Report: Medizinische Netzwerke und Geräte voller Schwachstellen

Fast jedes vierte dieser Geräte (23 Prozent) weist eine bekannte Sicherheitslücke aus dem Katalog bekannter ausgenutzter Schwachstellen (KEV) der US-Cyber-Sicherheitsbehörde CISA auf. Zusätzlich sind knapp zwei Drittel (63 Prozent) dieser KEVs in den medizinischen Netzwerken vorhanden.

In ihrer ersten Ausgabe des State of CPS Security Reports, der sich auf das Gesundheitswesen konzentriert, hat das Team82 von Claroty die Auswirkungen der zunehmenden Vernetzung medizinischer Geräte untersucht. Ziel des Berichts ist es, die umfassende Konnektivität kritischer medizinischer Geräte, von bildgebenden Systemen bis hin zu Infusionspumpen, zu beleuchten und die damit verbundenen Risiken aufzuzeigen. Dabei wurden häufig Schwachstellen und Implementierungsfehler festgestellt, die direkte Auswirkungen auf die Behandlung haben können.

Amir Preminger, Vice President of Research bei Claroty, betont die positiven Veränderungen in Krankenhausnetzwerken durch die zunehmende Vernetzung, die Ärzten ermöglicht, aus der Ferne Diagnosen zu stellen und Behandlungen effizienter durchzuführen. Gleichzeitig weist er darauf hin, dass eine angemessene Netzwerkarchitektur und ein Verständnis für die Anfälligkeit für Angriffe erforderlich sind. Einrichtungen im Gesundheitswesen müssen Richtlinien und Strategien entwickeln, um widerstandsfähige medizinische Geräte und Systeme zu gewährleisten, wobei sicherer Fernzugriff, Risikomanagement und Segmentierung von entscheidender Bedeutung sind.

Als größte Bedrohungen identifiziert der Bericht:

• Die Gefährdung durch Gastnetzwerke, durch die Angreifer schnell auf Geräte zugreifen können, die für die Patientenversorgung unerlässlich sind.
• Veraltete Betriebssysteme, die bei einem beträchtlichen Prozentsatz vernetzter medizinischer Geräte vorhanden sind.
• Die hohe Wahrscheinlichkeit der Ausnutzung von Sicherheitslücken bei einer Reihe von Patienten- und chirurgischen Geräten. Der Bericht analysierte Geräte mit hohen EPSS-Werten (Exploit-Prediction-Scoring-System), welche die Wahrscheinlichkeit angeben, dass eine Software-Schwachstelle in der realen Welt ausgenutzt wird. Dabei stellte sich heraus, dass 11 Prozent der Patientengeräte und 10 Prozent der chirurgischen Geräte Sicherheitslücken mit hohen EPSS-Werten aufweisen. Besonders auffällig war, dass 85 Prozent der chirurgischen Geräte mit nicht unterstützten Betriebssystemen hohe EPSS-Werte aufwiesen.
• Die Fernzugänglichkeit einer großen Anzahl von medizinischen Geräten, darunter auch solche mit potenziell schwerwiegenden Auswirkungen bei einem Ausfall, wie Defibrillatoren und robotergestützte Chirurgiesysteme.

Den komplette Report State of CPS Security Report: Healthcare 2023 mit vollständigen Ergebnissen, detaillierten Analysen und empfohlenen Sicherheitsmaßnahmen gibt es hier.