(C) GfK

E-Health: Sind medizinische Apps und Einrichtungen sicher?

Aufmacherbild: (C) GfK

Tausende Gesundheits-Apps senden Daten in die Cloud, fast regelmäßig schrecken Krankenhäuser und Behörden nach Cyber-Angriffen auf, und das Internet der Dinge mit seinen Milliarden vernetzten Helferlein wird wohl eine ganz eigene Herausforderung werden – im Bereich IT-Sicherheit wird Forschern und Ingenieuren die Arbeit mit Sicherheit nicht ausgehen. Gerade beim Thema E-Health sehen Datenschützer die Entwicklung kritisch. Doch mit umfassender Vorbereitung und Anwendung neuester Forschungsergebnisse können sich medizinische Einrichtungen und Unternehmen schützen.

„Es gibt Kriminalität, etwa Erpresser. Es gibt Versuche, an Daten zu gelangen. Und es gibt einfach Verrückte.“
Christoph Unger, Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe

Deutlicher kann eine Warnung wohl kaum sein. Neben Christoph Unger, Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, schlagen immer mehr Sicherheitsexperten Alarm: Die Gesundheitsbranche sei zunehmend im Visier von Hackern und Datenspionen.

Befand sich der Bereich vor gerade mal zwei Jahren auf der Rangliste der am häufigsten angegriffenen Branchen noch nicht einmal unter den ersten fünf Plätzen, ist er jetzt bereits das beliebteste Angriffsziel – noch vor der Fertigungsindustrie und der Finanzwirtschaft. So konstatiert es der IT-Security-Report von IBM: „Cyberangriffe auf die Gesundheitsbranche haben ein nie dagewesenes Ausmaß erreicht und werden betroffene Organisationen auch weiter in Atem halten.“

Gesundheitsdaten lassen sich nicht so leicht ändern

Patientendaten zum Beispiel gelten als heiße Ware im Darknet, weil sie „haltbarer“ sind als die Daten, die bisher im Visier der Cyberkriminellen waren. Lässt sich etwa eine Kreditkartennummer leicht ersetzen, sind in Patientendaten einzigartige persönliche Informationen gespeichert, vom Geburtsdatum über persönliche Merkmale wie etwa der Blutgruppe bis hin zu ärztlichen Diagnosen – womit zum Beispiel Identitätsdiebstahl oder Erpressung möglich werden.

Erwischt hat es tatsächlich schon zahlreiche medizinische Einrichtungen. Etwa durch Verschlüsselungstrojaner, die sich in Computersysteme einnisteten und deren Daten dann komplett verschlüsseln. Wer die Daten zurück haben will, wird aufgefordert, ein Lösegeld zu überweisen. Allerdings ist selbst nach einer Zahlung keineswegs garantiert, dass die Cyberkriminellen tatsächlich einen Entschlüsselungscode liefern. Deshalb rät zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich dazu, nicht auf die Forderungen einzugehen.

Cyber-Angriffe gegen medizinische Einrichtungen

Eine Auswahl der betroffenen Einrichtungen: das Aachener Marienhospital, Klinikum Arnsberg, Neusser Lukaskrankenhaus, ein Fraunhofer-Institut in Bayreuth, aber auch Behörden wie die Verwaltungen Dettelbach in Bayern, Rheine in Westfalen, die Verwaltung des Landschaftsverbandes Rheinland, sogar das NRW-Innenministerium.

„Unsere Botschaft ist, dass man sich vorbereiten kann – man muss sich aber im Vorfeld damit befassen und nicht erst, wenn die Krise da ist.“
Christoph Unger, Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe

Umso mehr komme es auf eine gute Vorbereitung an, wie beispielsweise das BSI unterstreicht

  • Krankenhäuser und Arztpraxen sollten in den Kreis der so genannten „kritischen Infrastruktur“ einbezogen werden.
  • Ein durchgängiges Monitoring der Datennetzwerke solcher Institutionen sollte etabliert werden.
  • Die Vernetzung sollte verschlankt werden, die Strukturen weniger komplex gestaltet.
  • Die IT muss auf den aktuellen Stand gebracht werden (vielerorts laufen noch Rechner mit Windows XP).
  • Sicherheitsrichtlinien sollten erlassen werden, die für alle Hierarchieebenen verbindlich sind.
  • Das Bewusstsein aller Mitarbeiter muss geschärft werden.
  • Die Meldepflicht von IT-Störungen sollte nicht als unbequemer Zwang, sondern als hilfreiche Lernmöglichkeit begriffen werden.
  • Patientendaten sollten statt in der Cloud lieber im eigenen Rechenzentrum analysiert werden.
  • Bequemlichkeiten wie Patienten-WLANs sollten kritisch beleuchtet werden.
  • Und tatsächlich immer noch ein notwendiger Tipp: die Durchführung regelmäßiger Backups.

Immerhin haben nach den Cyber-Attacken acht von zehn Kliniken ihre IT-Sicherheit überprüft oder wollen dies kurzfristig tun. Und gut jedes zweite Krankenhaus plant Schulungen in diesem Bereich, jedes vierte sogar die Aufstockung des IT-Personals – so das Ergebnis der Studie „Digitalisierung in der Gesundheitswirtschaft“, für die im Auftrag der Personalberatung Rochus Mummert Healthcare Consulting 380 Führungskräfte an deutschen Krankenhäusern befragt wurden. Bislang hätten es viele Kliniken und Einrichtungen jedoch versäumt, digitale Wissensträger an ihre Häuser zu binden.

E-Health gehört zu den wichtigsten Trends

Dass gerade in diesem Bereich noch Potenzial für Verbesserungen besteht, zeigen auch die Ergebnisse einer Umfrage, die der Branchenverband Bitkom Anfang des Jahres veröffentlichte. „Was sind aus Sicht Ihres Unternehmens die maßgeblichen Technologie- und Markttrends, die den deutschen ITK-Markt in diesem Jahr prägen werden?“, fragte der Verband die Unternehmen im Bereich IT und Telekommunikation – analog zu den Vorjahren. E-Health schaffte es jahrelang nie unter die Top Ten, liegt jetzt jedoch schon auf dem 8. Platz. Überhaupt ist die IT-Sicherheit insgesamt der Spitzenreiter nach der Befragung.

Leider gilt auch hier wie in vielen anderen Bereichen: Je weiter ein Trend in die Mitte der Gesellschaft vorrückt, desto mehr gerät er ins Visier von Kriminellen. Beispiel Gesundheits-Apps: Immerhin 28 Prozent aller Bundesbürger – so ermittelte gerade das Marktforschungsunternehmen GfK – nutzen beim Joggen, Walken oder auf dem Weg zur Arbeit eine solche App, ein Fitness-Armband oder eine Smartwatch. Wir liegen damit sogar im weltweiten Vergleich weit vorn: Nur in China ist der Trend mit 45 % deutlich mehr verbreitet, und mit Brasilien und den USA (je 29 %) liegt Deutschland praktisch gleichauf.

"E-Health:

Doch bei der Sicherheit solcher Anwendungen gibt es noch einiges Verbesserungspotenzial. Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) deckten bei stolzen 91 % von rund 10.000 getestesten Android-Apps Sicherheitslücken und Datenschutzverletzungen auf. Getestet wurde mit dem Fraunhofer-eigenen Analyse-Werkzeug „App-Ray“, das Apps einer vollautomatischen Analyse unterzieht und mögliche Sicherheitsmängel aufdeckt. Hierzu forscht das Fraunhofer AISEC an statischen und dynamischen Analyseverfahren, mit denen sich sowohl typische Programmierfehler als auch unerwünschte Datenflüsse erkennen lassen.

Viele Apps weisen Sicherheitslücken auf, sagt das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit. (C) Fraunhofer AISEC
Viele Apps weisen Sicherheitslücken auf, sagt das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit. (C) Fraunhofer AISEC

Ein Großteil der Apps verschickt gleich beim Start ungefragt persönliche Daten. Allein beim Fraunhofer-Test wurden Datenübertragungen an 4358 Server in der ganzen Welt festgestellt, und stolze 7000 Apps kommunizieren unverschlüsselt mit der Außenwelt. Immerhin 26 % der Apps gaben zwar vor, eine sichere Verbindung zum Internet aufzubauen, schalten aber die Prüfung des Serverzertifikats explizit ab, so dass die Verbindung sehr leicht angreifbar ist.

Bei vielen Gesundheits-Apps lassen sich personenbezogene Daten abfangen

Das Ergebnis deckt sich mit einer Analyse des Zertifizierungsdienstleisters ePrivacy, der im letzten Jahr 730 Apps aus 29 Kategorien überprüft hat. Die wenigsten Apps nutzten SSL-Verschlüsselung oder boten eine Datenschutzerklärung. Und bei praktisch allen Apps ließen sich personenbezogene Daten abfangen (sogenannte Man-in-the-Middle-Attacken), wodurch im schlimmsten Fall lebensbedrohliche Situationen herbeigeführt werden könnten – etwa durch veränderte Vorgaben für die Einnahme von Medikamenten. Erschreckend war jedoch, dass bei vielen der untersuchten Sicherheitsmerkmale ausgerechnet E-Health-Apps deutlich schlechter abschnitten als Apps aus anderen Bereichen.

Trotz regelmäßiger Berichterstattung über Sicherheitsprobleme und auch vor dem Hintergrund der Cyber-Attacken auf medizinische Einrichtungen sehen die Patienten die Nutzung weniger kritisch: Viele befürworten die Sammlung von Gesundheitsdaten und den Einsatz von Big Data, wenn es ihnen konkrete Vorteile verschafft – das hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) ermittelt.

Bürger stehen E-Health positiv gegenüber

Zwei Drittel der Befragten sehen in Big Data zwar ein Risiko für die Privatsphäre, gleichzeitig sehen mehr als die Hälfte der Befragten große wirtschaftliche und gesellschaftliche Vorteile – insbesondere in den Bereichen Kriminalitätsbekämpfung und Medizin. Hier ist es in Pilotprojekten zum Beispiel gelungen, die Krebsfrüherkennung wesentlich zu verbessern.

Deshalb gehört zum Leistungsangebot des Fraunhofer SIT vor allem auch die Optimierung der IT-Sicherheit im medizinischen Bereich. Das Institut war beispielsweise an der Entwicklung der elektronischen Gesundheitskarte beteiligt.

Netzwerke gegen Cyber-Angriffe schützen

Aktuell beschäftigt man sich mit der „Automatisierten Netzwerksicherheit für Software-Defined Networks und Connected Clients“ („AutoSec“). Das Projekt integriert neue Schutzmechanismen in zentrale Netzwerk-Management-Systeme und bindet Endgeräte wie Workstations oder Laptops mit „dynamischen Sicherheitsregeln“ ein. AutoSec reagiert intelligent auf Bedrohungen: Breitet sich etwa ein Computerwurm in einem Netzwerk aus, verhindern die einzelnen Komponenten des Netzwerks seine Vervielfältigung. Die betroffenen Clients werden isoliert, die nicht infizierten Clients neu konfiguriert und gegen den Wurm immunisiert.

Damit Apps dem User nicht gefährlich werden, sollten Unternehmen Analysewerkzeuge einsetzen. (C) Fraunhofer SIT
Damit Apps dem User nicht gefährlich werden, sollten Unternehmen Analysewerkzeuge einsetzen. (C) Fraunhofer SIT

Ein spezialisiertes Testwerkzeug für App-Sicherheit hat das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) entwickelt: Mit dem Test-Framework „Appicaptor“ können Unternehmen automatisiert prüfen, ob Apps den eigenen IT-Sicherheitsvorschriften entsprechen. Denn ist es wirklich klug, die eigenen Mitarbeiter zum Beispiel die Facebook-App privat auf dem Firmen-Smartphone nutzen zu lassen, auf dem möglicherweise auch sicherheitsrelevante Daten gespeichert sind? Mit Hilfe des Appicaptor können Firmen entweder eine Whitelist oder eine Blacklist erstellen – also unbedenkliche oder bedenkliche Apps katalogisieren und dann entsprechend freigeben beziehungsweise sperren lassen.

Welche Apps dürfen Mitarbeiter auf ihren Firmen-Smartphones nutzen?

Das Fraunhofer AISEC wiederum, das mit dem eingangs erwähnten „App-Ray“ ebenfalls ein Analysewerkzeug für Apps entwickelt hat, bietet als Sicherheitsfilter für Unternehmen einen firmeneigenen App-Store an, der nur Anwendungen anbietet, die den Sicherheitsanforderungen des Unternehmens genügen. Wie das Analysetool funktioniert, verdeutlicht dieses vierminütige Video:

Bitte akzeptieren Sie YouTube-Cookies, wenn Sie dieses Video abspielen wollen und unsere Videos hier auf der Seite sehen. 
Wenn Sie akzeptieren, werden Sie auf Inhalte von YouTube zugreifen, die von uns inhaltlich stammen, aber von einem externen Dritten technisch angeboten werden.

Hier findet sich die YouTube privacy policy

Wenn Sie diesen Hinweis akzeptieren, wird Ihre Auswahl gespeichert und die Seite wird aktualisiert.

Doch trotz aller Initiativen für mehr IT-Sicherheit im Gesundheitsbereich ist eines gewiss: Cyber-Angriffe werden auch in Zukunft eine Bedrohung sein, auf die sich Wirtschaft, Staat und Gesellschaft einstellen müssen. Neben der Prävention sollte zum Risikomanagement einer Organisation oder eines Unternehmens ebenso die gründliche Vorbereitung gehören. Dabei sollte die Prämisse gelten, dass ein IT-Sicherheitsvorfall jederzeit eintreten und ein Cyber-Angriff erfolgreich sein kann.

Analog zum „nicht-virtuellen“ Katastrophenfall stellt sich die Frage, wie im Fall der Fälle vorzugehen ist. Durch eine professionelle Reaktion auf einen Vorfall können Folgeschäden wirksam minimiert werden – wenn man sich im Vorfeld mit dem Thema umfassend beschäftigt hat.

Speziell für medizinische Einrichtungen gibt es dazu Hilfestellung von kompetenter Seite: Mit der „Risikoanalyse Krankenhaus-IT“ zeigt das BSI auf, wie die IT-Abhängigkeiten kritischer Prozesse in Krankenhäusern analysiert werden können. Die Publikation steht auf der Webseite des Bundesamtes zum kostenlosen Download zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.