Forschungsbericht Forschungsbericht / Research Report XX

Transkript

1 Forschungsbericht Forschungsbericht / Research Report XX 1

2 Forschungsbericht der Fachhochschule Brandenburg Research Report of the Brandenburg University of Applied Sciences Forschungsbericht / Research Report

3 Hinweis: Die Fachhochschule Brandenburg praktiziert Meinungsvielfalt, auch bei der sprachlichen Gleichstellung von Mann und Frau. Unterschiedliche Schreibweisen der weiblichen Form sind daher nicht vereinheitlicht worden. Impressum Herausgeberin: Redaktion: Satz: Die Präsidentin der Fachhochschule Brandenburg Prof. Dr.-Ing. Burghilde Wieneke-Toutaoui Der Vizepräsident für Forschung und Technologietransfer Prof. Dr. Arno Fischer Prof. Dr. Arno Fischer, Stefan Parsch, Maria Leye (Übersetzungen) Stefan Parsch Berichtszeitraum: Wintersemester 2012/2013 Wintersemester 2014/2015 Auflage: 1. Auflage Oktober 2015 Kontakt: Fachhochschule Brandenburg Postfach Brandenburg an der Havel Hausanschrift: Magdeburger Straße Brandenburg an der Havel T F vpf(at)fh-brandenburg.de ISSN: Impressum Forschungsbericht / Research Report

4 6 Wissenschaftliche Beiträge 6.1 Conception and implementation of a computer and mobile forensic course for the Department of Informatics and Media at the Brandenburg University of Applied Sciences Part II: Android Forensics (Knut Kröger, Prof. Dr. Reiner Creutzburg) Konzept für wirtschaftliche und (teil-)automatische IT-Sicherheitsprüfungen von Unternehmen verschiedenster Größen (Thomas Möller, Knut Bellin, Prof. Dr. Reiner Creutzburg) Cybersecurity-Analyse von medizinischen Geräten am Beispiel einer Infusionspumpeneinheit (Jenny Knackmuß, Thomas Möller, Prof. Dr. Wilfried Pommerien, Prof. Dr. Reiner Creutzburg) Missionsplanung und Mapping zur georeferenzierten und dreidimensionalen Erfassung des Campus der Fachhochschule Brandenburg (Stefan Schön, Sven Schröder, Patrick Ingwer, Prof. Dr. Arno Fischer, Prof. Dr. Reiner Creutzburg) Nutzung von Thermik und Gleitflug zur Flugzeitverlängerung bei RPAS (Sven Schröder, Stefan Schön, Patrick Ingwer, Prof. Dr. Arno Fischer, Prof. Dr. Reiner Creutzburg) Investigation of Practical Usefulness of Structure from Motion (SfM) Point Clouds Obtained from Different Consumer Cameras (Patrick Ingwer, Fabian Gassen, Stefan Püst, Melanie Duhn, Marten Schälicke, Katja Müller, Heiko Ruhm, Josephin Rettig, Prof. Eberhard Hasche, Prof. Dr. Arno Fischer, Prof. Dr. Reiner Creutzburg) Employer-Kommunikation Planungsprozess und Instrumente (Prof. Dr. Uwe Höft) Inertial Measurement Units in Gait Analysis Applications Questions, Suggestions and Answers (Prof. Dr. Harald Loose, Katja Orlowski, Robert Amann) How to eliminate the sources of human errors to optimize human performance in a complex technical system (Prof. Dr. Katharina Löwe) Kontinuierliche Nutzung von Solarthermie für Prozesswärme in sonnenreichen Entwicklungsländern (Dipl.-Ing. Agnes Widjaja, Prof. Dr.-Ing. Katharina Löwe) Einfache Charakterisierung der zeitlichen und räumlichen Auflösung von Wärmebildkameras (Prof. Dr. Klaus-Peter Möllmann, Prof. Dr. Michael Vollmer) Interne Revision im Krankenhaus (Prof. Dr. Joachim Tanski) Measurements of the surface temperature of the Moon from Earth with IR cameras Messungen der Temperatur des Mondes mit Thermokameras vom Erdboden (Prof. Dr. Michael Vollmer, Prof. Dr. Klaus-Peter Möllmann, Prof. Dr. Joseph A. Shaw, Paul W. Nugent) Forschungsbericht / Research Report Wissenschaftliche Beiträge 157

5 6.3 Cybersecurity-Analyse von medizinischen Geräten am Beispiel einer Infusionspumpeneinheit Von Jenny Knackmuß 1,2, Thomas Möller 2, Prof. Dr. Wilfried Pommerien 1,3,4 und Prof. Dr. Reiner Creutzburg 1 Abstract Nowadays, wearable and implantable medical devices are being increasingly deployed to improve diagnosis, monitoring, and therapy for various medical conditions. Compared to other types of electronics and computing systems, security attacks on these medical devices have extreme consequences and must be carefully analyzed and prevented with strongest efforts. Often, the security vulnerabilities of such systems are not well understood or underestimated. The aim of this paper is to demonstrate security attacks that can easily be done in the laboratory on a popular infusion pump on the market, and also propose defenses against such attacks. 1 Einleitung Seit den Anfängen der Entwicklung medizinischer Geräte hat es einen enormen technischen Entwicklungssprung gegeben. Während die ersten Geräte ausschließlich manuell betrieben wurden, erfolgt die Steuerung heutzutage mechanisch, elektronisch und optisch mit umfangreicher Software. Im Gesundheitswesen sind viele unterschiedliche Systemarten zu finden, die miteinander kommunizieren können. Damit ein lückenloser Informationsfluss erfolgen kann, müssen diese Systeme in IT-Netzwerke integriert und verwaltet werden. Ein Vorteil der Vernetzung von medizinischen Geräten ist, dass informationsverarbeitende Prozesse jederzeit zur Verfügung stehen und je nach den Bedürfnissen bearbeitet werden können. Aller dings steigt dadurch auch das Sicherheitsrisiko. Ein Beitrag von [3] ist ein Beispiel dafür, dass die gesundheitliche Sicherheit der Patienten bei Herstellern im Vordergrund steht, doch die Sicherheit der Geräte wird vernachlässigt. Auch die Arbeiten von [1] und von [7] sind Beispiele dafür, dass die Software von medizinischen Geräten wie Herzschrittmacher und Insulinpumpen nicht vor Angriffen geschützt sind. Es gibt eine Vielzahl von Normen und Gesetzen, in denen die Verantwortung der Hersteller für die Patientensicherheit geregelt wird [2]. Die ordnungsgemäße Anwendung, die Instandhaltung und der Betrieb der medizinischen Geräte liegt im Verantwortungsbereich der jeweiligen Klinik. Durch die Einbindung der unterschiedlichen medizinischen Geräte in ein Klinik-Netzwerk können Fehlerquellen in Bezug auf die Patientensicherheit 1 Brandenburg University of Applied Sciences, Department of Informatics and Media, P.O.Box 2132, D Brandenburg, Germany 2 Assecor GmbH, Storkower Straße 207, D Berlin, Germany 3 Städtisches Klinikum Brandenburg GmbH, Zentrum für Innere Medizin II, Hochstraße 29, D Brandenburg, Germany 4 Medizinische Hochschule Brandenburg CAMPUS GmbH, Fehrbelliner Straße 38 D Neuruppin, Germany s: knackmus@fh-brandenburg.de, pommerien@fh-brandenburg.de, creutzburg@fh-brandenburg.de, thomas.moeller@assecor.de, w.pommerien@ mhb-fontane.de entstehen [6]. Ziel der Arbeit ist es Risiken aufzuzeigen, die entstehen, wenn medizinische Geräte in IT-Netzwerken nicht ausreichend geschützt sind. Dafür wird ein Testnetzwerk mit einer Infusionspumpeneinheit aufgesetzt. Bei den Untersuchungen wird keine Hard- oder Softwaremanipulation vorgenommen. Die Verwaltung und das Monitoring von der Infusionspumpeneinheit wird manuell und über eine Web Server Application durchgeführt. 2 Angriffsvektoren Unbefugte verschaffen sich nicht ausschließlich von außen den Zugang zu Organisationsnetzen. Bei einem Besuch in einem Krankenhaus können sich unbefugte Zugang auf das Kliniknetzwerk verschaffen, z. B. bei nicht belegten aktiven Netzwerkanschlüssen. Diese befinden sich in Behandlungsräumen oder auch in Wartebereichen. Diese offenen Netzwerkanschlüsse sind für Unbefugte eine einfache Möglichkeit von dort aus unbemerkt Zugriff auf das LAN zu bekommen. In dieser Studie werden ein typisches Szenario nachgestellt und die entstehenden Risiken analysiert. Bei den dargestellten An griffsverlauf handelt es sich um ein mehrstufiges Vorgehen. Die durchgeführten Schritte sind das Sniffing, das Scanning, die Brute-Force-Methode und eine Analyse des Webservers auf Schwachstellen. Dies ist ein typischer Ablauf bei der ersten Sicherheitsbetrachtung eines Geräts. Die zentrale Fragestellung ist, welche sensiblen Daten sind durch dieses methodisches Vorgehen aus der Infusionspumpeneinheit gewinnen lassen. 2.1 Sniffing Beim Sniffing geht es unter anderem darum, Informationen mitzulesen und abzugreifen. Damit ist eine intensive Beobachtung der ankommenden und abgehenden Datenpakete des zu sniffenden Hosts innerhalb des Netzwerkverkehrs möglich. Der gesamte Angriff verläuft passiv und der Angreifer hinterlässt keine sichtbare Spuren [4]. Zum Sniffen des Testnetzwerkes wird Wireshark verwendet. Wireshark ist eine Tool, welches die Netzwerkprotokolle analysiert und die mitgeschnittenen Datenpakete in Ausgabeformaten zur Verfügung stellt. Die Infusionspumpeneinheit sendet ohne weitere Manipulationen Datenpakete im Netzwerk. Dadurch konnte der Datenverkehr von der Infusionspumpeneinheit identifiziert werden. Die Abbildung 2.1 zeigt einen Mitschnitt der Datenströme aus dem Testnetzwerk. Zu erkennen sind relevante Informationen, wie die IP-Adresse der Infusionspumpeneinheit und die dazugehörige MAC-Adresse mit dem Namen des Geräteherstellers. 170 Wissenschaftliche Beiträge Forschungsbericht / Research Report

6 Abbildung 2.1: Durch Sniffing mitgeschnittene Datenströme im Test-Netzwerk Nach Beendigung des Abhörvorgangs wird ein Ergebnisprotokoll erstellt. Mit diesem Protokoll werden alle Geräte aufgelistet, die zu diesem Zeitraum im Test-Netzwerk registriert sind. In der Abbildung 2.2 sind zwei gefundene Geräte mit der jeweiligen IP-Adresse sowie MAC-Adresse aufgeführt. Die ersten beiden Zeilen beinhalten die Informationen zu der Pumpeneinheit und in den letzten beiden Zeilen sind die Informationen zu einer weiteren Komponente im Test-Netzwerk vorhanden, die nicht in Abhängigkeit zur Pumpeneinheit steht. Pumpeneinheit dafür verantwortlich sind. Ein zusätzlicher Scan wird mit dem Netzwerkscanner Nmap durchgeführt. Nmap ist ein Tool zum Scannen und Auswerten von Hosts. Von besonderem Interesse sind für den dargestellten Angriff die vorhandenen offenen Ports. Insbesondere Port 80 und Port 443, da die Verwaltung und das Monitoring der Infusions pumpen-einheit über eine Webserver-Applikation gesteuert wird. Das Ergebnis des Scans zeigt, dass beide Ports zum Öffnen der Webserver-Applikation geöffnet sind, siehe Abbildung 2.4. Abbildung 2.2: Ergebnisprotokoll nach dem Sniffing Die IP-Adresse wird vom Broadcast herausgelesen und verifiziert, um die Verfügbarkeit der Pumpeneinheit im Test-Netzwerk getestet. Mit der Abbildung 2.3 wird die erfolgreiche Verbindung gezeigt. Abbildung 2.4: Auswertung des Netzwerkscans von der Infusionspumpen-Einheit Abbildung 2.3: Verfügbarkeitstest der Infusionspumpen-Einheit im Test-Netzwerk Durch das Sniffen der Insulinpumpen-Einheit im Test-Netzwerk konnte die relevante IP-Adresse vom Gerät ausgelesen werden. Diese IP-Adresse ist für den nächsten Angriffsschritt Scanning erforderlich. Für die Verwendung der Webserver-Applikation muss der Browser die Ausführung von Java-Script akzeptieren und Cookies erlauben. Die Eingabe der URL war ohne weitere Einschränkungen erfolgreich. Es öffnet sich eine Startseite des Geräteherstellers, bei der ein Benutzername und Passwort eingegeben werden muss. 2.2 Scanning Beim Scanning wird Kontakt zu den vorhandenen Rechnern im Netzwerk hergestellt. Dadurch können unter anderem alle vorhandenen Dienste zusammengetragen und anschließend auf Schwachstellen analysiert werden. Zu Beginn der Untersuchung wird ein Scan mit dem Open- Vulnerability-Assessment-System (OpenVAS) zur Analyse von Schwachstellen durchgeführt. Das Auswertungsprotokoll zeigt die höchste Warnstufe 10 für Sicherheitslücken auf. Es wird davon ausgegangen, dass die Steuerungsports der Abbildung 2.5: Webserver-Applikation Login Forschungsbericht / Research Report Wissenschaftliche Beiträge 171

7 Darüber hinaus wird durch den Scan mit Nmap das eingesetzte Betriebssystem und das Device identifiziert, siehe Abbildung 2.6. Abbildung 2.6: Aktives Fingerprinting der Infusionspumpen-Einheit Aufbauend auf den gewonnenen Erkenntnissen über offene Ports und das verwendete Betriebssystem erfolgen die weiteren Analysen. 2.3 Brute-Force-Methode Damit nur authorisierte Personen auf die Webserver-Applikation zugreifen können, erfordert dies die Eingabe eines Benutzernamens mit dem entsprechenden Passwort. Um die Zugriffssperre zu umgehen, wird versucht, das Passwort mit der Brute-Force-Methode zu knacken. Dafür wird das Tool Hydra eingesetzt. Die enthaltenden Angriffswerkzeuge werden entsprechend eingestellt und auf die Webserver-Applikation ausgeführt. Eine Kontrolle des Vorgangs ergibt, dass die Webserver-Applikation mehrere Eingabeversuche von Benutzername und Passwörter akzeptiert ohne den Zugriff zu sperren. Dieser Vorgang kann aufgrund der Eingabewerte bis zu 3 Tage dauern, um die Benutzerdaten zu knacken. Dies war für diesen Versuch jedoch nicht erforderlich, da durch eine intensive Recherche die Standardpasswörter im Internet zu finden sind. Die Eingabe der Standardpasswörter war für jede Ebene auf der Webserver-Applikation erfolgreich. Die Abbildung 2.7 enthält beispielsweise Informationen zu der Infusionspumpeneinheit, welche nach der Registrierung einzusehen sind. Abbildung 2.7: Beispiel zur Nutzung der Webserver-Applikation 2.4 Schwachstellen der Webserver-Applikation Neben den vorgestellten Angriffsmethoden konnten weitere Sicherheitslücken der Webserver-Applikationen festgestellt werden. Diese sind beispielsweise: Bei fehlerhafte Eingabe von Benutzername oder Passwort erfolgt eine detaillierte Klassifizierung, ob Benutzername oder Passwort falsch sind. Für die Authentifizierung werden Klartext-Cookies verwendet. Es findet eine unverschlüsselte Kommunikation statt. Die gefundenen SSL-Zertifikate sind ungültig. Kennt ein Angreifer die URLs ohne Registrierung, kann er diese in den Browser kopieren und auf die Webserver- Applikation zugreifen. 3 Schutzmaßnahmen Zur Abwehr gegen Angriffe auf das LAN können eine Vielzahl von Schutzmaßnahmen umgesetzt werden. Der Einsatz von Tools ist ein geeignetes Hilfsmittel, um Sicherheitslücken oder mögliche Angriffe zu identifizieren. Starke Verschlüsselungen oder das Einrichten einer starken Netzwerkinfrastruktur hilft, das Risiko zu minimieren, Opfer eines Netzwerksniffers zu werden. Das Scannen von Hosts wird als minimales Sicherheitsrisiko eingestuft und ist schwer abzuwehren. Nach [4] wird empfohlen, dass ein intensiver Portscans angegriffene Geräte identifiziert. Beispielsweise ist der Einsatz von Intrusion-Detection-Systemen eine Möglichkeit. Dadurch können weitere Gegenmaßnahmen eingeleitet werden. Der Schutz vor einer Brute-force-Attacke ist aufwendiger. Das Risiko des Missbrauchs von Benutzerdaten lässt sich minimieren durch: Einführung einer Sicherheitsrichtlinie zur Steuerung und Verwendung von Benutzerkonten Regelung mit Umgang von Standardpasswörtern (beispielsweise ist bei einer Neuinbetriebnahme eines System eine Neueingabe von Benutzerdaten erforderlich) Vermeidung von Sicherheitslücken im Programmcode (in dieser Untersuchung Webserver-Applikation) Bei der Überprüfung der eigenen Netzwerksicherheit sind gesetzliche Regelungen der einzelnen Länder zu beachten. In Deutschland wird dies in 202c StGB ( Hackerparagraph ) geregelt. Eine weitere Maßnahme ist das Einführen eines Risikomanagements für IT-Netzwerke. In Deutschland existiert dafür die DIN EN Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten. Mit der Norm werden Maßnahmen zur Risikoanalyse von Geschäftsprozessen empfohlen, um eventuelle Netzwerkschwachstellen zu erkennen und zu regeln. Dazu zählen beispielsweise: die Regelung der Verantwortlichkeiten die Ermittlung der kritischen Geschäftsprozesse die Ermittlung der Abhängigkeiten in der Klinikinfrastruktur die Schutzbedarfsanalyse und die anschließende Bewertung möglicher Gefährdungen das Bestimmen von Maßnahmen zur Regulierung der Sicherheitslücken Durch die Einführung eines Risikomanagements werden die 172 Wissenschaftliche Beiträge Forschungsbericht / Research Report

8 Risiken den verantwortlichen Stellen bewusst und können je nach Gefährdungsgrad abgestimmt werden. 4 Zusammenfassung und Diskussion Mit der durchgeführten Erstanalyse wird verdeutlicht, dass vernetzte medizinische Geräte in unsicheren IT-Netzwerken ein großes Risiko der Patientensicherheit sind. Durch den Teilschritt Sniffing wird die Identifikation von den sensiblen Daten der Infusionspumpen-Einheit ermöglicht. Das Scanning verschafft eine Übersicht der Schwachstellen, wie die offenen Ports. Mit diesen Kenntnissen gelingt es die Webserver-Applikation zu starten. Aufgrund der nicht veränderten Standardpasswörter ist eine Authentifizierung der Webserver-Applikation möglich. Des Weiteren wurden weitere Sicherheitslücken der Webserver-Applikation festgestellt. Auf Grund des Zu griffs auf die Webserver-Applikation können sensible Patienteninformationen, wie Stammdaten des Patienten oder die Art oder Dosierung der Medikamente an Unbefugte gelangen. Der Datenfluss von der Infusionspumpen-Einheit zur Webserver-Applikation geschieht in Echtzeit. Ein Test auf einen Netzwerkausfall ergab keine direkte Warnung es leuchtete ein roter kleiner Kreis im Browser. Die Überwachungswerte der Patienten wurden wie im Normalbetrieb angezeigt. Wäre zu diesem Zeitraum eine Störung an der Infusionspumpen-Einheit, bliebe diese mit dem Monitoring über die Webserver-Applikation unbemerkt. Aufgrund der gravierenden Sicherheitslücken sind Datensicherheit und Datenschutz gefährdet und erfüllen unter anderem nicht die Bedingungen des Bundesamtes für die Sicherheit in der Informationsverarbeitung (BSI). Kliniknetzwerke haben standardmäßig hard- und softwarebasierte Schutzmaßnahmen integriert [5]. Diese enthalten häufig Fehlerquellen, denn die Kenntnisse zu den Funktionsweisen der medizinischen Geräte fehlt. Mit der DIN EN wird eine Hilfestellung gegeben, um medizinische IT-Netzwerke besser zu schützen. Die Norm wurde speziell für das Gesundheitswesen erarbei tet und hat einen empfehlenden Charakter. Es wird darüber diskutiert, ob diese Norm als als aktueller Stand der Technik bei Haftungsansprüchen gilt, z. B. wenn ein Patient durch eine Störung von vernetzten medizinischen Geräten zu Schaden kommt [5]. Literaturverzeichnis [1] Bloomberg: McAfee Hacker Says Medtronic Insulin Pumps Vulnerable to Attack. print/ /mcafee-hacker-says-medtronic-insulinpumps-vulnerable-to-attack.html. Version: February 2012 zuletzt zugegriffen am , 14:20 Uhr [2] Bundesministeriums der Justiz und für Verbraucherschutz in Zusammenarbeit mit der juris GmbH: Verordnung über das Errichten, Betreiben und Anwenden von Medizinprodukten (Medizinprodukte-Betreiberverordnung MP- BetreibV). June 1998 [3] Golem.de: Medizinische Geräte Der hackbare Patient. golem.de/news/medizinische-geraete-derhackbare-patient html. Version: December Zuletzt zugegriffen am :00 [4] Kraft, Peter; Weyert, Andreas: Network Hacking. Franzis Verlag GmbH, 2012 (3) [5] Schömig, Edgar; Heinen, Peter: Risikomanagemnet für vernetzte medizinische Geräte. In: KU Gesundheitsmanagement (2014), January [6] Thalmayr, Maria: Verordnete Zusammenarbeit. In: kma Das Gesundheitswirtschaftsmagazin (2014), March. ISSN [7] Wimmer, Barbara: Forscher zeigt: So leicht lassen sich Medizingeräte hacken. FUTUREZONE. at/lebensart/technik/medizingeraete-lassen-sich-leichthacken/ Version: November Zuletzt zugegriffen am , 19:15 Uhr Forschungsbericht / Research Report Wissenschaftliche Beiträge 173