Anmelden


IoT-Sicherheit: Der wunde Punkt im Krankhaus

Seit Januar 2021 stellt die deutsche Bundesregierung im Rahmen des Krankenhauszukunftsgesetz drei Milliarden Euro für die Digitalisierung von Krankenhäusern bereit. Weitere 1,3 Milliarden kommen von den Ländern dazu. Das Ziel: ein umfassendes Investitionsprogramm für moderne Notfallkapazitäten, die Digitalisierung und nicht zuletzt Maßnahmen zur Steigerung der IT-Sicherheit. Insbesondere beim letzten Punkt ist die Dringlichkeit zum Handeln offensichtlich, denn Kliniken stehen immer öfter im Visier der Hacker – egal in welchem Land. Das Interesse der Angreifer richtet sich in dem Zusammenhang zunehmend auf IoT-Geräte. Der Grund: Das Internet der Dinge hat ein Sicherheitsproblem, das ihm quasi in die Wiege gelegt wurde. Ganz branchenunabhängig warnen Experten bereits seit Jahren vor entsprechenden Schwachstellen. Beispiele entsprechender Angriffsszenarien gibt es mittlerweile zuhauf: Vom Mirai-Botnet, das 2016 Internet-Größen wie Netflix, Twitter und Reddit ins Straucheln brachte, bis hin zur im Frühjahr 2021 aufgedeckten Kompromittierung von Verkada-Sicherheitskameras, die u.a. in Krankenhäusern zum Einsatz kommen.

Zunehmend in Gefahr: IoT-Geräte im Gesundheitswesen

Es ist stark davon auszugehen, dass entsprechende Angriffe auf IoT-Anwendungen im Gesundheitswesen künftig weiter zunehmen werden. Schließlich ist der enorme Nutzen vernetzter Sensoren für den diagnostischen Datenaustausch unbestritten. Marktbeobachter gehen davon aus, dass die IoT-Einführung im Gesundheitswesen bis 2028 eine jährliche Wachstumsrate (CAGR) von 25,9 Prozent erreichen wird. Somit erhöht sich jedoch automatisch auch die Angriffsfläche.

Hohe Anfälligkeit medizinischer Geräte

Da technische Probleme in der Medizintechnik zu lebensbedrohlichen Situationen führen können, verlassen sich Gesundheitsdienstleister wie Krankenhäuser und Kliniken oft auf teure, hochgradig angepasste Anwendungen und Geräte. Diese werden jedoch oft nur zögerlich mit Updates und Patches versorgt – aus Angst, dass dadurch die Funktionsweise der eingesetzten Komponenten eingeschränkt werden könnte. Hier zeigen sich Parallelen zum traditionellen Internet of Things. Während dort in der Regel eine benutzerdefinierte Software auf einer mehrere Jahre alten Linux-Variante läuft, werden bei medizinischen IoT-Geräten häufig veraltete Versionen von Microsoft Windows und Windows Server eingesetzt. Im letzten Jahr fanden Forscher beispielsweise heraus, dass 45 Prozent der medizinischen Geräte für die kritische BlueKeep-Windows-Sicherheitslücke anfällig waren. Microsoft erachtete diese als so schwerwiegend, dass es sogar Legacy-Patches für eigentlich seit Jahren nicht mehr unterstützte Versionen seines Betriebssystems veröffentlichte.

Grundsätzlich lassen sich sämtliche IoT-Sicherheitsprobleme auf drei Versäumnisse zurückführen:

  • fehlende Sicherheitsüberlegungen bereits während der Entwicklung
  • lückenhafte Kenntnisse und mangelnde Transparenz bei denjenigen, die IoT einsetzen, sowie
  • fehlende Verwaltung der Geräteaktualisierungen nach der Bereitstellung

IoT: Billig und gleichzeitig sicher?

Das erste Problem, die nachrangige Berücksichtigung von IT-Sicherheit bei der Entwicklung, lässt sich weitgehend damit begründen, dass sich die meisten IoT-Anwender vom Preis lenken lassen. Wenn das Augenmerk jedoch nur darauf liegt, ob eine Lösung die grundlegenden technischen Anforderungen erfüllt und dabei gleichzeitig günstig in der Beschaffung ist, fehlt den Herstellern der Anreiz, zusätzliche Ressourcen für die Verbesserung der Sicherheit ihrer Produkte aufzuwenden. In der Folge werden Geräte ausgeliefert, die über schwache und fest kodierte Passwörter verfügen sowie mit veralteter Software und auf Betriebssystemen laufen, denen selbst grundlegende Schutzmaßnahmen fehlen. Das lädt Cyberkriminelle förmlich dazu ein, die scheunentorgroßen Sicherheitslücken auszunutzen. Das Mirai-Botnet von 2016 florierte beispielsweise nicht dadurch, dass eine ausgeklügelte Zero-Day-Schwachstelle in IoT-Kameras ausgenutzt wurde. Vielmehr reichte es aus, eine Liste mit 61 gängigen Benutzernamen und Passwörtern an einer vom Gerätehersteller nicht abgesicherten Verwaltungsschnittstelle durchzuprobieren – von Aufwand kann hier keine Rede sein.

Herausforderung für Administratoren

Gleichzeitig stellt die Implementierung von IoT-Geräten für die Netzwerk- und Systemadministratoren auf Anwenderseite meist keine einfache Aufgabe dar: Sie müssen Geräte verwalten, für die entweder keine passenden Werkzeuge zur endpunktbasierten Gefahrenerkennung und -abwehr zur Verfügung stehen oder nur welche vorhanden sind, von deren Einsatz aufgrund eines möglicherweise (negativen) Einfluss auf die Funktionalität der IoT-Anwendung abgeraten wird. Darüber hinaus ist es nicht einfach, unautorisierte und/oder manipulierte IoT-Geräte (Rogue Devices), die Mitarbeiter wissentlich oder unwissentlich im Netzwerk einsetzen, überhaupt zu erkennen. Ein kompromittiertes Gerät ist für Cyberkriminelle in dem Fall das perfekte Mittel zum Zweck, um einen eigentlich geschützten Netzwerkperimeter ganz unbeobachtet zu überwinden.

Schwachstellen für die Ewigkeit?

Dass sich das Problem unsicherer IoT-Geräte von allein erledigt, ist kaum zu erwarten: Selbst wenn Forscher Sicherheitslücken in IoT-Geräten identifizieren und aufdecken, gestalten sich die Bereitstellung und Anwendung von Sicherheitsupdates oft schwierig bis unmöglich. Bei vielen IoT-Implementierungen fehlt ein langfristiges Wartungskonzept, ans Licht gebrachte offene Flanken bleiben oft über Jahre bestehen. Die Folgen sind desaströs: Letztes Jahr fanden Forscher des JSOF Schwachstellen in einer TCP/IP-Implementierung, die auf Hunderten von Millionen von IoT-Geräten im Zuge der Netzwerkverbindung Verwendung findet. Der Name: Ripple20. Schwachstellen wie diese können bei herkömmlichen Endgeräten und Systemen in der Regel durch ein einfaches Software-Update behoben werden. Bei eingebetteten IoT-Systemen erfordert das Einspielen von Updates im Vergleich dazu einen ungleich höheren Aufwand.

IoT: Trotz allem weiter auf dem Vormarsch

Trotz dieser Sicherheitsbedenken wird sich das IoT im Gesundheitswesen weiter durchsetzen, und das aus gutem Grund: Über das Netzwerk verbundene medizinische Geräte ermöglichen dem medizinischen Personal nicht nur schnellere und genauere Diagnosen. Sie sorgen vor allem für eine höhere Effizienz und das in einer Zeit, in der das globale Gesundheitssystem – Stichwort Coronavirus – ohnehin unter enormem Druck steht. Die Akzeptanz des IoT wird weiter zunehmen, da die Vorteile die Sicherheitsbedenken überwiegen. Aber das darf keine Ausrede dafür sein, die Gefahren einfach zu ignorieren. Auch neue Technologien wie diese lassen sich mit einem hohen Maß an Sicherheit erfolgreich implementieren. 

Eine IoT-Richtlinie erhöht den Schutz

Gesundheitseinrichtungen ist dringend angeraten, proaktiv eine IoT-Richtlinie festzulegen, die dem Thema Sicherheit beim IoT-Einsatz nachhaltig Rechnung trägt. Dabei gilt es im Einzelfall abzuwägen, ob es unter IT-Security-Gesichtspunkten sinnvoller wäre, eine IoT-Lösung komplett zu verbannen oder ob es gute Gründe dafür gibt, beispielsweise ein Gerät mit einer veralteten Windows-Version weiter zu benutzen – selbst wenn dieses in puncto Sicherheit die sprichwörtliche Archillesferse darstellt. Die umfassende Auseinandersetzung mit dem individuellen Business Case einer IoT-Implementierung markiert einen wichtigen ersten Schritt auf dem Weg zur Erstellung einer soliden Richtlinie. Ein Teil dieses Prozesses besteht jedoch auch darin, zunächst eine Bestandsaufnahme vorzunehmen. Der Einsatz von IoT-Geräten lässt sich erfahrungsgemäß nur schwer überblicken. Genau hier entfalten fortschrittliche Werkzeuge zur Netzwerkvisualisierung ihre Wirkung. Diese können selbst die dunkelsten Ecken eines Netzwerks durchkämmen, um Geräten auf die Spur zu kommen, die bisher möglicherweise immer übersehen wurden. Ein solcher Gesamt-Scan sollte nicht nur einmalig, sondern regelmäßig erfolgen: Es gilt zu verinnerlichen, dass Transparenz und Verlässlichkeit auf kontinuierlicher Beobachtung basieren.

Zero-Trust-Ansatz auf IoT ausweiten

Vor dem Einsatz von IoT sollten Unternehmen genau überlegen, wie und in welchem Umfang sie diese Technologie überhaupt nutzen wollen. Hier kann es hilfreich sein, den Zero-Trust-Ansatz zu verfolgen: Im Wesentlichen geht es bei diesem Sicherheitskonzept darum, keinem Gerät im Netzwerk zu vertrauen und jedes stets aufs Neue zu überprüfen. Wer Abstand davon nimmt, das interne Netzwerk automatisch als „sicheren Hafen“ zu betrachten, ist bereits auf dem richtigen Weg. Davon ausgehend sollten Überlegungen angestellt werden, welche Sicherheitsvorkehrungen notwendig sind, um das von einem bereits im Netzwerk befindlichen böswilligen Benutzer oder Endpunkt ausgehende Risiko im Zaum halten zu können. 

Für das Internet der Dinge bedeutet dies, dass entsprechende Geräte in Netzwerksegmenten zum Einsatz kommen, die von anderen Systemen und insbesondere von den wichtigsten Ressourcen weitgehend abgekapselt sind. Falls fachliche Gründe dafür sprechen, ein potenziell unsicheres, ungepatchtes System zu behalten, gilt es dieses auf Netzwerkebene zu schützen, indem der Zugang auf spezifische Ports und Protokolle beschränkt wird, die für die Funktion unbedingt notwendig sind. Solche Verbindungen sollten zudem konsequent auf potenzielle Auffälligkeiten überprüft werden, um Netzwerkangriffe und Malware frühzeitig erkennen zu können. Gleichzeitig kommt es darauf an, regelmäßige Schwachstellen-Scans und Sicherheitsbewertungen für alle IoT-Geräte im Netzwerk zu etablieren. Nur dann wissen Unternehmen, wogegen sie sich schützen müssen und werden nicht von etwas überrascht, das bislang unbemerkt irgendwo schlummerte.

Mehr Transparenz = mehr Sicherheit

Last but not least sollten bestehende Visualisierungsmöglichkeiten umfangreich ausgeschöpft werden. Je größer die Transparenz, umso höher die Sicherheit. Selbst wenn sich direkt auf einem Endgerät keine Schutzmaßnahmen einrichten lassen, gibt es genügend technologische Unterstützung, um verdächtige Aktivitäten zu identifizieren und Alarm zu schlagen. Mit Lösungen, die Eingriffe ins Netzwerk erkennen und abwehren, werden auch IoT-basierte Einfallstore ins Zentrum der Betrachtung gerückt und können in Folge ausgemerzt werden. Wer jedoch nur auf Prävention setzt und die „Detection and Response“-Möglichkeiten vernachlässigt, wird es wesentlich schwieriger haben, auf solche Vorgänge zu reagieren.

Die IoT-Vorteile absichern

Das Internet der Dinge kann nur dann vollen Mehrwert entfalten, wenn die Sicherheit nicht vernachlässigt wird. Für die Auseinandersetzung mit den Risiken und die Einführung einer starken IoT-Richtlinie ist es dabei nie zu spät. Mit der richtigen Planung und Herangehensweise, gepaart mit starken technischen Kontrollen, lässt sich das Beste aus den neuen Möglichkeiten der Vernetzung herausholen, ohne die damit einhergehende Gefahr aus dem Blick zu verlieren.

Autor: Marc Laliberte, Technical Security Operations Manager, WatchGuard Technologies