Forschende der Universtiät Mataro fanden zusammen mit der Technischen Hochschule Brandenburg heraus: Jedes fünfte Krankenhaus-System, das über das Internet erreichbar ist, hat mindestens eine kritische Sicherheitslücke.
Die meisten davon sind seit Jahren bekannt und ungepatcht.
So wurde die Medizin-IT gemessen
Die Forscher nutzten die Intelligence-Plattformen Censys und Shodan, die das Internet kontinuierlich nach erreichbaren Systemen durchsuchen. Ausgewertet wurden alle Hosts, die automatisch als ‚medical-device‘ getaggt waren, ohne aktives Eingreifen in die Systeme.
Jedes fünfte System hat eine kritische Lücke
20% der deutschen und 15% der spanischen Hosts, die als medizinische Geräte getaggt sind, haben mindestens eine kritische Schwachstelle – also eine mit einem CVSS-Score von 8 oder höher, die einem Angreifer das System leicht kompromittierbar macht.
Besonders alarmierend: 74% der gefundenen Schwachstellen in deutschen Systemen und 60% in spanischen Systemen stammen aus der Zeit vor 2020 – sind also seit mindestens fünf Jahren bekannt und dennoch ungepatcht.
Fünf Maßnahmen für mehr Sicherheit
Die Autoren formulieren Empfehlungen für Kliniken, um solche Low Hanging Fruits zu vermeiden:
Services auf einem Host sollten zu einem Funktionsbereich zuordenbar sein
In ihrer Studie fanden die Autoren viele Server, auf denen viele verschiedene Software erreichbar war, wie bspw. Fernbedienungssoftware und Software für Videoüberwachungskameras.
Services sollen regelmäßig gepatcht werden
Viele der gefundenen Schwachstellen rühren daher, dass die Services lange nicht geupdated waren. Dadurch sind auch Applikationen gefährdet, die an sich modern und sicher sind, aber zum Beispiel auf veralteter HTTP-Server-Software wie Apache HTTP Server angeboten werden.
Landeseiten oder auch Login-Seiten sollen HTTPS statt HTTP nutzen
HTTP ist ein unverschlüsseltes Protokoll. Zwar waren viele Landeseiten mit Logins versehen, aber es ist nicht klar, ob diese genügende Sicherheitsmaßnahmen bieten.
DNS Domains sollten nur für einen Funktionsbereich genutzt werden, öffentliche Domains sollten nicht als Subdomain für interne Services genutzt werden
Die Nutzung von der öffentlichen Domain für interne Services ermöglicht Angreifern, weitere Daten über die Einrichtung zu erlangen.
Medizinische IT-Systeme sollten nur durch VPN erreichbar sein, auch wenn diese ein Login haben.
Wo ein VPN nicht umsetzbar ist, bieten eine Firewall-Trennung vom restlichen Netz, getrennte Domains für medizinische und allgemeine IT-Services sowie Zwei-Faktor-Authentifizierung und Login-Limits eine deutliche Verbesserung der Sicherheitslage.
Fazit
Medizin-IT Schwachstellen in Krankenhäusern sind kein abstraktes Risiko.
Sie sind öffentlich findbar, oft jahrelang bekannt und dennoch ungepatcht.
Ähnlich zu unserer Studie zeigt die Studie der Universität Mataro und der Technischen Hochschule Brandenburg zeigt, dass die nötigen Maßnahmen bekannt sind: VPN, regelmäßiges Patchen, Netztrennung und Zwei-Faktor-Authentifizierung.
Die gute Nachricht: Die Forscher haben dieselben frei verfügbaren Tools genutzt, die auch Administratoren in Krankenhäusern nutzen können, um ihre eigene Angriffsfläche zu überprüfen: ohne aktives Hacking und ohne Kosten.
Die vollständige Studie ist hier verfügbar: Zur Studie