Nicht nur Kommunikation und Verwaltung, auch der Gesundheitssektor wird zunehmend elektronisch. Die Daten der Bürger und Patienten verweilen nicht mehr nur in Aktenordnern von Ärzten und Ämtern, sondern liegen auch auf Plastikkarten und Servern verwahrt. Auch Geräte, die am und im Patienten eingesetzt werden, sind zunehmend vernetzt.

Der Vorstoß in die elektronische Sphäre birgt jedoch Risiken, mit denen sich Staat, Dienstleister und Hersteller auseinandersetzen müssen. Und das dringend. "Ich habe noch nie eine Industrie mit mehr klaffenden Sicherheitslücken gesehen", meint Computerwissenschaftler Avi Rubin vom Information Security Institute der Johns Hopkins University. "Wäre unsere Finanzindustrie so wie der Gesundheitssektor, würde ich mein Geld in einer Matratze unter dem Bett verwahren."

Triviale Schwachstellen

Im Vergleich zu Banken oder Militäreinrichtungen gab es bislang nur wenige Angriffe auf Gesundheitseinrichtungen. Beim US Department of Homeland Security macht man sich aber zunehmend Sorgen, dass dies nicht mehr lange so bleiben dürfte. Dem schließen sich auch verschiedene Wissenschaftler an. Immerhin tauchen ständig trivial scheinende Schwachstellen auf, die in anderen Sektoren seit Jahren kein Thema mehr sind, wie die Washington Post berichtet.

Technologie und Arbeitskultur

Die Probleme liegen einerseits in der fehlenden Behebung von Softwareproblemen alternder Technologie und einer Kultur, in der Ärzte und anderes Personals grundlegende Sicherheitsmechanismen wie Passwörter zugunsten komfortableren Arbeitens umgehen.

Kein Wunder also, dass ein Forscher herausfand, dass sich das System, mit dem im US-Bundesstaat Oklahoma Rezepte vergeben werden, leicht von unautorisierten Personen übernehmen lässt. OpenEMR, ein quelloffenes System zur Verwaltung von Patientenakten, welches das Peace Corps weltweit verwendet wollte, weist ebenfalls große Sicherheitslecks auf, die es zu einem leichten Ziel von Hackern machen.

Sammelaccount

Das medizinische Zentrum der University of Chicago wiederum gewährte neuen Studenten Zugriff auf Lernmaterial und andere Unterlagen via Dropbox über einen einzigen Account, dessen Username und Passwort online in einem Handbuch abrufbar war.

Die Umsetzung, die eigentlich die Zusammenarbeit unter den Mitarbeitern hätte bestärken sollen, war das perfekte Ziel für einen Angriff per Social Engineering und ein Ansatzpunkt für weitere Attacken, etwa durch das Hochladen von mit Malware versuchten Dokumenten. Erst das Interesse von Journalisten führte in den drei Fällen zu Änderungen.

Im vergangenen März brach ein Hacker in die Server des Utah Health Departments ein und konnte sich Zugang zu den Datensätzen von 780.000 Menschen verschaffen, die für das Medicaid-Programm registriert sind. Ihm gelang es, eine unbestimmte Anzahl dieser Datensätze zu entwenden.

Hinter der Zeit

Staat und Behörden halten mit der Technik nicht Schritt. Die amerikanische Food and Drug Administration (FDA) hat zuletzt 2005 Cybersecurity-Richtlinien veröffentlicht. Manche der von der FDA abgesegneten Systeme, die von den Spitälern eingesetzt werden, sind mittlerweile veraltet und lassen sich auch nicht mehr aktualisieren. Gleichzeitig empfiehlt die Behörde, sich von den Herstellern der jeweiligen Systeme in Sicherheitsfragen beraten zu lassen.

Zugriff auf Glukosemesser und Herzschrittmacher

Bestehende Lücken bringen aber nicht nur die Daten der Patienten in Gefahr, sondern im Extremfall auch die Patienten selbst. Im Juli konnte ein Sicherheitsforscher mit einer spezialisierten Suchmaschine drahtlose Glukosemesser aufspüren, die ans Internet angebunden und offen für Hacking sind.

Wie pressetext berichtet, ist es auch möglich, bei einem implantierten Herzschrittmacher den Defibrilator aus einer Distanz von bis zu zehn Metern fernauszulösen. Der 830 Volt starke Schock ist damit eine potenziell tödliche Waffe, deren Einsatz als solche sich vermutlich kaum nachweisen lässt.

Konsortium soll Maßnahmen setzen

Im Juli hat ein Konsortium aus Spitälern, Versicherern, Apotheken, Pharmafirmen und staatlichen Behörden in den USA die Health Information Trust Alliance ins Leben gerufen. Diese soll künftig auf Vorfälle und Sicherheitsprobleme im Cybersecurity-Bereich reagieren und Abwehrmaßnahmen gegen "Cyberkriminalität, Cyberspionage und Cyberaktivismus" koordinieren.

Laxer Umgang mit Sicherheit

Es benötigt jedoch mehr als aktuelle Hard- und Software, um die potenziellen Gefahren einzudämmen. Rubin hat vor drei Jahren damit begonnen, die Systeme verschiedener großer Spitäler und Kliniken in Vor-Ort-Besuchen einer Begutachtung zu unterziehen. Dabei stieß der Forscher auf teils schlimme Zustände.

In einem Spital etwa nutzten Ärzte und das andere Personal die gleichen Rechner, um sowohl auf das Intranet als auch auf das Web zuzugreifen. Laut Rubin eine "Pipeline für Angreifer in sensible Netzwerke". Eine Krankenschwester war außerdem beauftragt, einen Arzt ständig auf diversen PCs einzuloggen, so dass er dies nicht mehr tun musste.

Die Folge: Sie ging durch die Räume und loggte sich im Namen des Mediziners ein, während die anderen Rechner, auf welchen er bereits angemeldet war, unbeaufsichtigt blieben.

Herausforderung Umstellung

In den USA wird nach wie vor großflächig auf elektronische Patientenakten umgerüstet. Ihre Einführung im Rahmen des "American Recovery and Reinforcment Act" war eine der ersten Maßnahmen zur Umsetzung der Gesundheitsreform der Obama-Regierung. Sicherheitsrichtlinien gibt es jedoch nur wenige, die unter dieser Förderung eingeführten Systeme sind teilweise sehr anfällig gegenüber Angriffen, selbst durch weniger gewiefte Hacker.

Vom zuständigen Koordinator, Farzad Mostashari, heißt es nun, dass man gemeinsam mit den Herstellern "wichtige Schritte" unternommen hat, um elektronische Gesundheitsakten besser abzusichern. Dazu gehört unter anderem die Verschlüsselung der Daten auf Laptops, auf denen mit diesen Systemen gearbeitet wird.

Beim bereits genannten OpenEMR, ebenfalls ein vom Ministerium zertifiziertes System, verspricht man, Lücken zu beheben, sobald sie bekannt werden. Und laut einem Sicherheitsforscher, der sich dem Problem gemeinsam mit mehreren Whitehat-Hackern gewidmet hat, gibt es hunderte Anfälligkeiten. Die Entwickler verweisen jedoch auch darauf, dass deren Nutzung nur erfahrenen Angreifern gelingen könnte. Zudem fordert man eine Ausweitung der "unzureichenden" Zertifizierungsstandards. (red, derStandard.at, 27.12.2012)