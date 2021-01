Zehn vernetzte Medizinprodukte aus fünf unterschiedlichen Kategorien sowie die dazugehörigen Infrastrukturkomponenten beleuchtet das öffentlich geförderte BSI-Projekt "Manipulation von Medizinprodukten" (ManiMed) aus IT-sicherheitstechnischer Sicht. Das BSI veröffentlichte nun erste Ergebnisse.

ManiMed ist das erste Projekt seiner Art: Bislang gibt es keine systematische Studie, die das Ausmaß von Schwachstellen in medizinischen Geräten bewertet. Neben dem aktuellen IT-Sicherheitsstand der ausgewählten Produkte zeigt das Projekt mögliche Strategien auf, wie die Beteiligten Prozesse zur Behebung und Veröffentlichung von Schwachstellen erfolgreich handhaben und koordinieren können.

SMS auf den Herzschrittmacher

Da nicht alle Geräte geprüft und bewertet werden konnten, wählten die Sicherheitsforscher*innen anhand einer Marktanalyse stichprobenartig je zwei Geräte aus den fünf relevanten Kategorien implantierbare Herzschrittmacher und Defibrillatoren sowie deren Equipment, Insulinpumpen, Beatmungsgeräte, Infusionspumpen und Patientenmonitore aus. Insgesamt fanden sie über 150 Schwachstellen. Eine enge Zusammenarbeit mit den Herstellern sollte die Behebung der Schwachstellen gewährleisten. Unter den gefundenen Schwachstellen waren beispielsweise Abstürze der Benutzeroberfläche eines Herzschrittmachers – der sich allerdings im Prototypstadium befand – oder das mögliche Versenden von SMS auf das Gerät, was aber kein weiteres ausnutzbares Verhalten zuließ.

Bei einem anderen System, bei dem Ärzte via Bluetooth die implantierten Herzgeräte mit einer iPad-App programmieren und überwachen können, konnten drei Pufferüberläufe (Buffer Overflow) sowie ein Integer-Überlauf identifiziert werden. Eine Ausnutzung dieser Schwachstellen wäre möglich, wenn keine Verhinderungsmaßnahmen ergriffen werden. Die Autoren der Studie liefern mit jeder Schwachstelle eine Einschätzung des Risikos und ihrer Ausnutzbarkeit mit und fassen außerdem häufig auftretende Probleme und Sicherheitsrisiken nebst Hinweisen zur Verbesserung zusammen.

Die Studie orientiert sich an der aktuellen gesetzlichen Grundlage und den Regelungen für den Marktzugang von Medizinprodukten in Deutschland. Hier sind gegebenenfalls Änderungen zu erwarten, da die Verordnung über Medizinprodukte (Medical Device Regulation, MDR) der Europäischen Union am 26. Mai 2021 obligatorisch wird (aufgrund der COVID-19-Pandemie ein Jahr später als ursprünglich geplant). Die MDR ersetzt die Richtlinie über Medizinprodukte (MDD; Richtlinie 93/42/EWG), die in Deutschland durch das Medizinproduktegesetz (MPG) umgesetzt wird.

Die zweite Studie, eCare, beschäftigt sich mit der Digitalisierung in der Pflege und untersucht vernetzte Produkte (Medizin- sowie IoT-Produkte), die im Bereich der Alten- oder Krankenpflege eingesetzt werden. Dazu zählen beispielsweise Geräte zur Vitaldatenmessung, Hausnotrufsysteme, intelligente Pillendosen, smarte Betten oder ein Tablet für Senioren. Untersucht wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien. Zunächst wurden die Hersteller dazu befragt, inwieweit sie bei der Entwicklung Sicherheitsbelange mitberücksichtigt hatten und welche Sicherheitfeatures in ihren Produkten integriert sind. Eine Übersicht der Antworten zeigt die Abbildung.

Im Vorfeld wurden die Hersteller nach den in ihre Produkte eingebauten Sicherheitsfeatures befragt. (Bild: BSI)

Sicherheitsniveau der Geräte "schlecht bis sehr schlecht"

Das Fazit der zweiten Studie: Angesichts des hohen Schutzbedarfs für Gesundheitsdaten bewerten die Autor*innen der Publikation das vorgefundene IT-Sicherheitsniveau als schlecht bis sehr schlecht, in allen Geräten fanden sie mittlere bis schwere Schwachstellen. Die Ergebnisse lassen vermuten, dass keines der Geräte inklusive zugehöriger App oder Cloud-Dienst je einem professionellen Penetrationstest oder einer Sicherheitsevaluierung unterzogen wurde. Auch wurden augenscheinlich keine Guidelines zur Entwicklung sicherer, vernetzter Medizinprodukte zu Rate gezogen, wie sie etwa das BSI oder andere Organisationen schon veröffentlicht haben. Positiv ist allerdings anzumerken, dass die Hersteller bereits Sicherheitsmaßnahmen wie Authentifizierung oder Verschlüsselung benutzen.

Mit den beiden Studien, die in englischer und deutscher Sprache auf der Webseite des BSI zu finden sind, möchte die Behörde für IT-Sicherheitsrisiken in vernetzten Produkten sensibilisieren sowie den transparenten Austausch und die Zusammenarbeit aller Beteiligten fördern. Sie richten sich an Betreiber medizinischer Einrichtungen, Hersteller von Medizinprodukten sowie Entscheidungsträger, die entsprechende Vorschriften oder Regularien für Medizinprodukte beschließen. Notwendig ist ein verstärktes Bewusstsein für Sicherheitsfragen dringend, da durch die zunehmende Digitalisierung und Vernetzung medizinischer Geräte und Anwendungen auch immer mehr Schwachstellen in IT-Systemen auftreten, deren Ausnutzung Auswirkungen auf die Patientensicherheit und die Gesundheitsinstitutionen haben können.

(ur)