weisen 85 Prozent der chirurgischen Geräte in dieser Kategorie hohe EPSS-Werte auf.
Aus der Ferne zugängliche Geräte: In der Studie wurde zudem untersucht, welche medizinischen Geräte remote zugänglich sind. Demnach sind 66 Prozent der bildgebenden Geräte, 54 Prozent der chirurgischen Geräte und 40 Prozent der Patientengeräte aus der Ferne erreichbar. Zudem wurde festgestellt, dass auch solche Geräte, deren Ausfall gravierende Folgen haben können, wie Defibrillatoren, robotergestützte Chirurgie-Systeme und Defibrillator-Gateways, über Fernzugriff verfügen.
Der komplette Report State of CPS Security Report: Healthcare 2023 mit vollständigen Ergebnissen, detaillierten Analysen und empfohlenen Sicherheitsmaßnahmen kann hier heruntergeladen werden.
Methodik
Der State of CPS Security Report: Healthcare 2023 ist eine Momentaufnahme von Cybersecurity-Trends im Gesundheitswesen, Schwachstellen bei medizinischen Geräten und Vorfällen, die von Team82, dem Forschungsteam von Claroty, und Datenwissenschaftlern beobachtet und analysiert wurden. Informationen und Erkenntnisse aus vertrauenswürdigen offenen Quellen, darunter die National Vulnerability Database (NVD), die Cybersecurity and Infrastructure Security Agency (CISA), die Healthcare Sector Coordinating Council Working Group und andere, wurden ebenfalls herangezogen, um den Ergebnissen einen wertvollen Kontext zu verleihen.
Danksagung
Die Hauptautorin dieses Berichts ist Chen Fradkin, Datenwissenschaftlerin bei Claroty. Zu den Mitwirkenden gehören: Ty Greenhalgh, Industry Principal Healthcare, Yuval Halaban, Leiter des Risikoteams, Rotem Mesika, Leiter der Bedrohungs- und Risikogruppe, Nadav Erez, Vice President of Data, und Amir Preminger, Vice President of Research. Besonderer Dank gilt dem gesamten Team82 und der Datenabteilung für die außergewöhnliche Unterstützung bei verschiedenen Aspekten dieses Berichts und den Forschungsarbeiten, die ihm zugrunde liegen.
Claroty
Claroty unterstützt Unternehmen bei der Absicherung von cyber-physischen Systemen (CPS) in Industrie- (OT), Healthcare- (IoMT) und Unternehmensumgebungen (IoT), also im erweiterten Internet der Dinge (XIoT). Die einheitliche Plattform des Unternehmens lässt sich in die bestehende Infrastruktur der Kunden integrieren und bietet eine umfassende Palette an Funktionen für Transparenz, Risiko- und Schwachstellenmanagement, Bedrohungserkennung und sicheren Fernzugriff. Claroty wird von den weltweit größten Investmentfirmen und Anbietern von Industrieautomation finanziert und von Hunderten Unternehmen an Tausenden Standorten auf der ganzen Welt eingesetzt. Das Unternehmen hat seinen Hauptsitz in New York und ist in Europa, im asiatisch-pazifischen Raum und in Lateinamerika vertreten. Weitere Informationen unter www.claroty.com.