Krankenhäuser besser vor Cyberangriffen schützen

FH Münster, Ruhr-Universität Bochum und Medizintechnikunternehmen schließen gemeinsames Forschungsprojekt ab

Krankenhäuser sind immer häufiger das Ziel von Cyberattacken. Insbesondere die zunehmende digitale Vernetzung der Kliniken und Praxen schafft neue Optionen für Angreifer. Neben Datendiebstahl und Erpressung drohen im schlimmsten Fall lebensgefährliche Eingriffe in die Medizintechnik. Krankenhäuser besser vor Cyberangriffen zu schützen, darum ging es im Verbundprojekt „MITSicherheit.NRW“. Gemeinsam mit Kollegen der Ruhr-Universität Bochum und Medizintechnikunternehmen erforschten und entwickelten Wissenschaftler der FH Münster drei Jahre lang neue Instrumente zur Absicherung medizinischer Systeme. Nun fand in Bochum die Abschlussveranstaltung statt, bei der die Projektbeteiligten ihre Ergebnisse vorstellten und gemeinsam mit Prof. Dr. Andreas Pinkwart, Minister für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen, und zahlreichen Anwendungseinrichtungen aus Versorgung, Wissenschaft und Wirtschaft diskutierten.

Das Ausgangsproblem: Normalerweise werden zur Identifizierung von Sicherheitslücken sogenannte Penetrationstests durchgeführt, bei denen ein System gezielt angegriffen wird. Netzwerkscanner suchen dabei verwundbare Geräte. Für medizinische Geräte gab es bislang jedoch noch keine zuverlässigen Scanner. Im Rahmen des Projektes entwickelte die Forschungsgruppe nun insgesamt drei Instrumente zur Verbesserung der Cybersicherheit. Prof. Dr. Sebastian Schinzel sowie die Doktoranden Fabian Ising und Christoph Saatjohann aus dem Labor für IT-Sicherheit der FH Münster fokussierten sich auf den sogenannten Large-Scale-Scanner, mit dem sie zahlreiche Angriffspunkte aus dem Internet identifizierten. „Während der Projektphase haben wir beispielsweise eine gravierende Sicherheitslücke in der Telematikinfrastruktur des Gesundheitswesens aufgedeckt, von der bundesweit rund 200 Arztpraxen betroffen waren“, berichtet Saatjohann. Weitere neu entwickelte Instrumente sind der Scanner „MedVAS“, der einen Verwundbarkeitsscan der IT-Infrastruktur in Krankenhäusern bei laufendem Betrieb ermöglicht, sowie die Testumgebung „MedFUZZ“ für die medizinischen Standardprotokolle DICOM und HL7, mit der Medizintechnikunternehmen Sicherheitslücken oder Instabilitäten der eigenen Software testen können.

„Wir haben insgesamt mehrere hundert konkrete Sicherheitslücken aufgedeckt, die durch die Kooperation mit den zuständigen Behörden geschlossen werden konnten. Teilweise gibt es jedoch auch systematische Fehler. DICOM und HL7 für den Austausch von Daten zwischen Organisationen im Gesundheitswesen sind generell sehr unsicher. Diese Schwachstellen lassen sich nicht von heute auf morgen beheben“, erklärt Saatjohann und resümiert: „Es gibt immer noch viel zu tun.“ Im März dieses Jahr startete an der FH Münster daher ein Nachfolgeprojekt in Zusammenarbeit mit der Westfälischen Wilhelms-Universität Münster (WWU). Das Vorhaben „MedMax“ läuft über dreieinhalb Jahre. „Wir knüpfen an die Ergebnisse der Projekte MITSicherheit.NRW sowie MediSec an“, erläutert Schinzel, der das neue Projekt gemeinsam mit Prof. Dr. Thomas Hupperich von der WWU leitet. „Eine reine Prävention reicht angesichts der zahlreichen erfolgreichen Cyberangriffe gegen Krankenhäuser nicht mehr aus. Unser Ziel ist es, neue Tools und Maßnahmen zur Detektion und vor allem Reaktion zu entwickeln.“

Zum Thema: MITSicherheit.NRW – Sicherheitsinstrumente zur Verbesserung der operativen Cybersicherheit für die Gesundheitswirtschaft in NRW – ist ein von der NRW-Landesregierung und der EU mit circa 1,7 Millionen Euro gefördertes Forschungs- und Entwicklungsprojekt. Unter der Konsortialführung von MedEcon Ruhr, dem Netzwerk der Gesundheitswirtschaft an der Ruhr, arbeiteten die weiteren Partnereinrichtungen FH Münster, Ruhr-Universität Bochum, G DATA Advanced Analytics GmbH, radprax Gesellschaft für Medizinische Versorgungszentren mbH, VISUS Health IT GmbH gemeinsam mit der Krankenhausgesellschaft Nordrhein-Westfalen e. V. und 14 assoziierten Partnern aus Versorgung und Wirtschaft an einem höheren Sicherheitslevel der NRW-Krankenhäuser.

Originalveröffentlichung: Saatjohann, C.; Ising, F.; Gierlings, M.; Noss, D.; Schimmler, S.; Klemm, A.; Grundmann, L.; Frosch, T.; Schinzel, S. (2022): Sicherheit medizintechnischer Protokolle im Krankenhaus [Konferenzbeitrag]. SICHERHEIT 2022, Lecture Notes in Informatics (LNI), Gesellschaft für Informatik, Bonn. doi: 10.18420/sicherheit2022_09

Links:

• Labor für IT-Sicherheit der FH Münster
  https://www.fh-muenster.de/it-sicherheit
• Zur Projektplattform MITSicherheit.NRW
  http://www.mits.nrw/
• Originalveröffentlichung auf dem Publikationsserver der FH Münster
  https://www.hb.fh-muenster.de/opus4/frontdoor/index/index/docId/15007
• Pressemitteilung vom 15. Januar 2019: IT-Sicherheit in Kliniken verbessern
  https://www.fh-muenster.de/hochschule/aktuelles/pressemitteilungen.php?pmid=7749
• ETI-News vom 6. Januar 2022: „Listen to your heart“: Christoph Saatjohann spricht bei Hackerkongress über IT-Sicherheitslücken in kardiologischen Implantaten
  https://www.fh-muenster.de/eti/aktuell/news/weitere-meldungen/chaos-communication-congress-2021.php