01.01.2019 - 31.12.2021

MITS.NRW - Cybersicherheit im Gesundheitswesen

Im Projekt „MITSicherheit.NRW - Sicherheitsinstrumente zur Verbesserung der operativen Cybersicherheit für die Gesundheitswirtschaft“ wurden in Krankenhäusern innovative Sicherheitsinstrumente entwickelt und erprobt, die erstmalig medizinische Standardprotokolle in ihre Schwachstellenanalysen einbezogen.

alt
©ipopba - stock.adobe.com
MIT.Sicherheit.NRW

Schutz der Krankenhaus-IT vor Cyberattacken – mehr Sicherheit für Patientinnen und Patienten

Das von der EU und NRW-Landesregierung geförderte Forschungs- und Entwicklungsprojekt MITSicherheit.NRW widmete sich während seiner dreijährigen Laufzeit einem Thema, welches für die Digitale Transformation der Gesundheitswirtschaft von grundlegender Bedeutung ist: dem Schutz der Krankenhaus-IT vor Cyberattacken.

Unter der Konsortialführung von MedEcon Ruhr entwickelten und erprobten G-Data-Advanced Analytics, Visus Health IT und die radprax Gesellschaft für medizinische Versorgungszentren gemeinsam mit Forschern der Ruhr-Universität Bochum und der FH Münster sowie der Krankenhausgesellschaft NRW neue Lösungen, Sicherheitstools und -Dienstleistungen für die rund 340 Krankenhäuser in Nordrhein-Westfalen.

In der Einführungsphase erarbeiteten die Experten der Cybersecurity, der Medizinsoftwareentwicklung und der Anwendung gemeinsam die spezifischen Konfigurationen, Herausforderungen und Sicherheitsproblemen der medizinischen Datenkommunikation. Eine durchgeführte Studie zur IT-Sicherheitslage in den NRW-Krankenhäusern vertiefte die Einblicke um Einschätzungen aus den Krankenhäusern selbst.

Zur Testung neuer und bereits im Markt befindlicher Medizinsoftware wurde der MITS-Fuzzer entwickelt, welcher in einer Test-Krankenhausumgebung Softwareanwendungen auf Sicherheitslücken und Stabilitätsprobleme untersucht. Erstmalig wurden auch die für die medizinische Datenkommunikation wichtigen Protokolle DICOM und HL7 in die Schwachstellenanalyse einbezogen.

Die Ergebnisse aus dem Softwarefuzzing und den medizinischen Protokollanalysen wurden dem neu entwickelten Netzwerkscanner für dessen Analyse der Krankenhausumgebung (im Realbetrieb, innen) implementiert. Der MITS-Scanner wurde auf Basis bestehender Netzwerkscanner im Projektverlauf um die Ergebnisse der Softwareanalyse erweitert und gemeinsam mit Krankenhaus-IT-Leitungen auf notwendige Einsatzvoraussetzungen angepasst (Systemstabilität, Suchgeschwindigkeiten, spezifische Konfiguration,…).

In Ergänzung des MITS-Scanners für den Einsatz im Krankenhaus wurde der Large Scale Scanner für eine Verwundbarkeitsbewertung von Angriffen von außen entwickelt. Basierend auf der neu gewonnenen Projektexpertise in Bezug auf die spezifischen Konfigurationen und Internetverbindungen medizinischer Geräte und Software, werden ungenügende Sicherheitsvorkehrungen, offene Ports und fehlerhafte Konfigurationen aufgezeigt.

Bereits in der Projektlaufzeit konnten bisher unbekannte Sicherheitsprobleme an die Industrie oder die zuständigen Behörden gemeldet werden. Eine große Zahl von offenen Angriffswegen konnten über das Projekt identifiziert und in Zusammenarbeit mit der gematik und dem BSI bereits geschlossen werden.

Alle Projektergebnisse, weitere Informationen zu passenden Veranstaltungen und Angeboten in NRW sowie Foren und Sicherheitsnewsletter sind der im Projekt aufgebauten Plattform zu finden

Plattform www.mits.nrw

MITSicherheit zum Hören

Im Podcast erläutert Leif Grundmann vom Konsortialführer MedEcon Ruhr, welche Sicherheitsinstrumente für die Krankenhaus-IT entwickelt und erprobt werden und wie der Transfer in die Praxis erfolgen soll. Nebenbei wird auch erklärt, welche Bedeutung Fuzzing-Technologien haben, um Software systematisch auf Schwachstellen zu prüfen.

Zum Podcast
Darum geht es Symbolbild Kamerablick
©Goodpics - stock.adobe.com

Statement „Nachhaltige Impulse“

„MITSicherheit.NRW setzt nachhaltige Impulse, um die medizinische IT-Sicherheit in Nordrhein-Westfalen zu verbessern. Krankenhäuser brauchen sichere Infrastrukturen, dafür sammeln wir die Fachexpertise und laden ein zum Mitmachen.“

Leif Grundmann, MedEcon Ruhr