BSI-Studie: Zahlreiche Schwachstellen in Krankenhausinformationssystemen

Es steht nicht gut um die IT-Sicherheit in Kliniken. Ein Penetrationstest bei zwei oft zum Einsatz kommenden Krankenhausinformationssystemen (KIS) hat ergeben, dass beide "signifikante Schwachstellen wie die unsichere Übertragung von Daten, die unsichere Speicherung und Verwaltung von Zugängen und Passwörtern sowie die unsichere Verteilung von Software-Updates" aufwiesen. Das ist brisant, da über KIS besonders sensible persönliche Informationen wie Gesundheitsdaten von Patienten erhoben, verarbeitet und zur weiteren Diagnose genutzt werden. Zum Einsatz kommen dabei und beim Austausch mit Arztpraxen sowie weiteren medizinischen Einrichtungen spezifische Datenformate wie HL7 (Health Level 7) oder LIS01-A, einem Protokoll für den Nachrichtenaustausch zwischen Laborinstrumenten und Computersystemen, die kaum oder keine Sicherheitsmechanismen definieren.

Um der Cybersicherheit im Gesundheitswesen und speziell in Hospitälern auf den Zahn zu fühlen, beauftragte das Bundesamt für Sicherheit in der Informationstechnik (BSI) das E-Health-Team des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) 2023 mit der Untersuchung. Teil der Aufgabe war eine genaue Sicherheitsanalyse von zwei repräsentativ aufgrund ihrer hohen Installationszahlen ausgewählter KIS. Laut dem jetzt veröffentlichten Abschlussbericht stießen die Forscher dabei etwa auf eine fehlende Verschlüsselung der KIS-Verbindungen zwischen Client und Server sowie zu Drittsystemen. So sei möglich, während der Übertragung Daten einzusehen oder zu verändern. Da es auch um administrative Eingriffe und Updates gehe, ließen sich so die beteiligten Systeme unautorisiert verändern.

Auch eine unzureichende Zertifikatsprüfung ist den Experten aufgefallen. Zwar schütze der Einsatz der Transportverschlüsselung TLS auch so vor dem Mitlesen durch passive Angreifer auf Netzwerkebene. Möglich blieben ohne Prüfung aber Eingriffe in die Kommunikation und das Mitlesen sowie Manipulieren der gesamten Verbindung. Weiter monieren die Forscher etwa, dass bei einem der beiden KIS Zugangsdaten mit einem veralteten Algorithmus (RC4) verschlüsselt und in der Datenbank abgelegt worden seien. Auch die verwendeten Hash-Algorithmen für Passwörter entsprächen nicht mehr dem Stand der Technik. KIS-Zugänge seien ferner mit teils trivialen Passwörtern aufgefallen, die einen umfassenden lesenden und schreibenden Zugriff auf die Datenbank erlaubten.

Verfügbarkeit vor Vertraulichkeit

Zudem beklagen die Tester einen fehlenden Integritätsschutz von Software und ein unzureichendes Rechtemanagement für Datenbankabfragen. Angreifer könnten auch recht einfach einen privilegierten Zugang erhalten. In einem KIS ließ sich durch unzureichende geprüfte Eingaben schädlicher JavaScript-Code einschleusen und ausführen (Cross-Site-Scripting). Die ausgemachten Probleme "sind exemplarisch für eine Vielzahl von potenziellen Schwachstellen in diesen und anderen KIS", warnen die Forscher. Die Herstellerfirmen hätten sich zwar sehr kooperativ gezeigt und bis zum Zeitpunkt der Publikation der Studie schon die meisten Einfallstore abgedichtet. Es habe sich aber generell gezeigt, "dass in der Gesundheitsversorgung die Verfügbarkeit der Systeme gegenüber der Vertraulichkeit der Daten meistens Vorrang hat". Dies gehe zulasten der Gesamtsicherheit von Krankenhäusern.

Die Autoren raten dringend zum Handeln: Ein aktueller Fall eines Ransomware-Angriffes in Rumänien zeige erste Anhaltspunkte für eine Attacke entweder durch oder auf das zentrale KIS. Dieser seien 26 Krankenhäuser zum Opfer gefallen. Zuvor nutzten Angreifer etwa eine Schwachstelle im Citrix-Zugang einer Klinik aus. Die Forscher raten etwa zum Nutzen neuer moderner standardisierter Austauschformate wie die HL7-Weiterentwicklung FHIR (Fast Healthcare Interoperability Resources). Das BSI hat auf Basis der Ergebnisse einen umfangreichen Entwurf für Handlungsempfehlungen herausgeben, um die Erkenntnisse umzusetzen. Interessierte können diesen noch bis Ende Juni kommentieren.

(nie)