IT-Sicherheit im Gesundheitswesen verbessern

Christoph Saatjohann von der FH Münster erforscht Schwachstellen in der medizinischen IT-Infrastruktur

Die Bedrohung im Cyber-Raum ist so hoch wie nie – zu diesem Ergebnis kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 im Bericht zur Lage der IT-Sicherheit in Deutschland. Davon betroffen ist zunehmend auch das Gesundheitswesen. Die Digitalisierung erhöhe dort das Risiko von IT-Sicherheitsvorfällen. Insbesondere Krankenhäuser wurden in der vergangenen Zeit bereits häufiger Opfer von Cyberangriffen. Wie man die aktuell mehr als 200.000 medizinischen Einrichtungen in Deutschland besser schützen kann, untersucht Christoph Saatjohann, Doktorand im Labor für IT-Sicherheit der FH Münster. Im Fokus seiner Forschung stehen dabei unterschiedliche Aspekte – von der Telematikinfrastruktur (TI), der zentralen Plattform für digitale Anwendungen im deutschen Gesundheitswesen, über IT-Sicherheitslücken in kardiologischen Implantaten bis hin zur Entwicklung neuer Werkzeuge und Maßnahmen zur Detektion und Reaktion im Falle eines Cyberangriffs.

So warnte Saatjohann gemeinsam mit Kollegen bereits mehrfach vor gravierenden Sicherheitslücken im Medizinsektor. Sie simulierten einen Hackerangriff und wären in mehreren Fällen in der Lage gewesen, sensible Patientenakten ohne Passwortschutz aufrufen zu können. Auf vielen Kommunikationswegen sei eine sichere Ende-zu-Ende-Verschlüsselung nach wie vor nicht gewährleistet. „Klartext-E-Mails mit sensiblen Daten ohne Verschlüsselung verschicken – das geht so nicht“, mahnt der IT-Sicherheitsexperte. „Auch ein Telefax ist heute nicht mehr datenschutzkonform, da es nicht mehr wie früher analog, sondern über das Internet verschickt wird.“ Bei ihrer Untersuchung stellten sie zudem fest, dass die TI bei falscher Handhabung des sogenannten TI-Konnektors, dem zentralen Gerät für den sicheren Netzzugang, fehleranfällig ist. „Es gab damals zwei potenzielle Sicherheitslücken: Einmal bei einer fehlerhaften Konfiguration des Praxisnetzwerks und zum anderen beim Anschluss an ein zentrales Rechenzentrum“, erklärt Saatjohann. Es sei wichtig, dass Praxen das Thema IT-Sicherheit ernst nehmen und für die Einrichtung und Wartung der TI-Konnektoren Experten fragen.

Wie sicher oder eher unsicher Technik im Herzen ist, zeigte Saatjohann vergangenes Jahr in einer Studie gemeinsam mit Endres Puschner, Doktorand am Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum, und weiteren Beteiligten der FH Münster sowie des Universitätsklinikums Münster (UKM). Die Sicherheitsforscher analysierten Programmiergeräte und Telemonitoring-Geräte, welche für die Programmierung und Überwachung von implantierbaren Herzschrittmachern, Kardioverter-Defibrillatoren und Herzmonitoren genutzt werden. Über die Lücken, die sie aufdeckten, könnten einzelnen, ausgewählten Personen – beispielsweise Prominenten – direkt oder indirekt Schaden zugefügt werden. Saatjohann und Puschner untersuchten außerdem die Datenschutz-Prozesse der Hersteller und Krankenhäuser. „Aus Sicht der Patient*innen sind diese Prozesse unzureichend und frustrierend“, betont der FH-Doktorand. Während eines Vortrags beim virtuellen Hackertreffen rC3 (remote Chaos Communication Congress) installierten sie zur Veranschaulichung ein Videospiel auf einem Programmiergerät, mit dem normalerweise Herzschrittmacher in Kliniken eingestellt und verwaltet werden.

Im März vergangenen Jahres startete das neueste Forschungsprojekt „MedMax“, an dem Saatjohann mitwirkt. Unter Leitung von Prof. Dr. Sebastian Schinzel, Leiter des Labors für IT-Sicherheit an der FH Münster, und Prof. Dr. Thomas Hupperich von der WWU Münster erforschen die Wissenschaftler, wie sie mithilfe datenschutzkonform gesammelter Telemetriedaten aus Krankenhäusern Cyberangriffe detektieren können. Zur Untersuchung nutzen sie Methoden des Maschinellen Lernens, um krankenhausspezifische Angriffsmuster und Anomalien ausfindig zu machen. Dabei beziehen sie erstmalig auch spezielle medizintechnische Kommunikationsprotokolle wie DICOM, HL7 oder FHIR mit ein. Aufbauend auf Studien der Vorgängerprojekte „MediSec“ sowie „MITSicherheit.NRW“ konfrontiert das Forschungsteam Ärzte, Patienten, Pflegende und IT-Personal mit Cyberangriffen und analysiert ihre Reaktionen. „Es hat sich gezeigt, dass eine reine Prävention nicht mehr ausreicht“, erläutert Saatjohann. „Wir brauchen daher effektive Tools und Maßnahmen zur Detektion und vor allem Reaktion, beispielsweise ein Cyber-Sicherheitstraining für alle Akteure im Gesundheitswesen.“

Im Februar steht indes der nächste Fachvortrag an, erneut geht es um unsichere E-Mail-Kommunikation. Saatjohann und Fabian Ising, ebenfalls Doktorand im Labor für IT-Sicherheit, referieren zum Thema „KIM: Kaos in der Medizin – Unsichere Mails in der TI“ bei einer Konferenz des „DFN-CERT“, dem „Computer Emergency Response Team“ (CERT) des Deutschen Forschungsnetzes (DFN). Im Mittelpunkt stehen Schwachstellen im Clientmodul der Fachanwendung Kommunikation im Medizinwesen (KIM). Das Modul soll Nachrichten beim Versand verschlüsseln und signieren sowie E-Mails beim Abruf entschlüsseln und die Signatur prüfen. Die FH-Doktoranden hatten der gematik, der nationalen Agentur für digitale Medizin und Verantwortungsträgerin der TI, im Frühjahr 2022 Sicherheitslücken gemeldet. „Im Medizinsektor gibt es grundsätzlich großen Nachholbedarf im Bereich IT-Sicherheit“, fasst Saatjohann zusammen. „In kaum einem Bereich ist die Sicherheit von Daten und die Vermeidung unberechtigter Zugriffe so wichtig wie im Gesundheitswesen.“

Zum Thema: In ihrem aktuellen Hochschulentwicklungsplan hat die FH Münster University of Applied Sciences das Thema Gesundheit für weitere fünf Jahre als eine von sechs gesellschaftlichen Herausforderungen definiert, die sie bei ihrer Weiterentwicklung in besonderer Weise berücksichtigen wird. Ziel ist es, Gesundheit als deutlichen Schwerpunkt in den Strategieperspektiven Bildung und Forschung weiter zu stärken und die interdisziplinäre Zusammenarbeit zu fördern. Vom 9. bis 20. Januar stellt die Hochschule vielfältige Aktivitäten und Projekte in diesem Themenfeld vor.

Links:

• Mehr zu Christoph Saatjohann
  https://www.fh-muenster.de/eti/personen/mitarbeiter/saatjohann/saatjohann.php
• Zur Projektseite von MedMax
  https://www.fh-muenster.de/gud/medmax.php
• Zur FHMS-Podcast-Folge „Hacker im Hospital: IT-Sicherheit im Bereich Medizintechnik“
  https://www.fh-muenster.de/hochschule/aktuelles/fh-podcasts/Kopfhoerer-podcast.php
• Pressemitteilung vom 23. April 2021: Elektronische Patientenakte – sicher oder unsicher?
  https://www.fh-muenster.de/hochschule/aktuelles/pressemitteilungen.php?pmid=8600
• Pressemitteilung vom 12. Mai 2022: Krankenhäuser besser vor Cyberangriffen schützen
  https://www.fh-muenster.de/hochschule/aktuelles/pressemitteilungen.php?pmid=9009
• News vom 6. Januar 2022: „Listen to your heart“: Christoph Saatjohann spricht bei Hackerkongress über IT-Sicherheitslücken in kardiologischen Implantaten
  https://www.fh-muenster.de/eti/aktuell/news/weitere-meldungen/chaos-communication-congress-2021.php
• Zur 30. DFN-Konferenz „Sicherheit in vernetzten Systemen“
  https://www.dfn-cert.de/veranstaltungen/30Sicherheitskonferenz2023.html