Jedes vierte medizinisches Gerät (23 %) weist eine Schwachstelle aus dem Known-Exploited-Vulnerabilities (KEV)-Katalog der US-Cyber-Sicherheitsbehörde CISA auf. Zudem finden sich knapp zwei Drittel (63 %) der KEVs in medizinischen Netzwerken. Zu diesen Ergebnissen kommt der neue Bericht „State of CPS Security Report: Healthcare 2023“ des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty.
„Die Vernetzung hat zu großen Veränderungen in Krankenhausnetzwerken geführt und deutliche Verbesserungen in der Patientenversorgung bewirkt. Ärzte sind in der Lage, aus der Ferne Diagnosen zu stellen, Medikamente zu verschreiben und Behandlungen mit einer nie dagewesenen Effizienz durchzuführen“, erklärt Amir Preminger, Vice President of Research von Claroty. „Die zunehmende Konnektivität erfordert jedoch eine entsprechende Netzwerkarchitektur und ein Verständnis für die Anfälligkeit für Angriffe, die damit einhergeht. Einrichtungen des Gesundheitswesens und ihre Sicherheitspartner müssen Richtlinien und Strategien entwickeln, die die Notwendigkeit widerstandsfähiger medizinischer Geräte und Systeme betonen. Essenziell sind dabei ein sicherer Fernzugriff, die Priorisierung des Risikomanagements und die Segmentierung.“
Die wichtigsten Ergebnisse
- Gefährdung durch Gastnetzwerke: 22 Prozent der Krankenhäuser haben Geräte angeschlossen, die Gastnetzwerke, welche Patienten und Besuchern WiFi-Zugang bieten, mit internen Netzwerken verbinden. Dies schafft einen gefährlichen Angriffsvektor: Angreifer können so schnell Assets im öffentlichen WiFi finden und anvisieren sowie diesen Zugang als Brücke zu den internen Netzwerken nutzen, in denen sich die Geräte zur Patientenversorgung befinden. Die Untersuchungen von Team82 haben gezeigt, dass 4 Prozent der chirurgischen Geräte, also kritische Geräte, deren Ausfall die Patientenversorgung deutlich beeinträchtigen könnte, über Gastnetzwerke kommunizieren.
- Veraltete Betriebssysteme: 14 Prozent der vernetzten medizinischen Geräte laufen mit nicht unterstützten oder am Ende der Lebensdauer befindlichen Betriebssystemen. Bei 32 Prozent der nicht unterstützten Geräte handelt es sich um bildgebende Geräte, einschließlich Röntgen- und MRT-Systeme, die für die Diagnose und die vorgeschriebene Behandlung unerlässlich sind, und bei 7 Prozent um chirurgische Geräte.
- Hohe Ausnutzungswahrscheinlichkeit: Der Bericht untersuchte Geräte mit hohen Exploit-Prediction-Scoring-System (EPSS)-Werten, die auf einer Skala von 0 bis 100 die Wahrscheinlichkeit angeben, dass eine Software-Schwachstelle in freier Wildbahn tatsächlich ausgenutzt wird. Die Analyse ergab, dass 11 Prozent der Patientengeräte, z. B. Infusionspumpen, und 10 Prozent der chirurgischen Geräte Sicherheitslücken mit hohen EPSS-Werten aufweisen. Betrachtet man Geräte mit nicht unterstützten Betriebssystemen genauer, so weisen 85 Prozent der chirurgischen Geräte in dieser Kategorie hohe EPSS-Werte auf.
- Aus der Ferne zugängliche Geräte: In der Studie wurde zudem untersucht, welche medizinischen Geräte remote zugänglich sind. Demnach sind 66 Prozent der bildgebenden Geräte, 54 Prozent der chirurgischen Geräte und 40 Prozent der Patientengeräte aus der Ferne erreichbar. Zudem wurde festgestellt, dass auch solche Geräte, deren Ausfall gravierende Folgen haben können, wie Defibrillatoren, robotergestützte Chirurgie-Systeme und Defibrillator-Gateways, über Fernzugriff verfügen.
Der komplette Report State of CPS Security Report: Healthcare 2023 mit vollständigen Ergebnissen, detaillierten Analysen und empfohlenen Sicherheitsmaßnahmen kann hier heruntergeladen werden.