Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Es wurde festgestellt, dass ausgemusterte medizinische Geräte zahlreiche Informationen zu Gesundheitseinrichtungen enthalten
Forscher haben herausgefunden, dass Infusionspumpen, die auf Sekundärmärkten wie eBay verkauft werden, immer noch jede Menge vertrauliche Informationen über die Krankenhäuser enthalten, denen sie einst gehörten.
Der leitende Sicherheitsforscher von Rapid7, Deral Heiland, und mehrere andere untersuchten 13 Infusionspumpenmarken wie Alaris, Baxter und Hospira und fanden Zugangsdaten und Authentifizierungsdaten ihrer Vorbesitzer. Bei den Maschinen handelt es sich um lebenswichtige Geräte, die neben Krankenhausbetten stehen und Flüssigkeiten, Medikamente oder Nährstoffe in das Kreislaufsystem eines Patienten leiten.
Die Untersuchung wirft Licht auf ein anhaltendes Problem im Bereich medizinischer Geräte: die kritischen gespeicherten Daten, die auf Infusionspumpengeräten verbleiben und vor der Deaktivierung nicht ordnungsgemäß gelöscht werden. Die Geräte werden oft auf Zweitmärkten verkauft, wenn Krankenhäuser sie aufrüsten oder durch neuere Modelle ersetzen.
Acht der 13 untersuchten Geräte enthielten vertrauliche Informationen – was laut Heiland ein Beweis dafür war, dass einige tatsächlich ordnungsgemäß von Daten bereinigt wurden, bevor sie auf Websites wie eBay verkauft wurden.
Die auf den meisten Geräten hinterlassenen Informationen würden jemandem WLAN-Passwörter bieten, die bei medizinischen Organisationen in den USA mit hoher Wahrscheinlichkeit noch gültig sind
„Es wird schwierig, Beschränkungen dafür festzulegen, was online verkauft werden darf und was nicht. Wie würde der Markt – zum Beispiel eBay – dies überwachen, um festzustellen, ob Geräte gelöscht wurden oder nicht?“ Heiland sagte gegenüber Recorded Future News.
„Ich glaube, in diesem Fall liegt die Verantwortung bei beiden Parteien. Erstens sollten Anbieter eingebetteter Medizintechnik eine einfache und gut dokumentierte Methode zur Reinigung der Geräte vor ihrer Außerbetriebnahme und Weitergabe bereitstellen. Zweitens sollten medizinische Organisationen, die diese Technologien nutzen, Prozesse und Verfahren (von der Wiege bis zur Bahre) implementieren, die sicherstellen, dass die Geräte ordnungsgemäß von Daten befreit werden, bevor sie außer Betrieb genommen und verkauft oder an eine andere Partei übertragen werden.“
Infusionspumpen geben seit langem Anlass zur Sorge für Cybersicherheitsexperten und -anbieter, die mehr als ein Jahrzehnt damit verbracht haben, ihre Sicherheit zu verbessern. Das FBI warnte im September, dass Schwachstellen in den Geräten Tür und Tor für Cyberangriffe offen ließen.
Shawn Surber, Senior Director und Gesundheitsstratege beim Cybersicherheitsunternehmen Tanium, sagte, Gesundheitseinrichtungen „sollten bei der Entsorgung von Geräten genauso diszipliniert vorgehen wie bei biologischem Material.“
„Szenarien wie dieses kommen nur allzu häufig vor, da medizinische Pumpen und andere Peripheriegeräte oft als Angriffsvektor übersehen werden“, sagte er. „Die Offenlegung interner Anmeldeinformationen und Schlüssel für drahtlose Netzwerke könnte leicht dazu führen, dass ein Angreifer internen Zugriff auf ein Netzwerk erhält und andere anfällige Geräte in diesem Netzwerk ausnutzt. Von dort aus könnte der Angreifer leicht Malware oder Ransomware verbreiten oder stillschweigend persönliche Gesundheitsinformationen [PHI] sammeln und exfiltrieren.“
Ein Angriff dieser Art würde eine große physische Nähe zu einem Ziel erfordern, könnte laut Surber jedoch besonders schädlich sein, „da der Angreifer in der Lage wäre, PHI auf seinem eigenen Gerät zu exfiltrieren, anstatt andere Mechanismen zu verwenden, die mit größerer Wahrscheinlichkeit abgefangen werden.“ durch Netzwerksicherheitslösungen.“
Mehrere der im Bericht von Rapid7 genannten Infusionspumpenhersteller antworteten nicht auf Anfragen nach Kommentaren.
Ein Sprecher von Becton, Dickinson and Company – dem Unternehmen hinter der Marke Alaris für Infusionspumpen – sagte, dass die auf BD Alaris Systems vorhandenen Daten „durch im System vorhandene Kontrollen und die Einhaltung branchenüblicher Best Practices für die Sicherheit in Bezug auf Zugriffskontrolle, Identifizierung und Autorisierung geschützt werden.“ , Personalsicherheit und der physische Schutz von Vermögenswerten.“
Die im Bericht dokumentierten Probleme „wurden bereits BD-Kunden mitgeteilt und werden durch Ausgleichskontrollen im neuesten BD Alaris-Infusionssystem behoben oder gemildert“, sagte der Sprecher.
„Latente Daten über veraltete medizinische Geräte, die nicht ordnungsgemäß außer Betrieb genommen wurden, sind in der gesamten Branche ein bekanntes Problem. BD hat 2016 ein Produktsicherheitsbulletin zu den Restdaten des BD Alaris-Systems herausgegeben, um auf dieses Problem aufmerksam zu machen und Kunden Empfehlungen zum Schutz von Patientendaten zu geben.“
Der Sprecher fügte hinzu, dass das Unternehmen in den letzten Versionen seiner Software zusätzliche Funktionen eingeführt habe, die den Kunden die Datenbereinigung erleichtern.
Darüber hinaus wurden mehrere White Papers, Offenlegungen und Dokumente veröffentlicht, in denen Kunden dazu aufgefordert werden, historische Protokolldaten zu löschen, bevor sie die Systeme außer Betrieb nehmen oder die Geräte zwischen den Einrichtungen bewegen.
Das Unternehmen stellte fest, dass eine andere Cybersicherheitsorganisation im Gesundheitswesen, der es angehört, dieses Jahr einen Leitfaden darüber veröffentlicht hat, wie Krankenhäuser und Gesundheitseinrichtungen veraltete Technologien wie Infusionspumpen besser verwalten können.
Das International Medical Device Regulators Forum engagiert sich auch stark in der Harmonisierung globaler Medizinproduktevorschriften und Herausforderungen wie schlecht ausgemusterten Geräten, die in neue Einrichtungen transferiert werden, fügte der Sprecher hinzu.
Die Forscher von Rapid7 sind jedoch der Meinung, dass vertragliche Vereinbarungen unterzeichnet werden sollten, die den Prozess zum Löschen von Daten von Geräten regeln.
Surber stimmte zu und sagte, dass die Verantwortung für die Löschung der Geräte am Ende ihrer Nutzung in allen Vereinbarungen zwischen dem Krankenhaus und dem Gerätedienstleister ausdrücklich festgelegt werden müsse.
John Gallagher, Vizepräsident des Internet-of-Things (IoT)-Sicherheitsunternehmens Viakoo Labs, stellte fest, dass medizinische IoT-Geräte typischerweise außerhalb des IT-Personals einer Organisation verwaltet und betrieben werden.
„Ob es um Cyberhygiene, den richtigen Netzwerkaufbau oder, wie in diesem Fall, um die Bereinigung und Außerbetriebnahme von Geräten geht, es handelt sich um neue Fähigkeiten für diese Teams. Dem Problem sollte durch eine bessere teamübergreifende Koordination oder Schulung (oder eine Kombination davon) begegnet werden“, sagte er.
„Während dieses Beispiel zeigte, dass Netzwerkinformationen preisgegeben wurden, könnte es sich dabei genauso gut um personenbezogene Daten handeln. Die rechtlichen und finanziellen Auswirkungen sollten Unternehmen dazu veranlassen, sicherzustellen, dass sie über die richtigen Prozesse verfügen, um die Veröffentlichung dieser Daten zu verhindern.“
Jonathan Greig ist Breaking News Reporter bei Recorded Future News. Jonathan ist seit 2014 weltweit als Journalist tätig. Bevor er nach New York City zurückkehrte, arbeitete er für Nachrichtenagenturen in Südafrika, Jordanien und Kambodscha. Zuvor befasste er sich mit Cybersicherheit bei ZDNet und TechRepublic.