Post on 09-Sep-2019
transcript
Folie 1© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Prof. Dr. Peter E. Fischer
Information Security in Healthcare Conference 2019Rotkreuz, Dorfmattsaal06.06.2019
Hochschule Luzern – Informatik
Der Feind in meinem (Spital-)Bett
Folie 2© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
1. Das IoT – Internet der Dinge – im Gesundheitswesen2. Wearables / Quantified-Self3. Geräte in Arztpraxen und Heimen4. Vernetzte Geräte in den Spitälern5. Schwachstellen / Sicherheitslücken6. Mögliche Verbrechen gegen die Gesundheit7. Massnahmen
Agenda
Folie 3© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• “Der Feind in meinem Bett” / “Sleeping with the Enemy”• US-Spielfilm 1991 mit Julia Roberts• Damals noch “richtiges” Stalking mit physischer Gewalt• Heute ginge das Ganze auch aus der Ferne…
Zum grauenvollen Titel …
http://www.foxmovies.com.au/sleeping-with-the-enemy
Folie 4© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
1. DAS IOT – INTERNET DER DINGE –IM GESUNDHEITSWESEN
Folie 5© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Terminologie “Internet of Things”
• Das IoT ist ein Konzept, das eine Vernetzung von Gegenständenuntereinander sowie Gegenständen und Personen vorsieht
• Objekte aus dem realem Leben sollen eigenständig Informationenaustauschen und verarbeiten können – ohne dass der Mensch beider Eingabe von Informationen beteiligt ist
• Das Internet der Dinge soll die Informationsbeschaffung der Objekte automatisieren und den Alltag der Menschen vereinfachen
• Alltagsgegenstände, elektronische Geräte sowie die Vernetzungdieser Entitäten miteinander, mithilfe internetähnlicher Strukturen
Folie 6© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• “Internet der Dinge”: Häufiger Chargon für Smartwatches, -Smartphones, kommunizierende Kühlschränke oder industrielle vernetzte Systeme o.ä.
• Schon vor dem IoT-Hype:• In diversen Branchen vernetzte Geräte und Systeme in
Betrieb • Grosses Feld von Geräten im Gesundheitswesen
• Die bereits vor dem IoT-Hype existierende Vernetzung wird gar nicht mehr wahrgenommen.
Gesundheitswesen? – Gesundheitswesen!
Folie 7© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
The “Internet of Everything”?Das Gesundheitswesen wird häufig ignoriert!
7, 04.06.2019
Folie 8© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Das Schweizer Gesundheitswesen in der Presse
NZZ online, 28.05.2019
NZZ am Sonntag, 02.06.2019
Ein Konsortium von grossenSchweizer Firmen will die Macht über unsere intimstenDaten im Internet – und die Politik willigt ein. Mit der Anonymität im Netz werde es vorbei sein, sagen
Datenexperten.
Folie 9© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
2. WEARABLES / QUANTIFIED-SELF
Folie 10© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Überwachung der Vitalfunktionen im Alltag
• Selbst beschafft• Frei gehandelte Fitnessbänder, Schrittzähler, Smartwatches,
Blutdruckmessgeräte etc., nicht medizinisch zugelassen• Damit Funktionalität und Genauigkeit nicht gewährleistet• Begleit-Apps der Wearables (egal ob kostenlos oder -pflichtig)
zeichnen Daten auf und leiten diese weiter• Meist ausserhalb der Schweiz gespeichert, ohne Beachtung des
Datenschutzes, für Marketingzwecke missbraucht
Wearables - privat
Folie 11© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Überwachung der Vitalfunktionen im Alltag
• Von einer med. Fachperson ausgehändigt• Professionelle Geräte für den
medizinischen Gebrauch zertifiziert• Schwachstellen in der
Informationssicherheit dennoch möglich• Daten werden teils remote von
Fachpersonen kontrolliert• Speicherort Schweiz und
Übertragungssicherheit gewährleistet?
Wearables - professionell
Folie 12© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• In der Regel nicht (permanent) mit Internet verbunden, können aber bis zu 15 Meter ferngewartet und parametrisiert werden
• Etliche Rückrufe wegen völlig unzureichender Sicherheit• Mögliche Personenschäden: grosse Ansammlung von Personen,
speziell Politiker oder Prominente
Wearables – Herzschrittmacher
Folie 13© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Netzwerk aus Anwendern und Anbietern von Methoden sowie Hard- und Softwarelösungen
• Z. B. umwelt- und personenbezogene Daten aufzeichnen, analysieren und auswerten
• Zentrales Ziel: Erkenntnisgewinn u. a. zu• persönlichen, gesundheitlichen, sportlichen, • aber auch gewohnheitsspezifischen Fragestellungen
“Quantified-Self”
Folie 14© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
3. ARZTPRAXEN UND HEIME
Folie 15© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Die meisten Geräte sind stand-alone, also (noch) nicht vernetzt …
• … trotz beginnender Digitalisierung in Form der elektronischen Erfassung, Speicherung und Verarbeitung von Patientendaten
• Künftig immer mehr Diagnose-und Behandlungsgeräte vernetzt und mit dem Internet verbunden
Noch eher konventionell: Arztpraxen
Tagesanzeiger: 22.03.16
Folie 16© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Laborgeräte, vom Hersteller überwacht und gewartet
• Notwendig: Remote-Zugang, häufig • ohne weitere Schutzmassnahmen• mit veralteten, unsicheren Protokollen
(wie Telnet oder FTP)• unzureichende Passwörter
• Künftig zunehmende Vernetzung in den Arztpraxen• Damit exponentieller Anstieg der Sicherheitslücken
und des Interesses für grössere Angriffe (economy-of-scale, auch für Kriminelle!).
Eher vernetzt: Laborgeräte
Folie 17© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Ähnlich wie in den Praxen – Pflege- und Seniorenheime:• Vernetzung und Digitalisierung nicht weit fortgeschritten• Rückgrat der Datenverarbeitung sind PCs (evtl. vernetzt)• Besonders geringes Bewusstsein für Gefahren
aus dem Cyberspace und mögliche Gegenmassnahmen• Fokus aller medizinischen Fachpersonen ist Heilung und Pflege• Häufiger Personalmangel durch Kosteneinsparungen• Es muss bei hoher Qualität sehr effizient gearbeitet werden• Informationssicherheit wird als störend empfunden
Noch eher konventionell: Heime
Folie 18© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
4. VERNETZTE GERÄTE IN SPITÄLERN
Folie 19© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Diagnose-, Analyse- und Behandlungsgeräte sind heute vernetzt• Kontroll- und Überwachungsgeräte für Vitalfunktionen• Dosier- und Infusionspumpen, diverse Diagnosegeräte
(von EEG- und EKG-Geräten bis zu Röntgen-, Computer- oder Kernspintomographie-Systemen)
• Vielzahl an Analysegeräten in den medizinischen Labors• Vernetzung dieser Geräte (als Teil des Internet of Things) zur
Überwachung, Steuerung und Aufzeichnung innerhalb des Spitals• Fernwartung und Firmware-Updates durch die Hersteller• Remote-Zugänge: ein grosses Einfallstor für Cyberangriffe
Dichte Vernetzung in Spitälern
Folie 20© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
5. SCHWACHSTELLEN / SICHERHEITSLÜCKEN
Folie 21© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Viele Geräte: alter Firmware /Software-Stand
• Updates (auch für Sicherheitszwecke) bedeuten bisher langwierige und kostenintensive Re-Zertifizierung
• Beim PC selbstverständlich (Malware-Schutz, Updates, anspruchsvolle Passwörter und verschlüsselte Verbindungen)
• Nicht bei medizinischen Geräten in Spitälern
Alte Firm- und Software
Folie 22© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Beispiele für Auswirkungen• Ungesicherte Herzschrittmacher
mussten herausoperiert werden• Etliche Spitäler vor 2 Jahren mit
“WannaCry” lahmgelegt• Verschlüsselungstrojaner in
Spitälern auch hier und jetzt• Bevorzugt: Medizinalgeräte mit
veraltetem und ungepatchtem Betriebssystem
• Staatliche, unterfinanzierte englische Spitäler stark von “WannaCry” betroffen
Einfaches Hacking
Folie 23© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
“Information Security in Healthcare” Konferenz im Juni 2018:• Demonstration, wie einfach und schnell eine Infusionspumpe zu
hacken ist: Telnet-Protokoll, kein richtiges Passwort – fertig!• IT-Beratungsfirma Recretix Systems nicht auf Medizintechnik und
deren Protokolle spezialisiert! • Parameter verstellen oder Anzeige manipuliert• Recretix-Geschäftsleiter Stefan Peter:
“Hack funktionierte viel schneller als erwartet”
https://youtu.be/4X3pDCwHgD4?t=60
Wirklich so einfach?
Folie 24© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
6. MÖGLICHE VERBRECHENGEGEN DIE GESUNDHEIT
Folie 25© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Gehackte Infusionspumpen können Überdosen verabreichen• Medikation abstellen, plausiblen Wert anzeigen• Patientendaten auslesen und missbrauchen• Erpressung: Schädigung von Patienten, Verkauf von Daten• Hohes Lösegeld, gravierender Imageverlust• Gehackte Medizinalgeräte: als Bots in einem Botnet missbraucht
Typische Gefahren – Spitäler sind erpressbar
Folie 26© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Veraltete Software, nicht gepatcht• Alte, unsichere Protokolle• Schwache Passwörter• Vielfalt und Vielzahl von Geräten in
einem gemeinsamen Netz: ungeahnte Möglichkeiten für Cyberkriminelle
• Kein Sicherheitsbewusstsein, auch nicht beim physischen Zugang
• Hohe Haftungssummen für Hersteller, deren Geräte als erstes befallen werden (sog. patient-zero)
Die Sicherheitslücken auf einem Blick
Folie 27© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
7. MASSNAHMEN
Folie 28© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Perimeter schützen (logisch und physisch): IT und Wachdienst• Ressourcen und Budget für professionellen Schutz gegen aussen• Prävention reicht nicht mehr:
professionelle "Detect and Response"-Dienste• Netztrennung: Geräte in möglichst kleine,
isolierte Netze stellen, um die Ausbreitung von Malware zu stoppen
• Geräte mit Remote-Zugriff: demilitarisierte Zone, nicht ins interne Netz
• Endgeräte auf sicheren Stand bringen
Mögliche Massnahmen
Folie 29© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Was fehlt, ist der Blick über den Tellerrand – ohne diesen sehen wir harten Cybercrime-Zeiten entgegen.
FAZIT
Folie 30© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Vielen Dank für die Aufmerksamkeit!
Fragen & Antworten
Hochschule Luzern – Informatik
Peter E. Fischer
www.hslu.ch/isp
Folie 31© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
Wer bin ich?
• Experimental-Physiker (Hochtemperatursupraleiter)
• Promotion im Forschungszentrum Erlangen (Siemens)
• 2.5 Jahre Projektleitung GSM-Entwicklung (Philips)
• 5 Jahre Technologie- und Innovationsmgmt (L&G)
• 5 Jahre Chief Information Security Officer (Siemens BT)
• 5 Jahre Head Corporate Knowledge Mgmt (Siemens BT)
• 8 Jahre Head Cross Functional Services (Credit Suisse)
• Seit März 2014: ISP Group, Studienleiter (HSLU-Informatik)
• 4 Jahre Präsident (Swiss Internet Security Alliance)
Folie 32© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• 6 Departemente (Technik & Architektur, Wirtschaft, Informatik, Soziale Arbeit, Design & Kunst, Musik)
• Ca. 6’200 Studierende
• Schwerpunkt Informationssicherheit & Datenschutz• Aus- und Weiterbildungen• Forschungsprojekte• Dienstleistungsprojekte
Hochschule Luzern
Folie 33© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Jährliche Konferenz «Information Security in Healthcare»Website: www.infosec-health.ch
• Bachelor-Studiengänge in Information & Cyber Security, Informatik, Wirtschaftsinformatik, Int’l IT Management und Digital Ideation
• Master-Studiengänge in Informatik und Wirtschaftsinformatik
• Zwei MAS in Information Security
• Fünf CAS alleine in Information Security
• Sieben mehrtägige Fachkurse in Information Security
• Abend-Weiterbildungen• Fachbeiträge für (medizinische) Zeitschriften
Information Security in Healthcare
Folie 34© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• Informative Webseite, Facebook-Seite und App mit verständlichen Sicherheitshinweisen und News (www.ebankingabersicher.ch / www.ebas.ch und www.facebook.com/ebankingabersicher)
• Leichtverständliche Kurse für Endkunden an verschiedenen Standorten in der ganzen Schweiz
• Zeitnahes Medien-Monitoring zum E-Banking mit Stellungnahmen und Datenbank der bearbeiteten Fälle
• Sicherheitsschulungen für Kundendienstmitarbeitende
Betreiber• Hochschule Luzern – Informatik
Dienstleistung «eBanking – aber sicher!»
Folie 35© Hochschule Luzern – Informatik – Prof. Dr. Peter E. Fischer – 06.06.2019
Der Feind in meinem (Spital-)Bett
• SISA hilft Ihnen, Malware-Infektionen zu erkennen und diese von Ihrem Computer zu entfernen.
• Webseite: www.swiss-isa.ch
Swiss Internet Security Alliance (SISA)