Article
Angriffs- und Verteidigungssimulationen am Beispiel eines virtuellen Krankenhausnetzwerks
Search Medline for
Authors
-
Thomas Schrader
- Technische Hochschule Brandenburg, Brandenburg an der Havel, Germany
-
Michael Pilgermann
- Technische Hochschule Brandenburg, Brandenburg an der Havel, Germany
| Published: | September 24, 2021 |
|---|
Outline
Text
Einleitung: Die Digitalisierung und damit verbundene Vernetzung von medizinischen Geräten steigt stetig an und führt zu neuen Herausforderungen im Rahmen der IT-Sicherheit des stationären Gesundheitswesens. Die Gesundheitsbranche war gemäß einer Untersuchung von 2019 weltweit am zweithäufigsten von Cyberangriffen betroffen [1], [2]. Im Jahr 2020 wurden in Deutschland über 43 Cyberangriffe auf Gesundheitsdienstleister gemeldet [3]. Dabei wurden am häufigsten DDoS Attacken, Ransomware Angriffe und Malware/Bot-Angriffe eingesetzt. Eine Weiterentwicklung der Ransomware-Angriffe beinhaltet die Exfiltration von Patientendaten [4]. Eine intensive Untersuchung der Netzwerke inklusive der medizinischen Geräte im stationären Gesundheitssektor ist deshalb unabdingbar.
Methodik: An der TH Brandenburg wird ein virtueller Zwilling eines Krankenhauses inklusive der Simulation von netzwerkfähigen medizinischen Geräten entwickelt. Auf der Basis der eingesetzten Protokolle und Schnittstellen können unterschiedliche Szenarien und Anwendungsfälle simuliert werden. Die Untersuchungen beziehen sich auf verschiedene OSI-Layer und können ein gesamtheitliches Lagebild aktueller Bedrohung darstellen. In der ersten Phase werden verschiedene Angriffsvektoren gemäß Mitre Att&ck Matrix simuliert und deren Auswirkungen ausgewertet [5]. Darauf aufbauend werden in einer zweiten Phase Verteidigungs- und Detektionstechniken eingesetzt, um die Angriffe zu erkennen [6], [7], [8]. Als dritte Phase werden forensische Verfahren und Prozesse untersucht, die nach einem erfolgreichen Cyberangriff die Aufklärung signifikant unterstützen können.
Ergebnisse: Am Ende einer Phase werden die gewonnen Daten analysiert und interpretiert. Schwerpunkte sind dabei die medizinischen Geräte, deren Verhalten und welche Verbesserungsmöglichkeiten bestehen. Aufgrund der begrenzten finanziellen Ressourcen und der steigenden gesetzlichen Anforderungslage, werden in den Szenarien bevorzugt Techniken und Programme aus dem Open-Source Bereich berücksichtigt. Bisherige Forschungen und Studien lassen erwarten, dass Schwachstellen in der Anbindung der medizinischen Geräte und auch im Zusammenhang mit den Kommunikationsprotokollen HL7/FHIR [9] und DICOM [10] gefunden werden.
Diskussion: Der Aufbau eines virtuellen Zwillings einer Krankenhausinfrastruktur ist eine geeignete Strategie, um verschiedene Angriffsszenarien und Schadenereignisse zu simulieren. Besondere Bedeutung haben die netzwerkfähigen medizinischen Geräte [11]. Bedingt durch die Vielfalt der unterschiedlichen Integrationsmöglichkeiten dieser Geräte sind die möglichen Angriffsformen vielfältig. Aus Sicht der Hersteller sowie der Krankenhäuser steigen aber die Anforderungen, die durch die Umsetzung von Branchenspezifischen Standards (B3S) [12] gegeben und teilweise gesetzlich verankert sind [13]. Es ist wichtig, auf der einen Seite die Elemente und Strategien von sicheren IT-Infrastrukturen zu beschreiben. Auf der anderen Seite müssen neue Angriffsszenarien erforscht werden, bzw. aktuelle Entwicklungen verfolgt werden [14]. So ist es möglich, neue Impulse hinsichtlich der Weiterentwicklung bestehender Normen (B3S) zu geben. Aus den Analysen lassen sich auch Schlussfolgerungen bezüglich der operativen und strategischen Finanz- und Personalplanung für die Wartung und Sicherung einer sicheren IT-Struktur in medizinischen Einrichtungen ziehen.
Schlussfolgerung: Angriffssimulationen im Forschungskontext auf bestehende Krankenhausnetzwerke sind aufgrund der möglichen realen Auswirkungen auf Patienten nicht durchführbar. Eine Untersuchung eines virtuellen Zwillings einer IT-Infrastruktur mit den typischen Komponenten eines Krankenhauses gibt Aufschluss über potenzielle Risiken und zu erwartende Auswirkungen auf den täglichen Betrieb. Auf Basis der Ergebnisse können Erkenntnisse abgeleitet werden, die vor zukünftigen Angriffen schützen, die Sicherheit der medizinischen Geräte für die Zulassung verbessern oder mindestens die Folgen eines Angriffes abmildern können. Die gewonnenen Forschungsergebnisse sind Ausgangspunkt für eine Plattform zur Cybersicherheit im Krankenhaus als Cyber Threat Intelligence Center.
Die Autoren geben an, dass kein Interessenkonflikt besteht.
Die Autoren geben an, dass kein Ethikvotum erforderlich ist.
Literatur
- 1.
- medical - Büro für Arbeit & Umwelt Service. Cyberangriffe im Gesundheitswesen weit verbreitet [Internet]. 2021 [zitiert 29. April 2021]. Verfügbar unter: https://www.service-medical.de/cyberangriffe-im-gesundheitswesen/
- 2.
- Bundesamt für Sicherheit in der Informationstechnik. Die Lage der IT-Sicherheit in Deutschland 2020 [Internet]. [zitiert 3. August 2021]. Verfügbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.html?nn=132646
- 3.
- Mehr Cyberangriffe auf Krankenhäuser [Internet]. aerzteblatt.de. 2020 [zitiert 29. April 2021]. Verfügbar unter: https://www.aerzteblatt.de/nachrichten/118595/Mehr-Cyberangriffe-auf-Krankenhaeuser
- 4.
- Stark J. Ransomware: Cyberkriminelle fordern immer mehr Lösegeld [Internet]. 2021 [zitiert 29. April 2021]. Verfügbar unter: https://computerwelt.at/news/ransomware-cyberkriminelle-fordern-immer-mehr-loesegeld/
- 5.
- MITRE ATT&CK®. Enterprise Matrix [Internet]. [zitiert 3. August 2021]. Verfügbar unter: https://attack.mitre.org/matrices/enterprise/
- 6.
- Bundesamt für Sicherheit in der Informationstechnik. Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen [Internet]. [zitiert 3. August 2021]. Verfügbar unter: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/PDCA/PDCA.html?nn=132646
- 7.
- Khraisat A, Gondal I, Vamplew P, Kamruzzaman J. Survey of intrusion detection systems: techniques, datasets and challenges. Cybersecurity. 2019 Jul 17;2(1):20.
- 8.
- Vielberth M, Pernul G. A Security Information and Event Management Pattern. In: SugarLoafPLoP’18, 2018 November 20-23; Valparaíso, Chile. [zitiert 3. August 2021]. Verfügbar unter: https://www.hillside.net/sugarloafplop/2018/program/papers/GroupA/9.4.pdf
- 9.
- HL7. Getting Started with FHIR [Internet]. 2021 [zitiert 29. April 2021]. Verfügbar unter: http://hl7.org/fhir/modules.html
- 10.
- DICOM Standard [Internet]. Current Edition. 2021 [zitiert 29. April 2021]. Verfügbar unter: https://www.dicomstandard.org/current
- 11.
- Thamilarasu G, Odesile A, Hoang A. An Intrusion Detection System for Internet of Medical Things. IEEE Access. 2020;8:181560–76.
- 12.
- Holzbrecher-Morys M. Informationssicherheit im Krankenhaus [Internet]. Deutsche Krankenhausgesellschaft; 2021 [zitiert 29. April 2021]. Verfügbar unter: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/
- 13.
- Bundesamt für Sicherheit in der Informationstechnik.Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte [Internet]. [zitiert 3. August 2021]. Verfügbar unter: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_132.html
- 14.
- Hady AA, Ghubaish A, Salman T, Unal D, Jain R. Intrusion Detection System for Healthcare Systems Using Medical and Network Data: A Comparison Study. IEEE Access. 2020;8:106576–84.
