Forscher zeigt: So leicht lassen sich Medizingeräte hacken

Eigentlich war der Patient tot. Am Monitor, der zur Überwachung seiner Vitalparameter eingesetzt wurde, lebte er jedoch noch. Bei der Sicherheitskonferenz DeepSec in Wien zeigte der Sicherheitsanalyst Florian Grunow live, wie man Patientenmonitore, die man im Krankenhaus zur Überwachung des Zustands von Patienten einsetzt, manipulieren kann. Grunow manipulierte dabei zuerst den Bildschirm des Monitors, in Folge spielte er aber auch im zentralen Netzwerk falsche Daten ein. Das Ganze dauerte nur wenige Minuten. Der futurezone erzählte der Sicherheitsforscher, der für das Unternehmen ERNW in Heidelberg an einem entsprechenden Research-Projekt beteiligt ist, wie das möglich wird und warum Hersteller den Aspekt der IT-Security von medizinischen Geräten sträflich vernachlässigen.

Futurezone: Herr Grunow, Sie erforschen die Sicherheit von Medizingeräten. War es einfach, an die entsprechenden Geräte heranzukommen?
Florian Grunow: Nein, es ist nicht ganz einfach, an die Geräte zu kommen. Entweder man braucht dafür Lizenzen z.B. wenn man sich ein Röntgengerät anschauen möchte. Das darf man auch nicht ohne spezielle Ausbildung und Berechtigungsscheine betreiben. Da wir das als IT-Security-Unternehmen nicht aufweisen können, haben wir beim Patientenmonitoring angefangen. Die Daten, die man aus dem Patientenmonitor gewinnt, sind für den Arzt auch Grundlage, um Entscheidungen über seine nächsten Schritte zu treffen.

Was genau haben Sie bei Ihren Forschungen rausgefunden und auf der DeepSec demonstriert?
Die Idee ist, den Überwachungsbildschirm, der die Vitalzeichen des Patienten anzeigt, so zu manipulieren, dass es halt einen lebenden Patienten anzeigt, obwohl der Patient gerade Probleme hat oder möglicherweise schon verstorben ist. Der Monitor ist dabei mit einem Netzwerkkabel am internen Netzwerk angeschlossen und sendet seine Daten an die Zentralstation. Wir haben getestet, ob man diese Zentralstation so angreifen kann, dass ich ihr vorgauklen kann, dass es dem Patienten wunderbar geht, obwohl er gerade Probleme hat. Das haben wir bei den Modellen von Monitoren, die wir uns bisher angesehen haben, geschafft.

Wie haben Sie das bewerkstelligt?
Wir konnten sowohl den Bildschirm als auch die Zentralstation so manipulieren, dass angezeigt wird, was wir wollen und zwar auch im laufenden Betrieb. Wir haben einen Weg gefunden, uns im Kommunikationsprozess dazwischen zu schalten und den Monitor aus der Kommunikation auszuklinken und selbst Daten an die Zentralstation zu schicken. Wie wir das genau gemacht haben, haben wir den Herstellern übermittelt.

In der Regel müssen die Hersteller dann in einem bestimmten Zeitraum reagieren. Wird das bei Medizingeräten auch gehandhabt?
Stimmt, normalerweise gibt man eine Deadline an, um den Hersteller unter Druck zu setzen, damit er die Sicherheitslücken behebt. In dem Fall muss man da ein bisschen vorsichtiger sein, weil man das Druckmittel gar nicht in der Hand hat. Da hängen Menschenleben dran und in so einem Fall kann man nicht einfach rausposaunen, wie man es gemacht hat.

Das heißt, Sie veröffentlichen auch nicht den Namen des Monitor-Herstellers?
Nein. Bei medizinischen Geräten haben wir das Problem, dass die Hersteller die Geräte ganz schlecht patchen können, weil diese in den Kliniken stehen und dort Patches auszurollen ist extrem schwer. Das braucht Zeit. Verraten kann ich lediglich, dass der Monitor, mit dem ich den Hack demonstriert habe, extrem häufig benutzt wird – und zwar mit unterschiedlicher Optik, aber dem gleichen Einbau.

Sind die Hersteller von Medizingeräten kooperativ, wenn Sie Probleme melden?
Das ist extrem unterschiedlich. Es gibt auch im Medizinbereich Hersteller, die begrüßen das sehr, wenn man Schwachstellen gefunden hat. Es gibt aber auch Hersteller, die blockieren. Was wir allerdings bemerken ist, dass die Bereitschaft der Hersteller im Vorhinein was zu tun, relativ gering ist. Es kristallisiert sich stark heraus, dass das Thema Security bei ihnen gar nicht auf der Agenda steht.

Die Food & Drug Administration (FDA), die in den USA unter anderem dafür zuständig ist, unter welchen Bedingungen solche Geräte zum Einsatz kommen dürfen, hat im Sommer eine Empfehlung herausgegeben, die besagt, dass die Hersteller dazu angehalten sind, etwas gegen Cyberangriffe auf ihre Geräte zu tun. Wenn eine Zertifizierungsbehörde jemanden im Jahr 2013 sagen muss, dass er auf Security zu achten hat, liegt wohl einiges im Argen. Das konnten wir mit unseren Forschungen bisher bestätigen.

Wie kann man die Geräte, jetzt speziell die Patientenmonitore, sicherer machen?
In dem Bereich könnte man mit der verschlüsselten Kommunikation anfangen. Über eine verschlüsselte Kommunikation findet man dann auch Wege, die Geräte untereinander zu authentifizieren. Im Moment ist es nämlich so, dass wir als Angreifer uns einfach auf einem Patientenmonitor anmelden und als anderes Gerät ausgeben können und es wird uns immer geglaubt. Da ist keinerlei Mechanismus implementiert, der schaut, ob das wirklich ein Gerät ist, dem ich vertrauen kann. Das muss man auch historisch betrachten. Vor zehn Jahren waren die Monitore noch etwas schwach auf der Brust, da zählte jede Zeile Code. Mittlerweile ist das aber aus technischer Sicht überhaupt kein Problem mehr. Doch so etwas kostet etwas, ist aufwendig und deswegen bleibt es oft auf der Strecke.

Das klingt absurd, wenn man bedenkt, dass es dabei um Menschenleben geht.
Wenn wir an kritische Infrastrukturen denken, reden wir immer über Atomkraftwerke oder die Scada-Steuerung. Aber wenn es darum geht, dass ein Angriff auf ein System ein Menschenleben kosten kann, ist das die wohl kritischste Infrastruktur. Deswegen ist es erschreckend, dass die Hersteller da nicht mehr investieren.

Warum wird so wenig in die IT-Security von Medizingeräten investiert?
Sowohl die Hersteller als auch die Kliniken geben sich damit zufrieden, dass sich die Geräte in einem geschlossenen Netzwerk befinden, in das von außen keiner rein kommt. Das ist aber relativ einfach. Wenn man durch eine Klinik geht, sieht man überall LAN-Steckdosen, die Geräte selbst haben LAN-Buchsen. Im Zweifelsfall hält einem wenig davon ab, ein Gerät so umzuprogrammieren, dass man sich damit in das Netzwerk der Klinik hängen kann. Wenn man ein Gerät unter Kontrolle hat, kann man auch das Netz kontrollieren.

Wie kann man ein Umdenken bei den Herstellern und Kliniken erreichen?
Durch viele Publikationen. Die FDA hat einen Anfang gemacht. Auch wir als Security-Analysten sind gefragt, in dem wir uns gezielt Geräte anschauen müssen, um ein bisschen Druck auszuüben. Wenn IT-Security auch von den Kliniken eingefordert wird, wird es auch helfen. Über die Kliniken lässt sich auch leichter Druck ausüben, denn letztendlich sind sie verantwortlich, wenn etwas passiert. Hier sind wir auch auf der Suche nach Kooperationspartnern. Die Kliniken haben auch ein viel höheres Interesse an IT-Security. Bisher haben ausschließlich Hersteller reagiert, die schon einmal ein Problem hatten.

Kann man Herstellerversäumnisse in einem Krankenhausnetzwerk überhaupt ausbügeln?
Das ist schwierig. Bei den Geräten, die wir uns angesehen haben, kann ich nicht empfehlen, sie ans Netzwerk zu hängen. Die sollte man nur vom Netzwerk abgekoppelt betreiben, weil die Schwachstellen schwerwiegend sind. Doch gerade dahin geht der neue Trend, wie ich zuletzt auf der Medizinmesse MEDICA in Düsseldorf beoachten konnte. Man hat künftig nur noch eine Warte, wo eine Person sitzt, die mehrere Patientenbildschirme über das Netzwerk beobachtet.

Was für Medizingeräte sind noch gefährdet, außer Patientenmonitore?
Am meisten gefährdet ist alles, was ein Feedback zum Patienten hat wie z.B. Spritzenpumpen. Wenn Patienten auf der Intensivstation mehr als ein Medikament verabreicht bekommen, hängen diese Medikamente in automatisierten Spritzenpumpen. Diese werden heutzutage auch mit Netzwerkschnittstellen gebaut, so dass man von der Leitwarte aus sehen kann, wie diese gerade eingestellt sind. Über Sicherheitslücken könnte man da aber drankommen. Der verstorbene Sicherheitsspezialist Barnaby Jack hat das z.B. mit einer Insulinpumpe vorgeführt, indem er die komplette Dosis auf einmal abgeben konnte. Wenn die Hersteller sagen, dass man nichts manipulieren kann, heißt das noch lange nicht, dass das auch stimmt.

Barnaby Jack wollte zuletzt einen Herzschrittmacher-Hack demonstrieren, doch kurz zuvor ist er verstorben.
Ja, er hat Forschungen in dem Gebiet gemacht. Es gibt auch wissenschaftliche Analysen dazu mit interessanten und bedrohlichen Ergebnissen. Dick Cheney hatte in einem Interview gesagt, dass er sich seine Wireless-Schnittstelle in seinem Herzschrittmacher deaktivieren lässt, weil er Angst davor hat, dass ihm Terroristen über die Luftbrücke das Gerät ausschalten. Das ist eine absolut realistische Bedrohung. Die Hersteller vertrauen dabei immer darauf, dass sie proprietäre Protokolle einsetzen, die keiner kennt und gehen davon aus, dass die Hürde für den Angreifer so hoch ist, dass er nicht auf die Idee kommt, sich das genauer anzusehen und Schwachstellen zu suchen. Das ist aber ein Trugschluss.

Würden Sie sich noch in ein Krankenhaus legen mit dem Wissen, das Sie haben?
Natürlich. Wenn es um das eigene Leben geht, dann denkt man in der Regel nicht darüber nach. Da möchte man, dass einem geholfen wird und da geht man das Risiko ein. Das würde ich auch jedem raten.

Nicht nur in Krankenhäusern kommt viel neue Medizintechnik zum Einsatz, sie ist auch für den Heimgebrauch stark im Steigen. Wo liegen hier die Gefahren?
Ja, Ambient Assistent Living (AAL) ist ein großer Bereich. Die Technik wird halt immer billiger. Die Kommunikationsmöglichkeiten ebenso. Gerade für ältere Leute kann das durchaus von Vorteil sein, wenn sie mit AAL kleine Helfer in der Umgebung haben. Solche Geräte werden nie dafür gebaut, dass sie sicher sind, sondern immer nur dazu, dass sie ihre primäre Funktion erfüllen. Der Kosten- und Marktdruck ist hoch, IT-Security bleibt außen vor. Wenn man IT-Security gut macht, kann man das auch schlecht in Zahlen messen, denn man bemerkt sie nicht. Deswegen ist es schwer für Unternehmen, damit in der Chefetage zu argumentieren.

Wie lange ist Ihr Forschungsprojekt bei ERNW angelegt?
Open End. Es ist sehr zeitintensiv. Die Kliniken müssen Geräte bereitstellen. Die müssen aus einem Wartungszyklus herausgenommen werden. Dann muss sichergestellt sein, dass die Geräte nach den Tests genauso funktionieren wie vorher. Das ist alles extrem aufwendig und muss gut geplant werden. Medizingeräte sind komplexer als Heim-WLAN-Router.