Seit Januar 2021 stellt der Bund im Rahmen des Krankenhauszukunftsgesetz drei Milliarden Euro für die Digitalisierung von Krankenhäusern bereit. Weitere 1,3 Milliarden kommen von den Ländern dazu. Das Ziel: ein umfassendes Investitionsprogramm für moderne Notfallkapazitäten, die Digitalisierung und nicht zuletzt Maßnahmen zur Steigerung der IT-Sicherheit. Insbesondere beim letzten Punkt ist die Dringlichkeit zum Handeln offensichtlich, denn Kliniken stehen immer öfter im Visier der Hacker. Das Interesse der Angreifer richtet sich in dem Zusammenhang zunehmend auf IoT-Geräte. Der Grund: Das Internet der Dinge hat ein Sicherheitsproblem, das ihm quasi in die Wiege gelegt wurde. Ganz branchenunabhängig warnen Experten bereits seit Jahren vor entsprechenden Schwachstellen. Beispiele entsprechender Angriffsszenarien gibt es mittlerweile zuhauf: Vom Mirai-Botnet, das 2016 Internet-Größen wie Netflix, Twitter und Reddit ins Straucheln brachte, bis hin zur jüngsten Kompromittierung von Verkada-Sicherheitskameras mit Auswirkungen auf Tech-Giganten wie Tesla und Cloudflare.
Zunehmend in Gefahr: IoT-Geräte im Gesundheitswesen
Während jedoch öffentlichkeitswirksame Sicherheitsverletzungen die Aufmerksamkeit vor allem auf herkömmliche IoT-Geräte und damit einhergehende Sicherheitsbedenken lenken, steigt auch die Anzahl der Angriffe in anderen IoT-Einsatzgebieten – wie im Gesundheitswesen – weiterhin sprunghaft an. Der enorme Nutzen vernetzter Sensoren für den diagnostischen Datenaustausch ist in diesem Einsatzszenario unbestritten. Nur sind hier die Folgen im Falle einer Sicherheitsverletzung ungleich verheerender. Branchenexperten gehen davon aus, dass die IoT-Einführung im Gesundheitswesen bis 2028 eine jährliche Wachstumsrate (CAGR) von 25,9 Prozent erreichen wird. Somit erhöht sich auch die Angriffsfläche.
Hohe Anfälligkeit medizinischer Geräte
In der Medizintechnik können technische Probleme zu lebensbedrohlichen Situationen führen. Gesundheitsdienstleister wie Krankenhäuser und Kliniken verlassen sich daher oft auf teure, hochgradig angepasste Anwendungen und Geräte. Diese werden jedoch oft nur zögerlich mit Updates und Patches versorgt – aus Angst, dass dadurch die Funktionsweise der eingesetzten Komponenten eingeschränkt werden könnte. Hier zeigen sich Parallelen zum traditionellen Internet of Things. Während dort in der Regel eine benutzerdefinierte Software auf einer mehrere Jahre alten Linux-Variante läuft, werden bei medizinischen IoT-Geräten häufig veraltete Versionen von Microsoft Windows und Windows Server eingesetzt. Im letzten Jahr fanden Forscher beispielsweise heraus, dass 45 Prozent der medizinischen Geräte für die kritische BlueKeep-Windows-Sicherheitslücke anfällig waren. Microsoft erachtete diese als so schwerwiegend, dass es sogar Legacy-Patches für eigentlich seit Jahren nicht mehr unterstützte Versionen seines Betriebssystems veröffentlichte.
Grundsätzlich lassen sich sämtliche IoT-Sicherheitsprobleme auf drei Versäumnisse zurückführen:
- fehlende Sicherheitsüberlegungen bereits während der Entwicklung
- lückenhafte Kenntnisse und mangelnde Transparenz bei denjenigen, die IoT einsetzen, und
- fehlende Verwaltung der Geräteaktualisierungen nach der Bereitstellung
on Paul Moll
Fachartikel
Studien
Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden
AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert
Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle
Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %
Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen
Whitepaper
Unter4Ohren
Datenklassifizierung: Sicherheit, Konformität und Kontrolle
Die Rolle der KI in der IT-Sicherheit
CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft
WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand
