May 2, 2023
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Interview mit Christian Rosenzweig (Johner Institut) – Teil 2
Im ersten Teil unseres Interviews haben wir grundlegende Fragen rund um das Thema E-Health geklärt und anhand einer eindrucksvollen persönlichen Anekdote gehört, wie wichtig das Mitdenken von IT Security in diesem Zusammenhang ist.
In der zweiten Hälfte des Interviews berichtet Christian Rosenzweig aus seiner Erfahrung als Berater für Hersteller von Medizinprodukten. Seine Schwerpunkte liegen auf Qualitäts- und Risikomanagement und Regulatory Affairs, sodass er tiefe Einblicke in den Stand der Informationssicherheit im Gesundheitswesen hat.
Wie schätzen Sie den aktuellen Stand ein: Wo ist das Gesundheitswesen in Sachen Informationssicherheit bereits gut aufgestellt? Wo sehen Sie den größten Optimierungsbedarf?
Das ist zunächst regional sehr unterschiedlich. In Deutschland haben wir insgesamt enormen Nachholbedarf in Sachen IT-Sicherheit, gerade im Gesundheitssektor. Und der steht leider derzeit auf den höchsten Plätzen der Angriffsziele.
Medizinproduktehersteller und Gesundheitsdienstleister gehen im Moment sehr unterschiedlich mit dem Thema um. Während die einen IT-Sicherheit zur Chefsache erklärt haben, ist bei anderen noch nicht mal ein Bewusstsein dafür da.
Der Gesetzgeber fährt deshalb derzeit die gesetzlichen Anforderungen in allen Bereichen hoch. Hier wiederum schlägt dann der Fachkräftemangel zu. Andere Branchen haben sich längst mit den verfügbaren Expert:innen eingedeckt, deshalb ist der Markt dafür dünn bestückt.
Die gute Nachricht: Mittlerweile erkennen die Verantwortlichen im Gesundheitswesen immer mehr die Versäumnisse der letzten Jahre in Sachen IT Sicherheit und kommen in Aktion.
Sie befassen sich insbesondere mit dem Risikomanagement bei Medizinprodukten. Was sind hier die speziellen Herausforderungen bei der Integration von Informationssicherheit?
Der regulatorische Rahmen für Medizinprodukte hat mittlerweile über die Europäische Medizinprodukteverordnung von 2017 IT-Sicherheit ganz klar zur Pflicht gemacht. Ähnliches sehen wir auch international in anderen Märkten.
Eine genaue Beschreibung, was unter IT-Sicherheit zu verstehen ist, blieb das Gesetz aber schuldig. Deshalb haben viele Hersteller zunächst versucht, sich einzuarbeiten und sich dabei im Detail verloren. Mittlerweile gibt es eine auf den Medizinprodukte-Markt zugeschnittene internationale Norm, die der Gesetzgeber nächstes Jahr offiziell anerkennen will. Damit ist endlich klar beschrieben, wie Medizinproduktehersteller das Thema IT-Sicherheit im Lebenszyklusprozess des Produktes umsetzen müssen.
Der abschließende Penetration Test bestätigt (hoffentlich), dass die frühen Bemühungen erfolgreich waren und das Produkt ausreichend IT-sicher ist. Es werden außerdem Sicherheitsaspekte einbezogen, die im Entwicklungsprozess noch nicht geprüft werden können – beispielsweise der Faktor Mensch (Social Engineering) und die physische Sicherheit. Deshalb ist der abschließende Penetration Test für den Gesetzgeber ein wichtiges Instrument.
Damit verlagert man notwendige Aktivitäten auf Seiten der Medizinprodukte-Betreiber, z. B. der Krankenhäuser. Sie erhalten Produkte, die schon ab Werk quasi IT-sicher sind („security by default“). Eine sehr wichtige Voraussetzung also für den sicheren Betrieb.
Das Thema Datenschutz und Datenvertraulichkeit lässt sich dabei analog mitberücksichtigen („privacy by design“ und „privacy by default“).
Voraussetzung ist aber, dass der Medizinproduktehersteller sich mit dem Thema intensiv auseinandersetzt, was aufgrund des Fachkräftemangels nicht immer einfach ist. Deshalb rate ich an dieser Stelle meinen Kunden oft zur Einbindung externer Experten und Dienstleister mit viel Erfahrung auf dem Gebiet.
Wie können Penetration Tests wie die von ProSec die sichere Entwicklung von Medizinprodukten unterstützen?
Der Gesetzgeber fordert am Ende des Entwicklungsprozesses den Beweis, dass das Produkt in seiner Anwendungsumgebung sicher ist. Im Grunde läuft das auf die Frage hinaus „Ist das Produkt von außen noch angreifbar?“ Die Methode zur Beantwortung dieser Frage ist ein „Penetration Test“, bei dem extrem erfahrene IT-Sicherheitsexperten ihr gesamtes Wissen nutzen, das System zu kompromittieren. Der Gesetzgeber fordert, dass diese Tätigkeit nur unabhängig vom eigenen Entwicklungsteam getan werden kann. Für kleinere und mittelgroße Medizinproduktehersteller bedeutet das, sie müssen die Tests auslagern und durch einen Dienstleister ausführen lassen.
Abgesehen von diesen regulatorischen Vorgaben empfehle ich meinen Medizinprodukteherstellern, bereits während der Entwicklung frühzeitig begleitende Penetration Tests (in geringerem Umfang als der finale Test) zu nutzen. Dies schafft formativ im Entwicklungsprozess einen echten Mehrwert. Auf diese Weise erkennen Hersteller frühzeitig Schwachstellen, können diese im Risikomanagement berücksichtigen und die Architektur entsprechend anpassen. So müssen sie am Ende (nach dem finalen Pentest) nicht wieder an den Anfang zurückspringen und schonen Ressourcen.
Die Schwierigkeit besteht darin, dass es solche Dienstleister in großer Zahl gibt.
Wie können Medizinproduktehersteller bei dieser großen Zahl sicher sein, den richtigen Dienstleister für einen Penetration Test auszuwählen? Welche Qualitätsmerkmale geben Sie den von Ihnen beratenen Herstellern an die Hand?
Die Qualität der Leistung ist auf jeden Fall sehr unterschiedlich. Ich erlebe häufig, dass ein Medizinprodukthersteller stolz sein Penetration-Test-Zertifikat zeigt, das sich bei genauerer Betrachtung als Report eines Standard-Tools erweist. Hier trennt sich die Spreu vom Weizen: Während solche Tools lediglich einen automatisierten Testlauf ermöglichen, verfügen Anbieter hochwertiger Penetration Tests über Experten, die alle Angriffsvektoren des Produkts intensiv überprüfen.
Können Sie an einem Beispiel erklären, warum ein solcher automatischer Sicherheitstest durch Tools nicht alle wichtigen Sicherheitsaspekte abdecken kann?
Professionelle Penetration Tester verfügen beispielsweise über Wissen, wo eine Middleware Session-Cookies zwischenspeichert. Wenn man gezielt an einer solchen Stelle ansetzt und den Session-Cookie abfängt, kann man damit weiterarbeiten. Solche Intelligenzen haben entsprechende Tools nicht. Automatisierte Tests arbeiten eher mit Brute-Force-Attacken oder SQL-Injections, beziehen aber keine komplexen Angriffsszenarien ein.
Penetration Testing ist eine hochkreative Arbeit, bei der Fantasie notwendig ist, um verschiedene komplexe Angriffsszenarien individuell zu kombinieren. Das können Tools nicht leisten.
Wir führen am Johner Institut selbst durch eigene Experten Penetration-Tests durch, greifen bei Kapazitätsengpässen aber auf ProSec zu, die sich als ein extrem zuverlässiger Partner gezeigt hat. Besonders Hersteller von kritischen Produkten und Systemen mit hohem Anspruch an IT-Sicherheit profitieren davon.
Wir haben die Vorteile von Penetration Tests ausführlich besprochen. Haben Sie eine Botschaft für Klinikleitungen oder Medizinproduktehersteller, die sich aus Kostengründen vor dieser Investition scheuen?
Insbesondere Krankenhäuser kämpfen häufig mit Budget-Problemen und vermeiden darum Investitionen im Bereich IT Sicherheit. Dass dies eine verständliche, aber gefährliche Rechnung ist, zeigen die massiven Auswirkungen erfolgreicher Ransomware-Angriffe auf Kliniken.
Herzlichen Dank für dieses informative Interview und die Einblicke in Ihre Erfahrung mit Medizinprodukteherstellern!
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) 2022 zeigt: Die IT Sicherheit im öffentlichen Sektor ist zunehmend
In den Medien wird aktuell von den sogenannten Vulkan-Files berichtet. In diesem Beitrag informieren wir über die Inhalte dieser Dateien