Der Feind in meinem (Spital-)Bett - infosec-health.ch · • Das IoT ist ein Konzept, das eine...

Folie 1© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019

Der Feind in meinem (Spital-)Bett

Prof. Dr. Peter E. Fischer

Information Security in Healthcare Conference 2019Rotkreuz, Dorfmattsaal06.06.2019

Hochschule Luzern – Informatik




1. Das IoT – Internet der Dinge – im Gesundheitswesen2. Wearables / Quantified-Self3. Geräte in Arztpraxen und Heimen4. Vernetzte Geräte in den Spitälern5. Schwachstellen / Sicherheitslücken6. Mögliche Verbrechen gegen die Gesundheit7. Massnahmen

Agenda



• “Der Feind in meinem Bett” / “Sleeping with the Enemy”• US-Spielfilm 1991 mit Julia Roberts• Damals noch “richtiges” Stalking mit physischer Gewalt• Heute ginge das Ganze auch aus der Ferne…

Zum grauenvollen Titel …

http://www.foxmovies.com.au/sleeping-with-the-enemy

http://www.foxmovies.com.au/sleeping-with-the-enemy



1. DAS IOT – INTERNET DER DINGE –IM GESUNDHEITSWESEN



Terminologie “Internet of Things”

• Das IoT ist ein Konzept, das eine Vernetzung von Gegenständenuntereinander sowie Gegenständen und Personen vorsieht

• Objekte aus dem realem Leben sollen eigenständig Informationenaustauschen und verarbeiten können – ohne dass der Mensch beider Eingabe von Informationen beteiligt ist

• Das Internet der Dinge soll die Informationsbeschaffung der Objekte automatisieren und den Alltag der Menschen vereinfachen

• Alltagsgegenstände, elektronische Geräte sowie die Vernetzungdieser Entitäten miteinander, mithilfe internetähnlicher Strukturen



• “Internet der Dinge”: Häufiger Chargon für Smartwatches, -Smartphones, kommunizierende Kühlschränke oder industrielle vernetzte Systeme o.ä.

• Schon vor dem IoT-Hype:• In diversen Branchen vernetzte Geräte und Systeme in

Betrieb • Grosses Feld von Geräten im Gesundheitswesen

• Die bereits vor dem IoT-Hype existierende Vernetzung wird gar nicht mehr wahrgenommen.

Gesundheitswesen? – Gesundheitswesen!



The “Internet of Everything”?Das Gesundheitswesen wird häufig ignoriert!

7, 04.06.2019



Das Schweizer Gesundheitswesen in der Presse

NZZ online, 28.05.2019

NZZ am Sonntag, 02.06.2019

Ein Konsortium von grossenSchweizer Firmen will die Macht über unsere intimstenDaten im Internet – und die Politik willigt ein. Mit der Anonymität im Netz werde es vorbei sein, sagen

Datenexperten.



2. WEARABLES / QUANTIFIED-SELF



• Überwachung der Vitalfunktionen im Alltag

• Selbst beschafft• Frei gehandelte Fitnessbänder, Schrittzähler, Smartwatches,

Blutdruckmessgeräte etc., nicht medizinisch zugelassen• Damit Funktionalität und Genauigkeit nicht gewährleistet• Begleit-Apps der Wearables (egal ob kostenlos oder -pflichtig)

zeichnen Daten auf und leiten diese weiter• Meist ausserhalb der Schweiz gespeichert, ohne Beachtung des

Datenschutzes, für Marketingzwecke missbraucht

Wearables - privat



• Überwachung der Vitalfunktionen im Alltag

• Von einer med. Fachperson ausgehändigt• Professionelle Geräte für den

medizinischen Gebrauch zertifiziert• Schwachstellen in der

Informationssicherheit dennoch möglich• Daten werden teils remote von

Fachpersonen kontrolliert• Speicherort Schweiz und

Übertragungssicherheit gewährleistet?

Wearables - professionell



• In der Regel nicht (permanent) mit Internet verbunden, können aber bis zu 15 Meter ferngewartet und parametrisiert werden

• Etliche Rückrufe wegen völlig unzureichender Sicherheit• Mögliche Personenschäden: grosse Ansammlung von Personen,

speziell Politiker oder Prominente

Wearables – Herzschrittmacher



• Netzwerk aus Anwendern und Anbietern von Methoden sowie Hard- und Softwarelösungen

• Z. B. umwelt- und personenbezogene Daten aufzeichnen, analysieren und auswerten

• Zentrales Ziel: Erkenntnisgewinn u. a. zu• persönlichen, gesundheitlichen, sportlichen, • aber auch gewohnheitsspezifischen Fragestellungen

“Quantified-Self”



3. ARZTPRAXEN UND HEIME



• Die meisten Geräte sind stand-alone, also (noch) nicht vernetzt …

• … trotz beginnender Digitalisierung in Form der elektronischen Erfassung, Speicherung und Verarbeitung von Patientendaten

• Künftig immer mehr Diagnose-und Behandlungsgeräte vernetzt und mit dem Internet verbunden

Noch eher konventionell: Arztpraxen

Tagesanzeiger: 22.03.16



• Laborgeräte, vom Hersteller überwacht und gewartet

• Notwendig: Remote-Zugang, häufig • ohne weitere Schutzmassnahmen• mit veralteten, unsicheren Protokollen

(wie Telnet oder FTP)• unzureichende Passwörter

• Künftig zunehmende Vernetzung in den Arztpraxen• Damit exponentieller Anstieg der Sicherheitslücken

und des Interesses für grössere Angriffe (economy-of-scale, auch für Kriminelle!).

Eher vernetzt: Laborgeräte



Ähnlich wie in den Praxen – Pflege- und Seniorenheime:• Vernetzung und Digitalisierung nicht weit fortgeschritten• Rückgrat der Datenverarbeitung sind PCs (evtl. vernetzt)• Besonders geringes Bewusstsein für Gefahren

aus dem Cyberspace und mögliche Gegenmassnahmen• Fokus aller medizinischen Fachpersonen ist Heilung und Pflege• Häufiger Personalmangel durch Kosteneinsparungen• Es muss bei hoher Qualität sehr effizient gearbeitet werden• Informationssicherheit wird als störend empfunden

Noch eher konventionell: Heime



4. VERNETZTE GERÄTE IN SPITÄLERN



• Diagnose-, Analyse- und Behandlungsgeräte sind heute vernetzt• Kontroll- und Überwachungsgeräte für Vitalfunktionen• Dosier- und Infusionspumpen, diverse Diagnosegeräte

(von EEG- und EKG-Geräten bis zu Röntgen-, Computer- oder Kernspintomographie-Systemen)

• Vielzahl an Analysegeräten in den medizinischen Labors• Vernetzung dieser Geräte (als Teil des Internet of Things) zur

Überwachung, Steuerung und Aufzeichnung innerhalb des Spitals• Fernwartung und Firmware-Updates durch die Hersteller• Remote-Zugänge: ein grosses Einfallstor für Cyberangriffe

Dichte Vernetzung in Spitälern



5. SCHWACHSTELLEN / SICHERHEITSLÜCKEN



• Viele Geräte: alter Firmware /Software-Stand

• Updates (auch für Sicherheitszwecke) bedeuten bisher langwierige und kostenintensive Re-Zertifizierung

• Beim PC selbstverständlich (Malware-Schutz, Updates, anspruchsvolle Passwörter und verschlüsselte Verbindungen)

• Nicht bei medizinischen Geräten in Spitälern

Alte Firm- und Software



Beispiele für Auswirkungen• Ungesicherte Herzschrittmacher

mussten herausoperiert werden• Etliche Spitäler vor 2 Jahren mit

“WannaCry” lahmgelegt• Verschlüsselungstrojaner in

Spitälern auch hier und jetzt• Bevorzugt: Medizinalgeräte mit

veraltetem und ungepatchtem Betriebssystem

• Staatliche, unterfinanzierte englische Spitäler stark von “WannaCry” betroffen

Einfaches Hacking



“Information Security in Healthcare” Konferenz im Juni 2018:• Demonstration, wie einfach und schnell eine Infusionspumpe zu

hacken ist: Telnet-Protokoll, kein richtiges Passwort – fertig!• IT-Beratungsfirma Recretix Systems nicht auf Medizintechnik und

deren Protokolle spezialisiert! • Parameter verstellen oder Anzeige manipuliert• Recretix-Geschäftsleiter Stefan Peter:

“Hack funktionierte viel schneller als erwartet”

https://youtu.be/4X3pDCwHgD4?t=60

Wirklich so einfach?

https://youtu.be/4X3pDCwHgD4?t=60



6. MÖGLICHE VERBRECHENGEGEN DIE GESUNDHEIT



• Gehackte Infusionspumpen können Überdosen verabreichen• Medikation abstellen, plausiblen Wert anzeigen• Patientendaten auslesen und missbrauchen• Erpressung: Schädigung von Patienten, Verkauf von Daten• Hohes Lösegeld, gravierender Imageverlust• Gehackte Medizinalgeräte: als Bots in einem Botnet missbraucht

Typische Gefahren – Spitäler sind erpressbar



• Veraltete Software, nicht gepatcht• Alte, unsichere Protokolle• Schwache Passwörter• Vielfalt und Vielzahl von Geräten in

einem gemeinsamen Netz: ungeahnte Möglichkeiten für Cyberkriminelle

• Kein Sicherheitsbewusstsein, auch nicht beim physischen Zugang

• Hohe Haftungssummen für Hersteller, deren Geräte als erstes befallen werden (sog. patient-zero)

Die Sicherheitslücken auf einem Blick



7. MASSNAHMEN



• Perimeter schützen (logisch und physisch): IT und Wachdienst• Ressourcen und Budget für professionellen Schutz gegen aussen• Prävention reicht nicht mehr:

professionelle "Detect and Response"-Dienste• Netztrennung: Geräte in möglichst kleine,

isolierte Netze stellen, um die Ausbreitung von Malware zu stoppen

• Geräte mit Remote-Zugriff: demilitarisierte Zone, nicht ins interne Netz

• Endgeräte auf sicheren Stand bringen

Mögliche Massnahmen



Was fehlt, ist der Blick über den Tellerrand – ohne diesen sehen wir harten Cybercrime-Zeiten entgegen.

FAZIT



Vielen Dank für die Aufmerksamkeit!

Fragen & Antworten

Hochschule Luzern – Informatik

Peter E. Fischer

www.hslu.ch/isp

http://www.hslu.ch/isp



Wer bin ich?

• Experimental-Physiker (Hochtemperatursupraleiter)

• Promotion im Forschungszentrum Erlangen (Siemens)

• 2.5 Jahre Projektleitung GSM-Entwicklung (Philips)

• 5 Jahre Technologie- und Innovationsmgmt (L&G)

• 5 Jahre Chief Information Security Officer (Siemens BT)

• 5 Jahre Head Corporate Knowledge Mgmt (Siemens BT)

• 8 Jahre Head Cross Functional Services (Credit Suisse)

• Seit März 2014: ISP Group, Studienleiter (HSLU-Informatik)

• 4 Jahre Präsident (Swiss Internet Security Alliance)



• 6 Departemente (Technik & Architektur, Wirtschaft, Informatik, Soziale Arbeit, Design & Kunst, Musik)

• Ca. 6’200 Studierende

• Schwerpunkt Informationssicherheit & Datenschutz• Aus- und Weiterbildungen• Forschungsprojekte• Dienstleistungsprojekte

Hochschule Luzern



• Jährliche Konferenz «Information Security in Healthcare»Website: www.infosec-health.ch

• Bachelor-Studiengänge in Information & Cyber Security, Informatik, Wirtschaftsinformatik, Int’l IT Management und Digital Ideation

• Master-Studiengänge in Informatik und Wirtschaftsinformatik

• Zwei MAS in Information Security

• Fünf CAS alleine in Information Security

• Sieben mehrtägige Fachkurse in Information Security

• Abend-Weiterbildungen• Fachbeiträge für (medizinische) Zeitschriften

Information Security in Healthcare

http://www.infosec-health.ch/



• Informative Webseite, Facebook-Seite und App mit verständlichen Sicherheitshinweisen und News (www.ebankingabersicher.ch / www.ebas.ch und www.facebook.com/ebankingabersicher)

• Leichtverständliche Kurse für Endkunden an verschiedenen Standorten in der ganzen Schweiz

• Zeitnahes Medien-Monitoring zum E-Banking mit Stellungnahmen und Datenbank der bearbeiteten Fälle

• Sicherheitsschulungen für Kundendienstmitarbeitende

Betreiber• Hochschule Luzern – Informatik

Dienstleistung «eBanking – aber sicher!»

http://www.ebankingabersicher.ch/

http://www.ebas.ch/

http://www.facebook.com/ebankingabersicher



• SISA hilft Ihnen, Malware-Infektionen zu erkennen und diese von Ihrem Computer zu entfernen.

• Webseite: www.swiss-isa.ch

Swiss Internet Security Alliance (SISA)

http://www.swiss-isa.ch/

Der Feind in meinem (Spital-)Bett - infosec-health.ch · • Das IoT ist ein Konzept, das eine...

Documents

Transcript of Der Feind in meinem (Spital-)Bett - infosec-health.ch · • Das IoT ist ein Konzept, das eine...