Vernetzt? Aber sicher! Safety, Security und Privacy in der Medizintechnik

| Autor: Kathrin Schäfer

Es geht bei dem Thema Sicherheit von Medizintechnik im Internet der Dinge nicht allein um Privacy, also den Schutz von Patientendaten. Es geht auch um Security, das heißt den Schutz vor Angriffen von außen, sowie um Safety: Wenn Medizingeräte manipuliert werden, sind sie nicht mehr sicher zu betreiben.
Es geht bei dem Thema Sicherheit von Medizintechnik im Internet der Dinge nicht allein um Privacy, also den Schutz von Patientendaten. Es geht auch um Security, das heißt den Schutz vor Angriffen von außen, sowie um Safety: Wenn Medizingeräte manipuliert werden, sind sie nicht mehr sicher zu betreiben. (Bild: © Elnur Amikishiyev - stock.adobe.com)

Digitalisierung ist der Trend im Gesundheitswesen. Doch vernetzte Medizingeräte müssen dabei sicher bleiben – vor unerlaubten Zugriffen, Datenklau und Manipulationen.

  • Safety, Security und Privacy
  • Patienten vor Hackerangriffen und Cyberattacken schützen
  • Neue EU-Datenschutzgrundverordnung und IT-Sicherheitsgesetz

Mit dem iPhone X hat Apple vor nicht allzu langer Zeit das jüngste Modell seiner begehrten Mobiltelefone auf den Markt gebracht. Obwohl es mit einem Verkaufspreis von über 1.000 Euro recht teuer zu Buche schlägt, wurde es allein im vierten Quartal 2017 weltweit 29 Millionen Mal verkauft. So manch ein Träger mag das teure Stück daher hüten wie seinen Augapfel. Und genau das sollte er auch mit seinen persönlichen Daten tun, die er auf dem Handy gespeichert hat. Genauer gesagt: mit seinen Gesundheitsdaten, die er beispielsweise über die Apple Health App auf dem Gerät speichert. Denn dass Gesundheitsdaten inzwischen auf dem Schwarzmarkt mehr wert sind als die Kreditkartendaten ihrer Träger, ist längst kein Geheimnis mehr.

„Statt auf Kreditkarten schielen Cyberkriminelle jetzt vorwiegend auf Datensätze aus dem Gesundheitssektor, darunter Patientendaten“, so Arndt Kohler, Associate Partner bei IBM Security Europe. Weltweit seien 2015 rund 100 Millionen davon in die Hände von digitalen Dieben geraten, die damit auf dem Internetschwarzmarkt einen guten Preis erzielen.

Ohne IT- und Cybersicherheit keine erfolgreiche Digitalisierung

Doch nicht nur jeder einzelne ist dazu aufgerufen, sorgsam mit seinen Daten umzugehen – indem er beispielsweise darauf achtet, welche Medical Apps er auf seinem Smartphone nutzt. Vor allem Medizintechnikunternehmen sowie Gesundheitseinrichtungen müssen Sorge dafür tragen, dass die Daten von Patienten vor Hackerangriffen und Cyberattacken sicher geschützt sind. Bereits mehrmals haben solche Hackerangriffe auf Kliniken weltweit von sich reden gemacht. So hat Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, im Zusammenhang mit Medienberichten zu Sicherheitslücken in Herzschrittmachern im September 2017 erklärt: „Der aktuelle Fall der Sicherheitslücken in Herzschrittmachern zeigt, wie weit die Vernetzung und Digitalisierung auch in intimste Bereiche des Lebens fortgeschritten ist und welche Risiken damit verbunden sind – auch für Leib und Leben der Bürgerinnen und Bürger. Im konkreten Fall mag ein Angriff nur sehr aufwändig durchzuführen sein, dennoch wird deutlich, dass die Digitalisierung nur erfolgreich sein kann, wenn gleichzeitig IT- und Cyber-Sicherheit gewährleistet sind.“

Der Fall Herzschrittmacher macht vor allem eines deutlich: Es geht bei dem Thema Sicherheit von Medizintechnik im Internet der Dinge nicht allein um Privacy, also den Schutz von Patientendaten. Es geht auch um Security, das heißt den Schutz vor Angriffen von außen, sowie um Safety: Wenn Medizingeräte manipuliert werden, sind sie nicht mehr sicher zu betreiben. Damit Medizingeräte also nicht zu Sicherheitsrisiken werden, müssen diese drei Aspekte, Privacy, Security und Safety, ineinandergreifen. Doch einfacher gesagt als getan.

Video mit Vortrag von Roel van Rijsewijck (Deloitte) über Cybersecurity in der Medizintechnik. Unbedingt anschauen!

Wanna-Cry und Co.: Gefahren durch Ransomware sind real

Ähnlich besorgt wie BSI-Chef Schönbohm gibt sich Sergey Lozhkin. Er muss es wissen: Als Senior Researcher arbeitet er bei Kaspersky Lab, einem Unternehmen, das vielen als Anbieter von Antiviren-Software ein Begriff ist. Lozhkin sieht zum einen Gefahren durch Ransomware als real: Hier nistet sich Erpresser-Software in ein Kliniknetzwerk ein und verschlüsselt medizinische Daten, bis Lösegeld gezahlt wird – wie 2017 bei Wanna-Cry. Zum anderen fürchtet Lozhkin den Diebstahl sowie, schlimmer noch, die Manipulation von Patientendaten: „Krankenhäuser bestehen nicht länger nur aus Ärzten und medizinischen Geräten, sondern auch aus IT-Services. Die Arbeit der internen Sicherheitsdienste einer Klinik beeinflusst die Sicherheit der Patientendaten und die Funktionalität der Geräte“, erklärt Lozhkin. Erhalten Cyberkriminelle Zugriff auf solche Geräte und damit auch auf Patientendaten, sind im schlimmsten Fall gar eine Neukonfiguration der Geräte, eine Sabotage oder gefälschte Diagnosen denkbar.

Ergänzendes zum Thema
 
Devicemed-Kommentar: „Jeder muss seine Systeme patchen“
Welche Auswirkungen haben die beiden Schwachstellen Spectre und Meltdown auf den Health­care-Bereich? Ein Kommentar von Thomas Ehrlich, Country Manager DACH beim Sicherheitsexperten Varonis Systems:

2017 befragt, wie häufig sie in den vergangenen 12 Monaten von Cyber- Angriffen betroffen waren, gaben zahlreiche Unternehmen an, dass sie schon mehr als einmal Opfer von Attacken waren.
2017 befragt, wie häufig sie in den vergangenen 12 Monaten von Cyber- Angriffen betroffen waren, gaben zahlreiche Unternehmen an, dass sie schon mehr als einmal Opfer von Attacken waren. (Bild: Hiscox / Statista)

SSH-Schlüssel: höchster Schutz für sensible Datenübertragungen

Die Befürchtungen der Experten lassen sich mit aktuellen Zahlen stützen: Venafi, ein Spezialist für den Schutz von Maschinenidentitäten, hat erst Anfang März die Ergebnisse einer Studie vorgestellt, die deutlich macht, wie Unternehmen aus der Gesundheitsbranche Secure Shell (SSH) managen und schützen. Secure Shell bezeichnet ein Netzwerkprotokoll oder auch entsprechende Programme, mit deren Hilfe man sicher eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät herstellen kann. Mehr als 100 IT-Sicherheitsverantwortliche hat Venafi weltweit befragt. „Den Ergebnissen der Umfrage zufolge stellen SSH-Schlüssel zwar den höchsten Schutz für sensible Datenübertragungen dar, werden aber weder regelmäßig nachverfolgt noch verwaltet und nur schlecht abgesichert“, stellt Nick Hunter fest, Senior Digital Trust Forscher bei Venafi. Lediglich 8 Prozent der Befragten hätten angegeben, dass sie eine komplette und akkurate Auflistung aller SSH-Schlüssel haben. Wenn Unternehmen aus dem Gesundheitssektor jedoch nicht wissen, wo ihre SSH-Schlüssel eingesetzt werden oder wie diese verwaltet werden, können sie nicht feststellen, ob diese gestohlen oder missbraucht wurden, geschweige denn, ob ihnen weiterhin vertraut werden kann.

Das RTOS als treibende Kraft im Internet der Dinge

Embedded IoT-Lösungen

Das RTOS als treibende Kraft im Internet der Dinge

Dieses Whitepaper beleuchtet, durch welche wichtigen Funktionen und Merkmale ein RTOS die Herausforderungen des Internet der Dinge in der Medizintechnik meistert und dessen Potenzial ausschöpft. weiter...

„Es ist absolut erforderlich, dass Krankenhäuser und ähnliche Unternehmen ihre maschinellen Identitäten schützen“, so Hunter. Das bedeutet: „SSH-Schlüssel bieten einen privilegierten Zugang, der genauso geschützt werden muss wie Accounts und Passwörter von Administratoren.“

Medizingerätehersteller müssen sich mit Cybersecurity auseinandersetzen

Bei Kaspersky Lab rät man Organisationen, die sensible Infrastruktursysteme unterhalten, neben allgemeingültigen Sicherheitsmaßnahmen im Netzwerk folgende Security-Aspekte zu beachten:

  • Sensible Geräte und Systeme wie medizintechnische Geräte müssen vom regulären IT-Netzwerk getrennt sein. Über eine Segmentierung von kritischen Systemen innerhalb des Internets der Dinge wird mehr Sicherheit geschaffen.
  • Entwickler medizinischer Geräte sowie die Krankenhausleitung und -verwaltung sollten sich mit dem Thema Cybersicherheit auseinandersetzen, zum Beispiel über IT-Sicherheitsschulungen. Zudem müssen regelmäßig IT-Sicherheitstests und -revisionen durchgeführt werden.
  • Stichwort Security-Schwachstellen: Entwickler von IoT-fähigen Geräten sollten mehr in die IT-Sicherheit ihrer Produkte investieren. Bei der Anschaffung entsprechender Geräte sollte auf den Aspekt „Security-by-Design“ geachtet werden.

Bei Dräger weiß man: IT-Sicherheit ist ein fortwährender Prozess

Eine Medizintechnikfirma, die hier vorbildhaft agiert, ist Dräger. Um die IT-Sicherheit seiner Medizingeräte weiter zu erhöhen, hat Dräger Sicherheitsvorgaben eingeführt. Darüber hinaus hat Dräger eine eigene Cyber-Security-Website eingerichtet. Die Sicherheitsvorgaben von Dräger greifen beim Design neuer Produkte, bei deren Herstellung sowie später im Betrieb in der Klinik. Damit möchte Dräger Kliniken noch aktiver unterstützen, das Sicherheitsniveau ihrer vernetzten Medizingeräteparks stetig zu verbessern.

„Technik für das Leben muss verlässlich sein. Für uns bedeutet das, bereits früh in der Entwicklung neuer Produkte an ein sicheres Design zu denken“, so Hannes Molsen, der bei Dräger für die Sicherheit aller Produkte verantwortlich ist. Das bedeutet beispielsweise bei der Software-Entwicklung von Anfang an mögliche Sicherheitslücken zu simulieren und auszuschließen. Zu den weiteren Vorgaben gehört, Medizingeräte mit dem höchstmöglichen Sicherheitsstandard auszuliefern, sie gegen nicht-autorisierte Zugriffe zu schützen und ihre Betriebssysteme zu „härten“: „Indem wir unnötige Software-Bestandteile weglassen, können wir mögliche Angriffspunkte von vornherein begrenzen“, so Molsen. Um Geräte über ihren gesamten Lebenszyklus sicher zu betreiben, müssen sie zudem so entwickelt werden, dass sie auch nachträglich Sicherheits-Updates erhalten können.

„Hundertprozentige IT-Sicherheit kann niemand versprechen, aber es gibt Möglichkeiten, ein hohes Niveau zu erreichen“, betont Molsen. Dazu trägt beispielsweise der Austausch mit externen Entwicklern und IT-Anwendern bei.

Medizinische IT ist verstärkt betroffen

Doch nicht nur die Industrie, auch die Wissenschaft hat erkannt, wie wichtig das Thema IT-Sicherheit für die Gesundheitsbranche ist. Auf einer Konferenz des Bundesverbands Medizintechnologie zu E-Commerce war deshalb am 21. Februar auch Prof. Dr. Sebastian Schinzel von der Fachhochschule Münster zu Gast und beleuchtete das Thema Cybersicherheit und Medizintechnik. Als neu stuft Schinzel Geschäftsmodelle von Kriminellen wie den bereits erwähnten Verschlüsselungs-Trojaner Wanna-Cry ein, mit dem Geld erpresst werden soll. Von solchen Angriffen sei die medizinische IT, die oft auf Windows-Rechnern läuft, verstärkt betroffen. So gebe es beispielsweise seit diesem Jahr Malware, die gezielt Krankenhäuser angreift – mit einem Fokus auf bildgebende Systeme.

Neue Anwendungen der „Smart Medicine“ sind dabei genauso gefährdet. Auch Schinzel mahnt: Unternehmen müssen mehr in den Schutz der Systeme und der Patientendaten investieren: „Cybersicherheit muss jetzt auch in den Krankenhäusern und der Medizintechnik ein wichtigeres Thema werden.“ Das Projekt Medi-Sec der Fachhochschule will dabei helfen, IT-Systeme der Krankenhäuser und Medizintechnikhersteller sicherer zu machen.

Datenschutz: Was kommt auf Medizintechnikhersteller zu?

Eine Frage, die sich Medizintechnikunternehmen im Zusammenhang mit dem Schutz von Patientendaten stellen müssen: Was kommt durch die neue EU-Datenschutzgrundverordnung und das IT-Sicherheitsgesetz auf sie zu? Denn hier läuft bereits der Countdown: Am 25. Mai 2018 ersetzt die neue EU-Datenschutzgrundverordnung das bislang geltende Bundesdatenschutzgesetz (BDSG) als unmittelbar geltendes Recht. Parallel dazu gilt ab dem 25. Mai 2018 eine neue Fassung des BDSG. Das neue Datenschutzrecht bringt für Medizinprodukteunternehmen eine Vielzahl neuer Regelungen und Anforderungen mit sich.

Dazu gehören technische und organisatorische Maßnahmen gegen Cyber-Angriffe, das Führen eines Verzeichnisses aller technischen und organisatorischen Daten-Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und dokumentierte Nachweise, wie die Datenschutzregelungen eingehalten werden sollen.

Die gesetzlichen Vorgaben müssen zeitnah umgesetzt werden, um drastisch erhöhte Bußgelder zu vermeiden. Denn bei Verstoß drohen Unternehmen Sanktionen von bis zu 20 Mio. Euro oder bis zu 4 Prozent ihres weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Übrigens: Der BV-Med hat gerade einen Leitfaden zum Datenschutz für die Hersteller von Medizinprodukten veröffentlicht. Die Broschüre „Datenschutz bei Medizinprodukten“ gibt praxisorientiert Hilfestellung.

Auf welcher Ebene Medizintechnikunternehmen auch anfangen, sich mit dem Thema Sicherheit zu beschäftigen – wichtig ist das Bewusstsein, dass hier dringender Handlungsbedarf besteht. Die zunehmende Digitalisierung von Medizingeräten und -produkten ist nicht aufzuhalten. Safety, Security und Privacy sicherzustellen, zählt jetzt zu den dringlichsten Aufgaben.

Lesen Sie auch:

Cybersicherheit – eine Aufgabe für alle im Gesundheitssystem

ZVEI exklusiv

Cybersicherheit – eine Aufgabe für alle im Gesundheitssystem

05.03.18 - Cybersicherheit wird in der Gesundheitswirtschaft zu einem immer wichtigeren Thema. Denn auch deutsche Krankenhäuser sind schon mehrfach mit Ransomware angegriffen worden, teilweise mit massiven Folgen für den Betrieb. lesen

Diskussion und Empfehlung zu Cybersicherheit von Medizinprodukten

Expertengespräch auf der Compamed 2017

Diskussion und Empfehlung zu Cybersicherheit von Medizinprodukten

16.11.17 - „Wirklich sicher sind Geräte im Netz nicht zu betreiben“, lautete ein Statement beim Expertengespräch Cyber Security des Compamed Suppliers Forums by Devicemed 2017. Der ZVEI erarbeitet aktuell eine Empfehlung zu Cybersicherheit in der Medizintechnik. lesen

Weitere Meldungen zu Cybersicherheit in der Medizintechnik finden Sie in unserem Themenkanal Szene.

Kommentare werden geladen....

Diesen Artikel kommentieren

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

DER COMMUNITY-NEWSLETTER Newsletter abonnieren.
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45159292 / Szene)