IT-Sicherheit in Kliniken verbessern

FH Münster, Ruhr-Universität Bochum und Medizintechnikunternehmen starten gemeinsames Forschungsprojekt.

© Ralph Sondermann

Münster/Steinfurt, 15. Januar 2019. Krankenhäuser werden immer mehr zu attraktiven Zielen von Cyberangriffen. Denn Hacker stehlen Patientendaten oder machen diese unbrauchbar, um damit die Kliniken zu erpressen. Und es geht noch weiter: Schlimmstenfalls erhalten Hacker Zugriff auf medizinische Geräte, verändern die Konfiguration, greifen in die Behandlung ein oder manipulieren sogar Infusionspumpen und Röntgengeräte. Die Medizintechnik in Krankenhäusern besser vor solchen Angriffen zu schützen, das ist Ziel des Projektes „MITSicherheit.NRW“. Daran arbeitet die FH Münster gemeinsam mit der Ruhr-Universität Bochum und vier Medizintechnikunternehmen. Zum 1. Januar ist das Projekt gestartet, nun hat Staatssekretär Christoph Dammermann in Düsseldorf die Förderbescheide verliehen.

„Es gibt viel zu tun“, sagt Prof. Dr. Sebastian Schinzel vom Fachbereich Elektrotechnik und Informatik der FH Münster. Denn die in Krankenhäusern genutzten Geräte enthalten mittlerweile voll funktionstüchtige Computer mit einem Betriebssystem und verschiedenen Programmen, genauso wie moderne PCs oder Smartphones auch. „Das Problem: Wir wissen gar nicht, wie viele genau davon überhaupt im Einsatz sind und welche Sicherheitslücken existieren“, erklärt der IT-Sicherheitsexperte. Und das herauszufinden, sei gar nicht so einfach. „Normalerweise führen wir sogenannte Penetrationstests durch, bei denen wir ein System gezielt angreifen und dadurch Schwachstellen entlarven. Um Geräte zu finden, setzen wir Netzwerkscanner ein.“ Für medizinische Geräte gibt es jedoch noch keine zuverlässigen Scanner. „Außerdem besteht die Gefahr, dass medizintechnische Systeme nach solchen Scans nicht mehr korrekt funktionieren oder sogar ausfallen, und dieses Risiko gehen wir natürlich nicht ein.“

Netzwerkscanner für Medizingeräte

Deshalb wählt das Team einen anderen Weg. Zuerst werden neue Methoden und Werkzeuge entwickelt, um medizinische Kommunikationsprotokolle in Zusammenarbeit mit den Herstellern zu analysieren. Dadurch identifiziert es erste Schwachstellen, die von den Herstellern geschlossen werden können. Das hier angesammelte Know-how hilft bei dem Entwickeln des zweiten Instrumentes: dem extra für medizinische Geräte ausgelegten Netzwerkscanner. „Dieses Programm minimiert die Gefahr, dass medizinische Geräte durch Netzwerkscans beeinträchtigt werden: Es wird im laufenden Betrieb eingesetzt und befähigt die Kliniken zum Aufbau und zur Pflege eines Schwachstellenmanagements mit eigenen Mitteln.“

Erfahrungen zu Cybersicherheitsanalysen im Krankenhausumfeld haben Schinzel und sein Team bereits durch das Projekt „MediSec“ gesammelt. Dieses untersucht die Auswirkungen von Cyberangriffen auf den Ablauf und die Prozesse im Klinikalltag. Das neue Projekt „MITSicherheit.NRW“ läuft drei Jahre, gefördert wird es insgesamt mit 1,7 Millionen Euro über das „Operationelle Programm Nordrhein-Westfalens für die Förderung von Investitionen in Wachstum und Beschäftigung aus dem Europäischen Fonds für regionale Entwicklung“ (OP EFRE.NRW 2014-2020).

Origialmeldung:
https://www.fh-muenster.de/hochschule/aktuelles/pressemitteilungen.php?madid=6803