Zusammenfassung
Medizinische Einrichtungen waren in den letzten Jahren immer wieder von Cyber-Angriffen betroffen. Auch wenn sich diese Angriffe derzeit auf die Office-IT-Infrastruktur der Einrichtungen konzentrieren, existiert mit medizinischen Systemen und Kommunikationsprotokollen eine weitere wenig beachtete Angriffsoberfläche. In diesem Beitrag analysieren wir die weit verbreiteten medizintechnischen Kommunikationsprotokolle DICOM und HL7 sowie Protokoll-Implementierungen auf ihre IT-Sicherheit. Dafür präsentieren wir die Ergebnisse der Sicherheitsanalyse der DICOM- und HL7-Standards, einen Fuzzer (“MedFUZZ”) für diese Protokolle sowie einen Schwachstellenscanner (“MedVAS”), der Schwachstellen in medizintechnischen Produktivumgebungen auffinden kann.
Article PDF
Explore related subjects
Discover the latest articles, news and stories from top researchers in related subjects.Avoid common mistakes on your manuscript.
Literatur
Agnew, Joe: Medical Device Security, Part 1: How to Scan Devices Without Letting Safety Flatline. Bericht, Rapid7, April 2019. https://www.rapid7.com/blog/post/2019/04/29/medical-device-security-how-toscan-devices-without-letting-safety-flatline.
Benson, Tim; Grieve, Graham: Principles of Health Interoperability. Springer Verlag London, 3. Auflage, 2016.
Blobel, Bernd; Spiegel, Volker; Pharow, Peter; Engel, Kjeld; Krohn, Rolf: Standard Guide for EDI (HL7) Communication Security. 1999. https://www.hl7.org/implement/standards/product_brief.cfm?product_id=238.
Bhargavan, Karthikeyan; Leurent, Gaëtan: On the Practical (In-)Security of 64-Bit Block Ciphers: Collision Attacks on HTTP over TLS and OpenVPN. In: Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. CCS ’16, Association for Computing Machinery, New York, NY, USA, S. 456–467, 2016.
Bundesamt für Sicherheit in der Informationstechnik (BSI): Open Vulnerability Assessment System (OpenVAS). https://www.bsi.bund.de/EN/Topics/Industry_CI/ICS/ Tools/OpenVAS/OpenVAS_node.html, abgerufen am 20.09.2021.
Bundesgesetzblatt Jahrgang 2015: Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen sowie zur Änderung weiterer Gesetze. Bundesanzeiger Verlag, Kapitel Teil 1, Nr. 54, S. 2408–2423, Dezember 2015. http://www.bgbl.de/ xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s2408.pdf.
NHapi. http://nhapi.sourceforge.net/home.php, abgerufen am: 09.11.2021.
Dameff, Christian; Bland, Maxwell; Levchenko, Kirill; Tully, Jeff: Pestilential Protocol: How Unsecure HL7 Messages Threaten Patient Lives. In: Blackhat USA 2018. August 2018. https://i.blackhat.com/us-18/Thu-August-9/us-18-Dameff-PestilentialProtocol-How-Unsecure-HL7-Messages-Threaten-Patient-Lives-wp.pdf.
Duggal, Anirudh: HL7 2.X Security. In: HITBSecConf 2017. April 2017. https://paper.bobylive.com/Meeting_Papers/HITB/2017/D2T2---AnirudhDuggal---Hacking-Medical-Devices-and-Healthcare-Infrastructure.pdf.
Eichelberg, Marco; Kleber, Klaus; Kämmerer, Marc: Cybersecurity Challenges for PACS and Medical Imaging. Academic Radiology, 27(8):1126–1139, 2020.
Eichelberg, Marco; Kleber, Klaus; Kämmerer, Marc: Cybersecurity in PACS and Medical Imaging: an Overview. Journal of Digital Imaging, 2020.
Eichelberg, Marco; Kleber, Klaus; Kämmerer, Marc: Cybersecurity Protection for PACS and Medical Imaging: Deployment Considerations and Practical Problems. Academic Radiology, 2020.
gematik:SpezifikationKonnektor,Version5.14.0. September2021. https://fachportal.gematik.de/fachportal-import/files/gemSpec_Kon_V5.14.0.pdf.
OpenVAS – Open Vulnerability Assessment Scanner. https://openvas.org, abgerufen am 09.11.2021.
Greenbone Networks GmbH: Sicherheitsbericht – Ungeschützte Patientendaten im Internet. September 2019. https://www.greenbone.net/wp-content/uploads/ CyberResilienceReport_DE.pdf.
Health Level Seven International: Health Level Seven Version 3. Januar 2017. https://www.hl7.org/implement/standards/product_brief.cfm?product_id=186.
Health Level Seven International: HL7 Messaging Standard Version 2.9. Dezember 2019. https://www.hl7.org/implement/standards/product_brief.cfm?product_id=516.
Joyia, Gulraiz Javaid; Akram, Muhammad Usman; Akbar, Chaudary Naeem; Maqsood, Muhammad Furqan: Evolution of Health Level-7: A Survey. In: Proceedings of the 2018 International Conference on Software Engineering and Information Management. ICSIM2018, Association for Computing Machinery, New York, NY, USA, S. 118–123, 2018.
Klick, Johannes; Koch, Robert; Brandstetter, Thomas: Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic. In: 2021 13th International Conference on Cyber Conflict (CyCon). S. 73–94, 2021.
Kaliski, B.; Staddon, J.: PKCS #1: RSA Cryptography Specifications Version 2.0. Internet Engineering Task Force (IETF), Oktober 1998. https://datatracker.ietf.org/doc/ html/rfc2437.
Manès, Valentin Jean Marie; Han, HyungSeok; Han, Choongwoo; Cha, Sang Kil; Egele, Manuel; Schwartz, Edward J.; Woo, Maverick: The Art, Science, and Engineering of Fuzzing: A Survey. IEEE Transactions on Software Engineering, S. 1–1, 2019.
SharpFuzz: Bringing the power of afl-fuzz to .NET platform. https://mijailovic.net/2019/01/03/sharpfuzz/, abgerufen am: 09.11.2021.
National Electrical Manufacturers Association (NEMA): The DICOM Standard. http://dicom.nema.org/medical/dicom/2021d/, 2021. Stand 2021d, abgerufen am 05.11.2021.
NIST: Update to Current Use and Deprecation of TDEA. Juli 2017. https://csrc.nist.gov/News/2017/Update-to-Current-Use-and-Deprecation-of-TDEA.
DICOM-Toolkit (DCMTK). https://dcmtk.org/, abgerufen am: 09.11.2021.
Security Work Group: HL7 Healthcare Privacy and Security Classification System (HCS). Bericht, HL7 International, August 2014. https://www.hl7.org/implement/standards/product_brief.cfm?product_id=345.
Sutton, Michael; Greene, Adam; Amini, Pedram: Fuzzing – Brute Force Vulnerability Discovery. Pearson Education Inc., 2007.
Sheffer, Y.; Holz, R.; Saint-Andre, P.: Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS). Internet Engineering Task Force (IETF), Mai 2015. https://tools.ietf.org/pdf/bcp195.pdf.
Somorovsky, Juraj: Systematic Fuzzing and Testing of TLS Libraries. In: Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. CCS ’16, Association for Computing Machinery, New York, NY, USA, S. 1492–1504, 2016.
Stevens, Marc; Bursztein, Elie; Karpman, Pierre; Albertini, Ange; Markov, Yarik: The first collision for full SHA-1. In: Annual international cryptology conference. Springer, S. 570–596, 2017.
Saatjohann,Christoph;Tschirsich,Martin;Brodowski,Christian:Tutmalkurzweh–Neues aus der Gesundheits-IT. In: Remote Chaos Experience (rC3). Dezember 2020. https://media.ccc.de/v/rc3-11342-tut_mal_kurz_weh_neues_aus_der_gesundheits-it.
Wang, Zhiqiang; Li, Quanqi; Wang, Yazhe; Liu, Biao; Zhang, Jianyi; Liu, Qixu: Medical Protocol Security: DICOM Vulnerability Mining Based on Fuzzing Technology. In: The 2019 ACM SIGSAC Conference. S. 2549–2551, 11 2019.
Wang, Xiaoyun; Yu, Hongbo: How to Break MD5 and Other Hash Functions. In (Cramer, Ronald, Hrsg.): Advances in Cryptology – EUROCRYPT 2005. Springer Berlin Heidelberg, Berlin, Heidelberg, S. 19–35, 2005.
american fuzzy lop. https://lcamtuf.coredump.cx/afl/, abgerufen am: 09.11.2021.
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Saatjohann, C., Ising, F., Gierlings, M. et al. Sicherheit medizintechnischer Protokolle im Krankenhaus. Datenschutz Datensich 46, 276–283 (2022). https://doi.org/10.1007/s11623-022-1603-x
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-022-1603-x