Mobile Gesundheits-Geräte: Kaspersky entdeckt 33 Sicherheitslücken im Datenübertragungsprotokoll

Auch Qualcomm Snapdragon betroffen

Die Experten von Kaspersky haben im vergangenen Jahr 33 Schwachstellen im am häufigsten verwendeten Protokoll für die Übertragung von Daten tragbarer Geräte, die zur Fernüberwachung von Patienten eingesetzt werden, gefunden [1]. Bei 18 davon handelt es sich um kritische Schwachstellen. Das sind 10 mehr als im Jahr 2020, viele von ihnen sind noch nicht behoben. Einige dieser Schwachstellen geben Angreifern die Möglichkeit, Daten abzufangen, die online von dem Gerät gesendet werden.

Die anhaltende Pandemie hat zu einer raschen Digitalisierung des Gesundheitssektors geführt. Da Krankenhäuser und Pflegepersonal überlastet sind und viele Menschen zu Hause unter Quarantäne stehen, sind die Organisationen gezwungen, die Art und Weise der Patientenversorgung zu überdenken. Wie eine aktuelle Kaspersky-Studie [2] ergab, haben 92,7 Prozent der Gesundheitsdienstleister in Europa telemedizinische Funktionen implementiert. Diese rasante Digitalisierung hat jedoch neue Sicherheitsrisiken mit sich gebracht, insbesondere wenn es um Patientendaten geht.

Zur Telemedizin gehört auch die Fernüberwachung von Patienten, die mit tragbaren Geräten und Monitoren durchgeführt wird. Diese überwachen kontinuierlich oder in Intervallen die Gesundheitsindikatoren von Patienten, wie etwa die Herztätigkeit.

MQTT-Protokoll bietet keine sichere Datenübertragung

Das MQTT-Protokoll ist das weitverbreitetste Protokoll für die Übertragung von Daten von tragbaren Geräten und Sensoren, da es einfach zu handhaben ist. Deshalb findet man es nicht nur in tragbaren Geräten, sondern auch in fast allen anderen intelligenten Gadgets. Allerdings ist die Authentifizierung bei der Verwendung von MQTT völlig optional und umfasst nur selten eine Verschlüsselung. Das macht MQTT sehr anfällig für Man-in-the-Middle-Angriffe, bei denen Angreifer sich während der Kommunikation zwischen zwei Parteien einschleusen können. Dies hat zur Folge, dass alle über das Internet übertragenen Daten möglicherweise gestohlen werden könnten. Bei tragbaren Geräten können die verarbeiteten und versendeten Informationen jedoch hochsensible medizinische Daten, persönliche Informationen und sogar die Bewegungen einer Person umfassen.

Seit dem Jahr 2014 wurden 90 Schwachstellen in MQTT entdeckt, darunter auch kritische, von denen viele bis heute nicht behoben wurden. 2021 wurden 33 neue Schwachstellen entdeckt, darunter 18 kritische – 10 mehr als im Jahr 2020.

Kaspersky-Experten fanden Schwachstellen nicht nur im MQTT-Protokoll, sondern auch in einer der beliebtesten Plattformen für Wearable-Geräte: Qualcomm Snapdragon Wearable-Plattform. Seit deren Einführung wurden mehr als 400 Schwachstellen identifiziert, wobei nicht alle gepatcht wurden – darunter einige aus dem Jahr 2020.

Die meisten Wearable-Geräte zeichnen sowohl Gesundheitsdaten als auch Standort und Bewegungen der Nutzer auf. Dies ermöglicht nicht nur Datendiebstahl, sondern auch Stalking.

Dr. Peter Zeggel, Gründer und Geschäftsführer des deutschen Telemedizin-Unternehmens arztkonsultation ak GmbH, kommentiert: „Datensicherheit ist eine Grundvoraussetzung für die weitere Etablierung der Telemedizin. Dabei handelt es sich um eine geteilte Verantwortung. Gesetzgeber, Anbieter und Anwender der Telemedizin müssen gleichermaßen auf mehr Sicherheit hinwirken. Jeder Beteiligte kann einen Beitrag leisten!“

„Die Pandemie hat zu einem starken Wachstum des Telemedizin-Marktes geführt, dabei geht es nicht nur um die Kommunikation mit dem Arzt per Videosoftware. Es betrifft eine ganze Reihe komplexer, sich schnell entwickelnder Technologien und Produkte, darunter spezialisierte Anwendungen, tragbare Geräte, implantierbare Sensoren und cloudbasierte Datenbanken“, kommentiert Maria Namestnikova, Leiterin des russischen Global Research and Analysis Teams (GReAT) bei Kaspersky. „Viele Krankenhäuser nutzen jedoch immer noch ungeprüfte Dienste von Drittanbietern, um Patientendaten zu speichern, und Schwachstellen in tragbaren Geräten und Sensoren im Gesundheitswesen bleiben offen. Bevor solche Geräte zum Einsatz kommen, sollten Unternehmen sich jedoch so umfassend wie möglich über deren Sicherheitsniveau informieren, um die eigenen Daten und die der Patienten zu schützen.“

Kaspersky-Tipps für Gesundheitsdienstleister zum Schutz von Patientendaten

• Sämtliche Anwendungen und Geräte, die im Krankenhaus oder der medizinischen Einrichtung Zum Einsatz kommen auf ihre Sicherheit hin überprüfen.
• Die von Telemedizin-Apps übertragenen Daten auf ein Minimum begrenzen. So sollte etwa die Standortübertragung deaktiviert werden, wenn diese nicht benötigt wird.
• Stets alle Standardpasswörter ändern und Verschlüsselung nutzen, wenn das entsprechende Gerät dies unterstützt.

Weitere Informationen sind verfügbar unter https://securelist.com/telehealth-report-2020-2021/105642/

Weitere Einblicke in die weltweite Verbreitung von Telegesundheitsdiensten in der globalen Umfrage „Telehealth take-up: the risks and opportunities“ von Kaspersky unter https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/11/22125239/Kaspersky_Healthcare-report-2021_eng.pdf