Suchen

Green Hills Software Medizinisches IoT: Herausforderungen für das Gesundheitswesen

| Autor / Redakteur: Martin Nappi* / Miriam Grob

Das Aufkommen des Internets der Dinge (IoT) bietet enorme Möglichkeiten sowie tiefgreifende Herausforderungen für Unternehmen, die sich der digitalen Transformation stellen möchten. Keine Branche steht bei der Bewältigung dieses Wandels vor mehr Herausforderungen als das Gesundheitswesen.

Firma zum Thema

Was wünschen sich Gesundheitsdienstleister von Herstellern medizintechnischer Geräte in Bezug auf die Netzwerk- und Gerätesicherheit?
Was wünschen sich Gesundheitsdienstleister von Herstellern medizintechnischer Geräte in Bezug auf die Netzwerk- und Gerätesicherheit?
(Bild: Publitek)
  • Ungesicherte medizinische Geräte als Einfallstor für Cyberkriminelle
  • Hersteller medizinischer Geräte müssen Sicherheit gewährleisten
  • Vermeidung von Fehlfunktionen und Schwachstellen durch streng getestete Software

Unternehmen, die sich für den digitalen Wandel und das IoT interessieren, können jahrelang mit der „Digitalisierung“ kämpfen und dennoch scheitern. Krankenhäuser und andere Gesundheitsdienstleister sind genauso komplex wie andere Unternehmen und müssen zusätzlich für die Sicherheit ihrer Patienten und deren Gesundheitsdaten sorgen sowie sicherstellen, dass Einrichtungen rund um die Uhr betriebsbereit sind. Darüber hinaus ist die Gesundheitsbranche ein Ziel von immer raffinierteren Cyberkriminellen, die Ransomware installieren (um Lösegeld zu erpressen), Patientenakten stehlen oder Patienten mit vernetzten medizinischen Geräten wie Insulinpumpen oder Herzschrittmachern Schaden zufügen wollen.

Eine Gesundheitseinrichtung kann den Cybersicherheitsrichtlinien des National Institute of Standards Technology (NIST) zwar genau folgen, aber ihr Netzwerk wird nur so sicher sein wie der schwächste Zugangspunkt. Immer häufiger werden ungesicherte medizinische Geräte als Einfallstor verwendet, um sich Zugang zu einem Krankenhausnetzwerk zu verschaffen. Jede Art vernetzter medizinischer Geräte hat ihre eigene Komplexität, die zum Zeitpunkt des Produktdesigns gesichert werden muss. Jedes Gerät verfügt über eine Anwendungsprogrammierschnittstelle (API), eine Benutzeroberfläche, eine URL und häufig auch über Schnittstellen für HDMI, Bluetooth oder WLAN, die alle ausgenutzt bzw. missbraucht werden können, wenn sie vom Gerätehersteller nicht ordnungsgemäß gesichert werden. Leider liegt die Hauptverantwortung für die Sicherung dieser Geräte letztendlich beim Gesundheitsversorger.

Cyberkriminelle konzentrieren sich aufgrund des Schwarzmarktwerts von 300 bis 500 US-Dollar pro Datensatz vor allem auf den Diebstahl elektronischer Patientenakten. Sie können auch Malware oder Ransomware im Krankenhausnetzwerk installieren, die vernetzten Server und Systeme verschlüsseln und deaktivieren und so die Versorgung völlig zum Erliegen bringen. Die Systeme bleiben so lange funktionsunfähig, bis das Krankenhaus das Lösegeld zahlt, einen Weg findet, den Verschlüsselungsalgorithmus zu untergraben (selten eine einfache Aufgabe), oder die Systeme aus Backups wiederherstellt, was mehrere Tage oder länger dauern kann.

Organisationen des Gesundheitswesens tragen die Hauptlast

Die tatsächlichen Kosten eines großen Krankenhauses für die Wiederherstellung nach einem Ransomware-Angriff belaufen sich auf Millionen von US-Dollar. Die Kosten für kleinere Arztpraxen sind geringer, schließen aber nicht die Unterbrechung der Versorgung und den Zugang zu Gesundheitsinformationen der Patienten aus. Für Gesundheitsdienstleister können im Rahmen des US-HIPAA (Health Insurance Portability and Accountability Act) und der Allgemeinen Datenschutzverordnung hohe Geldstrafen für den Diebstahl elektronischer Patientenakten und die Verletzung persönlicher Gesundheitsinformationen verhängt werden. Hersteller medizinischer Geräte, die persönliche Gesundheitsdaten verarbeiten, speichern oder übertragen, können ebenfalls mit erheblichen Geldstrafen belegt werden, wenn sie bei einem Cyberangriff auf ein Krankenhaus, bei dem solche Daten kompromittiert wurden, nachweislich fahrlässig gehandelt haben.

Organisationen des Gesundheitswesens tragen die Hauptlast dieser lähmenden Angriffe. Im ersten Quartal 2018 wurden mehrere Krankenhäuser angegriffen und mit Ransomware infiziert. In den meisten Fällen wurde das Lösegeld bezahlt. Da Cyberkriminelle technisch immer raffinierter werden, müssen Hersteller medizinischer Geräte mindestens ebenso reaktionsschnell und raffiniert sein, um die Sicherheit ihrer Geräte zu gewährleisten.

Hersteller medizinischer Geräte sollten das Gesundheitswesen entlasten, das Ökosystem für medizinische Produkte verbessern und ein viel höheres Maß an Patientensicherheit bieten. Vom ersten Produktdesign an müssen sie streng getestete Software in ihren Geräten verwenden, um Fehlfunktionen und Schwachstellen zu vermeiden. Vernetzte Medizinprodukte müssen auf den Richtlinien der FDA (US-Gesundheitsbehörde) aufbauen und mit Cybersicherheitstechniken ausgestattet sein, die in der Lage sind, sich gegen hoch entwickelte, gut finanzierte Cyberangriffe verteidigen zu können. Neu vorgeschlagene SBOM-Leitlinien müssen die Gesundheitsbranche klar über die Risiken und Fähigkeiten vernetzter medizinischer Geräte informieren. Und schließlich sollte die Verantwortung für die Sicherung des medizinischen IoT gerechter verteilt werden. Diejenigen Hersteller dieser Geräte, die Sicherheit als oberste Priorität betrachten, werden beim medizinischen IoT erfolgreich sein und Patienten vor Cyberschäden schützen.

Gesundheitsorganisationen, Krankenhäuser, Kliniken und andere Anbieter sind die Hauptkunden und die Haupteinnahmequelle für Hersteller medizinischer Geräte. In einer Umfrage wurden ungefähr drei Dutzend Ärzte, Führungskräfte und Mitarbeiter anderer Organisationen nach ihren Gedanken zur Cybersicherheit befragt. Dazu mehr im Infokasten.

Lesen Sie auch

Weitere Artikel zur Führung von Medizintechnik-Unternehmen finden Sie in unserem Themenkanal Management.

* Martin Nappi ist Vice President of Business Development Medical Devices and Systems bei Green Hills Software. Er verfügt über 30 Jahre Erfahrung im Bereich eingebetteter Systeme.

(ID:46517444)