IT-Sicherheitsrisiko Krankenhaus

Bei einem Drittel aller deutschen Krankenhäuser gibt es Cybersecurity-Schwachstellen, die zu einem nationalen Sicherheitsrisiko werden können. Zu diesem Ergebnis kommt eine Studie von drei IT-Sicherheitsexperten aus Deutschland und Österreich für die CyCon-Konferenz der NATO, die aus Pandemiegründen vom 25. bis 28. Mai 2021 virtuell stattfinden wird.

Johannes Klick von Alpha Strike Labs, Robert Koch von der Universität der Bundeswehr und Thomas Brandstetter von Limes Security haben die Ergebnisse unter dem Titel „Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic” vorab veröffentlicht. Die Studie befindet sich im Review Prozess und hat die Sicherheitslage von im Internet öffentlich zugänglichen Systemen und Informationen von mehr als 1500 deutschen Krankenhäusern untersucht. 32 Prozent der analysierten Dienste wurden in unterschiedlichem Ausmaß als verwundbar eingestuft. 36 Prozent aller untersuchten Krankenhäuser weisen Angriffspunkte auf. Insgesamt wurden mehr als 900 kritische Schwachstellen identifiziert.

Auffallend: Krankenhäuser, die nach der Einstufung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur kritischen Infrastruktur (KRITIS) gehören, weisen eine erkennbar höhere Anzahl an Schwachstellen aufweisen als kleinere Krankenhäuser. Entgegen der Erwartung wird die IT-Sicherheit bei den zu KRITIS gehörenden Kliniken mit mehr als 30.000 vollstationären Behandlungen/Jahr offensichtlich nicht professioneller gehandhabt.

Insgesamt wurden mithilfe des Distributed Cyber Recon System (DCS) von Alpha Strike Labs, das bereits auf dem CCCamp 2019 vorgestellt wurde, 1.483 GB Daten aus 89 verschiedenen globalen Internetscans ausgewertet. Damit konnten 1.555 deutsche Krankenhäuser erfasst werden. Bei der Angriffsoberflächenanalyse wurden mehr als 13.000 Service-Banner der Krankenhäuser zur Versionsidentifikation und anschließender CVE-basierter Schwachstellenidentifikation untersucht. 32 Prozent aller erreichbaren Netzwerkdienste waren schwachstellenbehaftet. So sind unter anderem immer noch sehr alte Windows 2003 Server im Einsatz, die schon seit 2015 keine Sicherheitsupdates mehr von Microsoft erhalten.

„Die deutschen Krankenhäuser stehen vor zentralen Herausforderungen im Bereich der kritischen IT-Infrastruktur. Es gibt immer noch eine hohe Zahl veralteter, manchmal proprietärer Systeme, die nur schwierig patchbar sind, sei es aufgrund von erforderlichen Re-Zertifizierungen oder dem Support-Ende von Software. Dem stehen sehr begrenzte Mittel für die IT-Sicherheit gegenüber”, so Mitautor Robert Koch. Der deutsche Gesundheitssektor biete im Jahr 2020 trotz erhöhter Kritikalität und verstärkter Regulierungsbestrebungen zahlreiche sichtbare Angriffsflächen. Aus Sicht des nationalen Risikomanagements müsse die Aufklärungsarbeit im Bereich IT-Security für KRITIS-Organisationen deutlich verstärkt werden.

Studie: https://arxiv.org/abs/2101.07912 (Website der Cornell Universität New York)

 

Zurück