Interview: Studie prüft IT-Sicherheit von Krankenhäusern
Das BSI hat das Fraunhofer-Institut für Sichere Informationstechnologie beauftragt, die IT-Sicherheit von Krankenhäusern zu prüfen. Was es damit auf sich hat.
IT-Sicherheit spielt vor allem beim Umgang mit sensiblen Daten eine große Rolle. Medizinische Einrichtungen werden immer häufiger angegriffen. Erst kürzlich wurde eine Schwachstelle im Citrix-Zugang eines Krankenhauses ausgenutzt. Um die Cybersicherheit in Krankenhäusern – insbesondere die von Krankenhausinformationssystemen (KIS) – genauer analysieren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Fraunhofer-Institut für Sichere Informationstechnologie SIT beauftragt. Ein ähnliches Projekt ist Anfang des Jahres auch für Praxisverwaltungssysteme gestartet, dem dafür beauftragten Software-Unternehmen Adesso hat das BSI allerdings gekündigt. Das Projekt ist neu ausgeschrieben, wie ein BSI-Sprecher gegenüber heise online mitgeteilt hat.
Wir haben mit Dr. Christoph Saatjohann, Mitglied der Forschungsgruppe "Applied Cryptography and Medical IT Security" am SIT, über das im Dezember gestartete Projekt "SiKIS" zur IT-Sicherheit in Krankenhäusern gesprochen.
Welche Aspekte sind bei IT-Sicherheit in Krankenhäusern besonders wichtig?
In dem vom BSI ausgeschriebenen Projekt geht es zum einen um die IT-Sicherheit in Verbindung mit medizinischen Formaten und Protokollen wie bspw. DICOM, HL7 oder FHIR. Zum anderen geht es um Krankenhausinformationssysteme (KIS), welche diese Protokolle nutzen, um medizinische Daten im Krankenhaus zu übertragen. Diese beiden Kernaspekte des Projektes sind für die Krankenhäuser besonders wichtig, da hier die höchst sensiblen Daten der PatientInnen verarbeitet werden. Weiterhin fordern Regularien wie der B3S-Standard ein hohes Sicherheitslevel für genau diese Systeme.
Was planen Sie da genau?
Wir werden eine Reihe von Standard-Penetrationstests durchführen, wofür wir aktuell noch Krankenhäuser und KIS-Hersteller suchen. Beispielsweise wollen wir prüfen, was bei falschen Eingabewerten passiert. Oder wie verhält sich das Krankenhausinformationssystem, wenn wir nicht standardkonforme HL7-Nachrichten an das KIS senden? Interessant ist auch, ob wir die hinterlegte Datenbank manipulieren oder verändern können. Das umfasst selbstverständlich auch die Anbindung an weiteren Systemen wie das Labor- oder Radiologie-Informationssystem. Aktuell stecken wir da aber noch in den Vorarbeiten. Die Tests sollen dann zwischen März und August starten.
Das heißt, Sie dürfen im Auftrag des BSI Krankenhäuser hacken?
Wir dürfen die Systeme im Auftrag des BSI überprüfen. Dafür arbeiten wir dann mit Herstellern und den Krankenhäusern zusammen. Die Krankenhäuser haben dabei den Vorteil, dass sie einen kostenlosen Pentest Ihres KIS erhalten. Gerade für KRITIS-Krankenhäuser, ab 30.000 vollstationären Fällen pro Jahr, ist das relevant, da diese in regelmäßigen Audits Ihre Anstrengungen in die IT-Sicherheit nachweisen müssen.
Welche Pentests können da zum Einsatz kommen?
Die genauen Methoden, die wir einsetzen werden, hängen stark vom KIS selbst ab. Das können Standardtests wie SQL-Injection oder Cross-Site-Scripting-Angriffe sein, aber auch je nach Architektur sehr individuelle Tests. Das Ergebnis der Studien sind dann Handlungsempfehlungen und ein Abschlussbericht.
Und die Schwachstellen melden Sie auch?
Ja, die Krankenhäuser erhalten im Anschluss einen Schwachstellenreport. Die Hersteller werden wir im "Coordinated Vulnerability Disclosure"-Programm des BSI informieren und eine angemessene Frist setzen, um die Schwachstellen zu schließen.
(mack)