Page 7 - IT-S-SPECIAL_KKH_2022_1
P. 7
soft erachtete diese als so schwerwiegend, dass es sogar Lega-
cy-Patches für eigentlich seit Jahren nicht mehr unterstützte
Versionen seines Betriebssystems veröffentlichte. Grundsätz-
lich lassen sich sämtliche IoT-Sicherheitsprobleme auf drei
Versäumnisse zurückführen:
1. fehlende Sicherheitsüberlegungen bereits während der
Entwicklung
2. lückenhafte Kenntnisse und mangelnde Transparenz bei
denjenigen, die IoT einsetzen, sowie
3. fehlende Verwaltung der Geräteaktualisierungen nach
der Bereitstellung.
IoT: Billig und gleichzeitig sicher?
Das erste Problem, die nachrangige Berücksichtigung von
IT-Sicherheit bei der Entwicklung, lässt sich weitgehend damit
begründen, dass sich die meisten IoT-Anwender vom Preis
lenken lassen. Wenn das Augenmerk jedoch nur darauf liegt,
ob eine Lösung die grundlegenden technischen Anforderun-
gen erfüllt und dabei gleichzeitig günstig in der Beschaffung
ist, fehlt den Herstellern der Anreiz, zusätzliche Ressourcen
für die Verbesserung der Sicherheit ihrer Produkte aufzu-
wenden. In der Folge werden Geräte ausgeliefert, die über
schwache und fest codierte Passwörter verfügen sowie mit
veralteter Software und auf Betriebssystemen laufen, denen
selbst grundlegende Schutzmaßnahmen fehlen. Das lädt Cy-
ternet-Größen wie Netflix, Twitter und Reddit ins Straucheln berkriminelle förmlich dazu ein, die scheunentorgroßen Si-
brachte, bis hin zur im Frühjahr 2021 aufgedeckten Kompro- cherheitslücken auszunutzen. Das Mirai-Botnet von 2016 flo-
mittierung von Verkada-Sicherheitskameras, die unter ande- rierte beispielsweise nicht dadurch, dass eine ausgeklügelte
rem in Krankenhäusern zum Einsatz kommen. Zero-Day-Schwachstelle in IoT-Kameras ausgenutzt wurde.
Vielmehr reichte es aus, eine Liste mit 61 gängigen Benutzer-
Wachstumsrate erhöht die Angriffsfläche namen und Passwörtern an einer vom Gerätehersteller nicht
abgesicherten Verwaltungsschnittstelle durchzuprobieren –
Es ist stark davon auszugehen, dass entsprechende An- von Aufwand kann hier keine Rede sein.
griffe auf IoT-Anwendungen im Gesundheitswesen künftig
weiter zunehmen werden. Schließlich ist der enorme Nut- Herausforderung für Administratoren
zen vernetzter Sensoren für den diagnostischen Datenaus-
tausch unbestritten. Marktbeobachter gehen davon aus, dass Gleichzeitig stellt die Implementierung von IoT-Geräten
die IoT-Einführung im Gesundheitswesen bis 2028 eine jähr- für die Netzwerk- und Systemadministratoren auf Anwen-
liche Wachstumsrate (CAGR) von 25,9 Prozent erreichen wird. derseite meist keine einfache Aufgabe dar: Sie müssen Gerä-
Somit erhöht sich jedoch automatisch auch die Angriffsfläche. te verwalten, für die entweder keine passenden Werkzeuge
zur endpunktbasierten Gefahrenerkennung und -abwehr zur
Hohe Anfälligkeit medizinischer Geräte Verfügung stehen oder nur welche vorhanden sind, von de-
ren Einsatz aufgrund eines möglicherweise (negativen) Ein-
Da technische Probleme in der Medizintechnik zu lebens- fluss auf die Funktionalität der IoT-Anwendung abgeraten
bedrohlichen Situationen führen können, verlassen sich Ge- wird. Darüber hinaus ist es nicht einfach, unautorisierte und/
sundheitsdienstleister wie Krankenhäuser und Kliniken oft oder manipulierte IoT-Geräte (Rogue Devices), die Mitarbeiter
auf teure, hochgradig angepasste Anwendungen und Geräte. wissentlich oder unwissentlich im Netzwerk einsetzen, über-
Diese werden jedoch oft nur zögerlich mit Updates und Pat- haupt zu erkennen. Ein kompromittiertes Gerät ist für Cyber-
ches versorgt – aus Angst, dass dadurch die Funktionsweise kriminelle in dem Fall das perfekte Mittel zum Zweck, um
einen eigentlich geschützten Netzwerkperimeter ganz unbe-
der eingesetzten Komponenten eingeschränkt werden könn-
Bild: ©romaset - stock.adobe.com Things. Während dort in der Regel eine benutzerdefinierte Schwachstellen für die Ewigkeit?
te. Hier zeigen sich Parallelen zum traditionellen Internet of
obachtet zu überwinden.
Software auf einer mehrere Jahre alten Linux-Variante läuft,
werden bei medizinischen IoT-Geräten häufig veraltete Ver-
sionen von Microsoft Windows und Windows Server einge-
Selbst wenn Forscher Sicherheitslücken in IoT-Geräten
identifizieren und aufdecken, gestalten sich die Bereitstel-
setzt. Im letzten Jahr fanden Forscher beispielsweise heraus,
lung und Anwendung von Sicherheitsupdates oft schwierig
dass 45 Prozent der medizinischen Geräte für die kritische
bis unmöglich. Bei vielen IoT-Implementierungen fehlt ein
BlueKeep-Windows-Sicherheitslücke anfällig waren. Micro-
SPECIAL_1/2022 IT-SICHERHEIT IM KRANKENHAUS 7
