Medizinische Bildbetrachtung als Einfallstor: DICOM Viewer für Angriffe
Der Gesundheitssektor bleibt im Fokus von Cyberkriminellen – nicht nur durch Ransomware-Attacken, sondern zunehmend auch durch gezielte Angriffe auf spezifische medizinische Anwendungen. Eine aktuelle Untersuchung von Forescout Research zeigt, wie Angreifer medizinische Bildbetrachtungssoftware und Überwachungssysteme (DICOM) als Schwachstellen ausnutzen, um in Krankenhausnetzwerke einzudringen.
Von der Radiologie zum Sicherheitsrisiko
Wenn Patienten heute ihre Röntgen- oder MRT-Bilder erhalten, bekommen sie häufig auch einen DICOM Viewer – eine spezielle Software zur Betrachtung medizinischer Bildgebung. Diese vermeintlich harmlosen Programme haben sich nun als Sicherheitsrisiko entpuppt. Forscher entdeckten manipulierte Versionen des Philips DICOM Viewers, die von der chinesischen Hackergruppe “Silver Fox” eingesetzt wurden.
Die Angriffsmethode ist raffiniert: Die modifizierte Software sieht für den Patienten völlig normal aus, installiert jedoch im Hintergrund eine Backdoor namens ValleyRAT. Diese ermöglicht den Angreifern vollständigen Zugriff auf das infizierte System. Zusätzlich werden ein Keylogger zur Aufzeichnung von Tastatureingaben und ein Krypto-Miner installiert, der die Rechenleistung des Computers ausnutzt, um Kryptowährungen zu schürfen. “Diese Art von Angriffen zeigt eine neue Dimension”, erklärt Daniel dos Santos von Forescout Research (Webseite). “Statt direkt Krankenhäuser anzugreifen, nutzen die Täter nun die Schnittstelle zwischen Patient und Krankenhaus aus.”
Wenn der Patient zum Überträger wird
Das Besondere an diesem Angriffsvektor: Er überschreitet die Grenzen zwischen privaten Geräten und klinischen Systemen. Wenn Patienten ihre infizierten Laptops oder Tablets mit in die Klinik bringen und diese dort an das Netzwerk anschließen, können die Schadsoftware-Komponenten potenziell auf Krankenhaus-Systeme übergreifen.
Diese Gefahr verstärkt sich noch durch den zunehmenden Trend zu “Hospital-at-Home”-Programmen, bei denen Patienten zu Hause überwacht werden und ihre Geräte regelmäßig Daten mit dem Krankenhaus austauschen. Diese Programme schaffen neue digitale Brücken, die Cyberkriminelle ausnutzen können.
DICOM – medizinische Geräte unter Beschuss
Die Forscher entdeckten neben den manipulierten DICOM Viewern weitere beunruhigende Fälle. Besonders alarmierend: eine mit Malware infizierte Mindray Patientenüberwachungsstation. Diese zentrale Kontrollstation verwaltet die Vitalwerte mehrerer Patienten und ist damit ein kritisches System für die klinische Versorgung.
“Was uns besonders beunruhigt hat, war die Entdeckung, dass diese Überwachungsstation mit einer IP-Adresse kommuniziert, die bereits von US-Behörden als potenziell gefährlich markiert wurde”, erklärt Sai Molige, Mitautor der Studie. Die betreffende IP-Adresse (202.114.4.119) wurde von der amerikanischen Cybersicherheitsbehörde CISA als mögliche chinesische Backdoor eingestuft.
Auch GE Healthcare MUSE-Systeme, die für die Verwaltung kardiologischer Daten zuständig sind, wurden als Ziel identifiziert. Hier fanden die Forscher Botnet-Samples, die gezielt nach diesen Systemen suchen und deren Standard-Zugangsdaten ausnutzen. Diese Systeme enthalten Elektrokardiogramm-Daten und andere kritische Patienteninformationen, die im Falle eines erfolgreichen Angriffs in falsche Hände geraten könnten.
Alte Malware, neue Ziele
Interessanterweise sind viele der entdeckten Schadsoftware-Varianten nicht neu. Der in der Mindray-Station gefundene “Panda Burning Incense”-Wurm wurde bereits 2006 entwickelt und infizierte damals über zehn Millionen Geräte. Ebenso ist Floxif/Pioneer, das in Siemens DICOM Viewern gefunden wurde, seit 2012 bekannt und erlangte 2017 Berühmtheit, als es für den Angriff auf das beliebte CCleaner-Programm eingesetzt wurde.
“Dies zeigt ein typisches Muster: Bewährte Malware wird für neue Angriffsziele wiederverwendet”, erläutert Amine Amri, ebenfalls beteiligt an der Forschung. “Krankenhaussysteme sind oft besonders anfällig, da sie häufig veraltete Software und Betriebssysteme verwenden, die nicht mehr mit Updates versorgt werden.”
DICOM Viewer: Schutzmaßnahmen für Gesundheitseinrichtungen
Für Krankenhäuser und andere medizinische Einrichtungen bedeuten diese Entwicklungen, dass sie ihre Cybersicherheitsstrategie überdenken müssen. Ein umfassender Ansatz ist erforderlich, der bei der Bestandsaufnahme beginnt: Welche Geräte sind mit dem Netzwerk verbunden? Welche Software läuft darauf? Welche Verbindungen bestehen nach außen?
“Besonders wichtig ist die Segmentierung des Netzwerks”, betont dos Santos. “Medizinische Geräte sollten in eigenen Netzsegmenten betrieben werden, getrennt von der allgemeinen IT-Infrastruktur und mit strengen Zugriffskontrollen versehen.”Auch der Umgang mit Patientengeräten erfordert neue Regeln. Das direkte Anschließen privater Geräte an das Kliniknetzwerk sollte unterbunden werden. Stattdessen sollten sichere Alternativen für den Datenaustausch geschaffen werden, etwa über spezielle Transferstationen oder Cloud-Dienste mit entsprechenden Sicherheitsprüfungen.
Nicht zuletzt ist die kontinuierliche Überwachung des Netzwerkverkehrs unerlässlich. Verdächtige Kommunikationsmuster, etwa der Versuch einer Patientenüberwachungsstation, eine bekannte Malware-Domäne zu kontaktieren, können frühzeitig auf eine Kompromittierung hindeuten.
Positive Signale
Trotz der beunruhigenden Funde gibt es auch positive Nachrichten: Bisher wurden keine Malware-Samples entdeckt, die direkt die medizinischen Protokolle DICOM oder HL7 missbrauchen. Diese Protokolle bilden das Rückgrat der Kommunikation zwischen medizinischen Geräten und Systemen im Krankenhaus.
“Das bedeutet nicht, dass wir Entwarnung geben können”, warnt Amri. “Aber es zeigt, dass die Angreifer bisher eher auf bekannte Schwachstellen in Betriebssystemen und allgemeiner Software setzen, statt spezifische medizinische Protokolle anzugreifen.” Für IT-Sicherheitsverantwortliche im Gesundheitswesen unterstreichen die Forschungsergebnisse die Notwendigkeit, einen ganzheitlichen Sicherheitsansatz zu verfolgen, der von der Patientenaufklärung über die Netzwerksegmentierung bis hin zum kontinuierlichen Monitoring reicht. Nur so kann die Brücke zwischen Patientenversorgung und IT-Sicherheit geschlagen werden.
