So, heute muss ich mich mal aufregen… sprechen wir mal über Medizintechnik im Krankenhaus. Vernetzte Medizingeräte sind für die Sicherheitsbeauftragten in jedem Krankenhaus ein Problem.
Warum?
- Die IT ist dafür in der Regel nicht zuständig
- Wo Netzwerkverbindungen überhaupt gemanagt werden, steht die Funktion im Vordergrund - nicht die Sicherheit
- Die erwartete Integration ins Klinikinformationssystem (KIS) macht Netzwerksegmentierungen zum Compliance-Theater… frei nach dem Motto „Halb zog sie ihn, halb sank er hin“ wird dann ein bisschen dokumentiert aber die Geräte haben am Ende des Tages trotzdem Zugriff auf wichtige Infrastrukturelemente. Und im Zweifel war das auch eine Grundvoraussetzung für die Förderung zu den Geräten, weil irgendeine Landesregierung sich auf die Fahnen schreiben wollte dass wir hier Digitalisierung in der Gesundheitsversorgung vorantreiben.
- Die Konfigurationsmöglichkeiten am Gerät sind stark eingeschränkt
- Das Einspielen von Sicherheitsupdates kann zum Erlöschen der Betriebserlaubnis nach MPDG und EU -Medizinprodukteverordnungen führen, weil die Geräte nur mit dem damaligen Softwarestand zum Einsatz in der Humanmedizin zertifiziert sind, und Kunden für eine langwierige Neuzertifizierung bezahlen müssten, ohne einen operativen Mehrwert zu bekommen
- Falls es überhaupt einen eigenen Medizintechniker vor Ort gibt, ist die Person in der Regel mehr mit Dokumentation und Betrieb als mit Sicherheit beauftragt
- Wenn (Wie es meist der Fall ist) das Management von Medizingeräten an eine externe Firma vergeben wurde, dann hat man da in der Regel den Vertrag so ausgehandelt dass möglichst wenig Kontingent für die Tätigkeit benötigt wird… was wieder nur auf Betrieb und Dokumentation hinausläuft.
Aus Gesprächen mit Leuten von externen Firmen, die Medizingeräte im Gesundheitswesen managen, weiß ich dass die zwar vor Jahren mal im Kontext ISO 80001-1 (Risikomanagement vernetzter Medizingeräte) zwar damit gerechnet haben dass Kunden ihnen deswegen die Bude einrennen würden… gekommen ist aber exakt niemand.
Warum auch? Zuständig fühlt sich dafür niemand, und im B3S Medizinische Versorgung wird die 80001-1 nur referenziert, ist aber nicht vorgeschrieben.
Wäre sie vorgeschrieben, regelte sie auch in erster Linie nur organisatorische und dokumentarische Verpflichtungen… mit einem kleinem Passus zur Segmentierung von Netzwerken… mit wachsweichen Vorgaben, die am Ende immer noch jede Netzwerkverbindung ermöglicht, die sich der Hersteller oder die Betreibenden aber nun mal wünschen um ihren eigenen Aufwand klein zu halten.
Und warum ist das alles ein Problem?
Zum Beispiel wegen solche Fälle wie CVE-2025-0626 oder CVE-2025-0683
Kurzfassung - in den Geräten eines Herstellers für Patientenmonitore, also Überwachung verschiedener Parameter unmittelbar am Patienten, hat ein Sicherheitsforscher eine Backdoor gefunden, die unabhängig von den Einstellungen am Gerät Patientendaten im Klartext an eine externe IP schickt, und es ermöglicht beliebige Software auf diesen Patientenmonitoren auszuführen.
Typische Ausflüchte wie „Das ist für Fernwartung oder Patchmanagement“ scheinen hier auch nicht zu greifen, denn zum einen gibt es keinerlei Hinweise auf eine Protokollierung oder Versionierung der eingespielten Software, zum anderen gehört die festverdrahtete IP-Adresse auch gar nicht dem Hersteller, sondern ist nach jetzigem Erkenntnisstand einer chinesischen Universität zuzuordnen.
- Es ist nicht den Betreibern der Geräte aufgefallen
- Es ist nicht dem Hersteller der Geräte aufgefallen
- Es ist in wohlwollender Lesart nicht der chinesischen Universität aufgefallen
Es ist einem Sicherheitsforscher aufgefallen. Weil sich wirklich einfach niemand für die Sicherheit von Medizingeräten verantwortlich fühlt.
Und natürlich sind die Teile von der FDA laut Auskunft des Herstellers zugelassen. Laut Webseite werden die Geräte des Herstellers in über 130 Ländern genutzt. Das Teil hat garantiert auch hierzulande eine Betriebserlaubnis. Ich vermute dass dieselben Geräte auch unter einem Rebranding/Whitelabeling von anderen Händler in Umlauf gebracht worden sind.
Die Gesellschaft für Informatik hat seit einer Weile einen Arbeitskreis für Sicherheit im Gesundheitswesen, und eine der Gruppen behandelt dabei auch explizit die Sicherheit von Medizingeräten.
Und? Habt ihr Lust beim nächsten Besuch im Krankenhaus mal das Thema anzusprechen wer hier eigentlich für die Sicherheit der Geräte zuständig ist?