Deepfake-Malware kann Radiologen zu der Diagnose führen, dass ein Arzt davon ausgehen muss, dass Sie Krebs haben.

Eines der größten Probleme für Menschen, sich mit Computersicherheit zu beschäftigen, ist die Tatsache, dass das Thema für normale Anwender langweilig ist. Hin und wieder wird jedoch ein Fehler aufgezeigt, der das Potenzial hat, die Mauern der Langeweile einzureißen und im öffentlichen Bewußstsein einzuschlagen.

Einer Gruppe israelischer Forscher ist genau dieses nun gelungen, indem sie demonstrierten, dass Malware, die auf CT- und MRI-Geräten ausgeführt wird, entweder realistische Bilder von Krebsgeschwüren injizieren kann – oder diese Tumore vollständig aus den bildgebenden Verfahren zu entfernen. Diese Täuschungen können so echt simuliert werden, dass erfahrene Techniker und Radiologen sich täuschen ließen.

Ziel dieser Demonstration war das Aufzeigen von Sicherheitslücken in medizinischen Geräten, auf die Mediziner in Krankenhäuser und Kliniken reagieren sollten. Krankenhäuser sind generell attraktive Ziele für Attacken, da dort sensible Patientendaten gespeichert sind.

Die Unterbrechung der Zugriffsmöglichkeiten auf solche Daten könnte buchstäblich Leben kosten, wenn die entsprechenden Systeme von Schadsoftware durchdrungen würden.

In dem Bericht wird darauf hingewiesen, dass die Sicherheitssysteme für Krankenhäuser, die mit PACS (Bildarchivierungs- und Kommunikationssystemen) in Verbindung stehen, die sowohl von CT- als auch von MRI-Geräten verwendet werden, stark veraltet und häufig schlecht gewartet und verwaltet werden. Bei einer Online-Suche mit Shodan.io (einer Suchmaschine für IoT-Geräte) wurden 1.849 DICOM-Server (Medical Image) und 842 PACS-Server im Internet gefunden. Forscher haben gezeigt, dass diese Dienste für Angriffe von außen sowie für die Durchdringung von innen anfällig sind. Sie schreiben:

„Da medizinische 3D-Scans eindeutige Beweise für medizinische Zustände liefern, kann ein Angreifer mit Zugriff auf einen Scan das Ergebnis der Patientendiagnose ändern. Beispielsweise kann ein Angreifer Aneurysmen, Herzkrankheiten, Blutgerinnsel, Infektionen, Arthritis, Knorpelprobleme, gerissene Bänder oder Sehnen, Tumore im Gehirn, Herz oder die Wirbelsäule und andere Krebsarten hinzufügen oder entfernen.“

Die Vorstellung, dass Nationalstaaten oder andere Akteure auf bestimmte Personen abzielen könnten, schien vor zehn Jahren weit hergeholt zu sein, nun aber nicht mehr. Man geht davon aus, dass die Vereinigten Staaten und Israel Stuxnet benutzt haben, um iranische Zentrifugensysteme zu verkrüppeln. Dank Ed Snowden wissen wir, dass die NSA bestimmte Computer abgehört hat, um Rootkits auf verschiedenen Systemen zu installieren. Ein aktueller Angriff von Asus wurde von einem Akteur gestartet, der versuchte, 600 bestimmte Systeme mit Malware auf der Grundlage ihrer MAC-Adressen zu infizieren. Es ist nicht bekannt, wie die Angreifer Asus getroffen haben. Die Identität der Ziele, die sie anzustecken versuchten, ist auch nicht bekannt. Aber die Idee eines gezielten Angriffs, der Unstimmigkeiten oder Unsicherheiten auslösen soll, indem wir beispielsweise Personen ansprechen, die sich für ein Amt bewerben, können wir nicht länger bequem in den Bereich der Science-Fiction stellen.

Durch den Einsatz von maschinellem Lernen konnten die Forscher falsche Daten in CT-Scans injizieren, die sich als fähig erwiesen, medizinische Fachkräfte zu täuschen, die mit der Bildanalyse beauftragt wurden. 2D-Bilder haben sich als schwierig zu manipulieren erwiesen, so dass sie von geschulten Analytikern selbst dann nicht bearbeitet werden können, wenn sie von einem digitalen Künstler mit Photoshop erstellt werden. Die Autoren stellen fest, dass selbst wenn ein Künstler eingestellt wird, „es schwierig ist, Krebs realistisch zu injizieren oder zu entfernen.“

Die Erzeugung von 3D-Krebsbildern verwendet jedoch ein maschinelles Lernmodell, das als GAN (Generative Adversarial Network) bezeichnet wird. Eine GAN stellt zwei verschiedene Maschinen gegeneinander. Der Generator versucht, falsche Bilder zu erstellen. Der andere, der Diskriminator, versucht, diese Bilder als falsch zu identifizieren. Das Ergebnis dieses Trainings ist ein Generator, der letztendlich „lernt“, wie er die Diskriminator-Maschine täuschen kann, indem er herausfindet, welche Arten von Fälschungen seine Erkennungsalgorithmen auslösen. Wenn Ihr Diskriminator gut genug ist, erhalten Sie letztendlich ein tiefes CT- oder MRI-3D-Bild, das sehr schwer zu erkennen ist – umso mehr, als die Leute, die dafür bezahlt werden, keine Erwartung haben, dass es überhaupt gefälscht sein könnte.

Das Team führte einen Penetrationstest (Pen-Test) durch und konnte erfolgreich einen Raspberry Pi-Server infiltrieren und in das Krankenhausnetzwerk installieren. Sie schreiben:

Um zu überprüfen, ob wir die Scans abfangen und manipulieren können, haben wir einen medizinischen Dummy gescannt. Wir haben festgestellt, dass der Dummy-Scan zweimal über das Netzwerk gesendet wurde: einmal im Klartext über TCP an einen internen Web-Anzeigedienst und erneut unter Verwendung von TLSv1.2 an den PACS-Speicherserver. Zu unserer Überraschung befand sich jedoch auch die Nutzlast der TLS-Übertragung im Klartext. Darüber hinaus erhielten wir innerhalb von 10 Minuten die Benutzernamen und Kennwörter von über 27 Mitarbeitern und Ärzten aufgrund des Multicast-Ethernet-Verkehrs, der HTTP-POST-Nachrichten enthielt, die in Klartext gesendet wurden. Diese Schwachstellen wurden den IT-Mitarbeitern des Krankenhauses und ihrem PACS-Softwareanbieter mitgeteilt.

Um ihre Fälschungen zu testen, stellte das Team drei Radiologen ein und testete sie in einer Blind- und einer offenen Studie. Die Radiologen (mit 2,5 und 7 Jahren Erfahrung) bestätigten die Fälschungen in ihren Diagnosen als echt.

Madeleine Crimmins, 7.04.2019