Mit der zunehmenden Vernetzung wächst auch die Gefahr von Angriffen. Für Medizintechnik-Hersteller bedeutet das eine komplexe Aufgabe. Sie müssen ihre Produktionsprozesse und die Kommunikation mit den Geräten beim Kunden schützen.
„Hacker könnten Narkosegeräte manipulieren“ – so lautete die Schlagzeile vor ein paar Monaten im Nachrichtenmagazin Spiegel. Hintergrund: Einem IT-Spezialisten war es gelungen, Zugriff auf das Narkosegerät eines großen Herstellers zu erlangen. Mithilfe seines Laptops konnte er die Steuerung des Geräts übernehmen, die Beatmung stoppen und alle Funktionen blockieren.
Glücklicherweise kam kein Patient zu schaden. Denn die Aktion war ein Test, mit dem der Hacker auf Sicherheitslücken aufmerksam machen wollte – im Auftrag eines Krankenhauses aus Süddeutschland.
Der erfolgreiche Angriff zeigt die Gefahr, die medizinischen Geräten durch die zunehmende Vernetzung droht. Je weiter diese voran schreitet, desto mehr Schlupflöcher für Hacker tun sich auf.
Auch Industrie 4.0 ist mitverantwortlich, dass die Gefahr zunimmt. Denn Teil dieses Konzeptes ist es, dass sich zum einen die Maschinen miteinander vernetzen, welche die Medizinprodukte fertigen. Und zum anderen kommunizieren die Produkte mit ihrem Hersteller, wenn sie an ihrem Einsatzort stehen – also etwa in Krankenhäusern oder Arztpraxen.
Von dort senden sie regelmäßig Nutzungsdaten. Dank dieser kann der Hersteller wichtige Erkenntnisse für seine Produktentwicklung gewinnen. Oder er ist in der Lage, Fehler früher zu erkennen und seine Wartung zu optimieren. „Der Produktionsprozess verlagert sich quasi“, meint Christian Methe, CEO von Exceet Secure Solutions aus Düsseldorf – einem Unternehmen, das auf Sicherheitstechnik spezialisiert ist und viele Kunden in der Medizintechnik hat. Zur Zeit würden sich fast alle Hersteller mit diesen Möglichkeiten beschäftigen.
Für Christian Gill, Director Digital Business beim Unternehmen SKF, ist Sicherheit in diesem Zusammenhang „eine der größten Herausforderungen“. SKF produziert ein breites Spektrum an Technologien und stellt unter anderem Linearsysteme für die Medizintechnik her.
„Es ist immer ein Balance-Akt, auf der einen Seite so viel wie möglich zu verbinden und auf der anderen Seite so wenig wie möglich zu riskieren“, erklärt Gill. „Ich kann mir gut vorstellen, dass es Unternehmen gibt, die aus Furcht vor einer Fernsteuerung gar nichts außerhalb ihres Intranets machen.“
Da das Thema Industrie 4.0 noch relativ neu ist, gibt es bisher noch wenig Fälle, in denen Hacker die neu entstandenen Sicherheitslücken genutzt haben. Zumindest sind nur wenige bekannt. Denn nicht alle Unternehmen, die entsprechende Probleme hatten, machen dies öffentlich.
Dabei sind es die Sicherheitsaspekte im Zusammenhang mit der smarten Fabrik durchaus wert, breit diskutiert zu werden, denn das Thema ist komplex. Es gibt viele Schrauben, an denen gedreht werden muss, um sich zu schützen. „Der Medizintechnikhersteller muss unter anderem dafür sorgen, dass die Nutzungsinformationen auf dem Gerät von den medizinischen Daten getrennt sind“, erklärt Methe. Erste unterliegen der Verantwortung des Herstellers, letztere der Datenhoheit des Anwenders wie etwa eines Krankenhauses.
Zudem braucht es Technologie, um die Identität des Gerät eindeutig feststellen zu können – etwa in Form eines Security-Chips. „Der Hersteller muss sich schließlich sicher sein, dass das Gerät mit dem er kommuniziert, auch wirklich das ist, für das er es hält“, so Methe. Solche Security-Mechanismen müssten gleich von Beginn in der Produktentwicklung berücksichtigt werden.
Daneben ist es wichtig, die internen Produktionsprozesse vor Angriffen von außen zu schützen. Dabei helfen Maßnahmen, die vom eigenen Büro-PC bekannt sind wie etwa Firewalls, Authentifizierung oder die Verschlüsselung von Daten.
Doch die Security-Anforderungen der Fertigungsnetzwerke sind komplexer als die der Business-IT. Neben IT-Systemen sind Automatisierungskomponenten und Maschinen involviert, die zum Teil schon seit vielen Jahren im Einsatz sind.
Zudem müssen diese Komponenten ständig verfügbar sein. Ein betroffenes System kann seine Arbeit nicht für mehrere Stunden unterbrechen, damit ein Virenscanner die eingebettete Software nach Schadprogrammen untersucht.
Letztlich reicht auch die Leistungsfähigkeit in der Regel nicht aus, um zusätzlich noch Sicherheitssoftware auf dem System zu installieren. So haben zum Beispiel Steuerungen in Produktionsmaschinen nur einen begrenzten Aufgabenbereich und damit entsprechend limitierte Ressourcen.
Security-Anbieter sowie Automatisierer stellen sich bereits auf die besonderen Anforderungen ein und arbeiten an spezialisierten Lösungen. So hat etwa der IT-Sicherheitsspezialist Kaspersky Lab sein Security System in das Echtzeitbetriebssystem PikeOS von Sysgo eingebettet. In Kombination mit PikeOS gewährleistet das System laut Anbieter, dass die Kommunikation von IT-Systemen den Sicherheitsrichtlinien von Unternehmen entspricht. So können unter anderem Geräte auf Überwachungs- und Steuerungsebene (Scada) überwacht werden.
Technik allein reicht aber nicht aus. Eine große Schwachstelle ist häufig der Mensch. Unternehmen müssen daher ihre Mitarbeiter über Online-Security aufklären und schulen. Zur Sicherheitsstrategie zählen auch entsprechende Policies. Diese sollten unter anderem regeln, dass keine oder nur bestimmte USB-Sticks an die Maschinen angedockt werden dürfen. Denn über diesen Weg fand auch Stuxnet sein Ziel – der Computerwurm, der schon vor rund fünf Jahren die Verletzlichkeit von vernetzten Industrieanlagen verdeutlicht hat.
Markus Strehlitz Fachjournalist in Mannheim
Weitere Informationen Zur deutschen Plattform Industrie 4.0: www.plattform-i40.de Zum Technologieanbieter Exceet: www.exceet.de Zum Security-Anbieter Kaspersky: www.kaspersky.com/de
Die Identität eines Geräts muss sich eindeutig feststellen lassen
Ihr Stichwort
- Informationstechnologie
- Vernetzung
- Sicherheit
- Industrie 4.0
- Smarte Fabrik
Unsere Whitepaper-Empfehlung
Gewährleisten Sie Sterilität bei Medizinprodukten, wie Implantaten und OP-Material. Das Whitepaper von BGS Beta-Gamma-Service gibt Einblicke in den Ablauf, Vorteile, Validierungsschritte der Strahlensterilisation & wichtige Aspekte beim Wechsel des Sterilisationsverfahrens. Jetzt…
Teilen:
