Security: Fälschen von Patientendaten für Hacker nach wie vor extrem einfach
Zum 121. Deutschen Ärztetag, der vom 08. bis 11. Mai 2018 in Erfurt stattfand, warnten Sicherheitsexperten vor dem Daten-GAU bei der Telemedizin. Dass Patientendaten für Hacker sehr leichte Beute sind, ist spätestens seit den Datenpannen um entwendete Medikationsdaten von Politikern im vergangenen Jahr auch in Deutschland ein großes Thema. Die Onlinekriminellen hatten Diagnosen, Verordnungen von Medikamenten, Behandlungsunterlagen und sogar ganze Krankengeschichten und Studienergebnisse klinischer Tests erbeutet. Wie das ZDF berichtete, sollten laut den Sicherheitsexperten von McAfee damit Politiker unter Druck gesetzt werden.
Dass es in der Medizintechnik hinsichtlich Security noch enorme Sicherheitslücken zum Schließen gilt und die aktuellen Sicherheitsmaßnahmen schlicht nicht genügend greifen, hat das Advanced-Threat-Forschungsteam von McAfee nun auf der Defcon Hacking-Konferenz, die letzte Woche in Las Vegas stattfand, unter Beweis gestellt. Die neuen Erkenntnisse der Sicherheitsforscher haben weitere realistische Cybersicherheitsbedrohungen für medizinische Geräte aufgedeckt.
Es wurde aufgezeigt, wie Hacker die medizinischen Vitalfunktionen eines Patienten innerhalb von Sekunden fälschen können. Die Forscher von McAfee haben eine Schwäche im RWHAT-Protokoll entdeckt, das von IoT-Medizinprodukten verwendet wird, um den generellen Zustand und die Vitalfunktionen eines Patienten zu überwachen. Dieses Protokoll wird in einigen der wichtigsten Systemen in Krankenhäusern eingesetzt.
Wenn ein Hacker diese Schwachstelle ausnutzt, kann der Angreifer dem medizinischen Personal falsche Informationen in Echtzeit vorgaukeln. Zusätzlich ermöglichen unzureichende Authentifizierungsprozesse, fremde Geräte in das medizinische Netzwerk einzubinden und Patientenmonitore zu imitieren.