Meta Title - was in der Google Suche angezeigt wird

IT-Security

IT-Sicherheit ist nur gemeinsam zu erreichen

Medicine_doctor_with_stethoscope_touching_icon_medical_network_connection_on_laptop_and_tablet_with_modern_virtual_screen_interface,_medical_technology_network_concept
Alle Daten überall verfügbar – das soll die Arbeit im Gesundheitssystem erleichtern. An der Sicherheit von Geräten und Daten lässt sich aber noch einiges optimieren Bild: Fotolia.com / ipopba
Anzeige
IT-Sicherheit im Gesundheitswesen | Die Nutzung von Daten im Gesundheitsbereich ist heute schon so komplex vernetzt, dass Sicherheit nur zu erreichen sein wird, wenn alle Beteiligten an einem Strang ziehen. Die Aufgabenverteilung ist allerdings noch Thema reger Diskussionen.

Jens Fuderholz
Fachjournalist in Fürth

Derzeit stehen die Chancen nicht schlecht, dass sich jemand mit böser Absicht einen Zugang zu medizinischen Geräten oder Daten verschafft. Warum? Vielerorts sind im Gesundheitsbereich noch Software-Systeme im Einsatz, für die der Hersteller längst keinen Support mehr anbietet. Als Legacy-Software werden sie im Fachjargon bezeichnet, und der Begriff Legacy im Sinne von „Altlast“ kommt nicht von ungefähr: Solche Systeme sind ein interessantes Angriffsziel für Hacker, da weder Hersteller noch Anwender Sicherheitslücken schließen – letztere, weil weder Know-how noch Ressourcen vorhanden sind, um sich angemessen um die Sicherheit der Software zu kümmern. Kaum zu unterbinden ist auch der physische Netzwerkzugang: Ob medizinisches Personal, Patienten oder Besucher – wer auch immer Zugang zum Klinikgebäude hat, findet häufig eine Netzwerkdose oder einen unbeobachteten PC.

Und es gibt sogar noch eine dritte Herausforderung: In vielen Kliniken führt Cybersecurity noch ein Nischen-Dasein, das Bewusstsein für die Risiken wächst erst allmählich. „Der größte Anteil von Vorfällen bei IT-Sicherheit geht unverändert auf unvorsichtiges Verhalten der Nutzer zurück“, berichtet Hans-Peter Bursig, Geschäftsführer des ZVEI-Fachverbands Elektromedizinische Technik. Deshalb sollten vernetzbare Geräte – zum Beispiel auch aus dem Medizintechnik-Bereich – die Betreiber mit intelligenten Lösungen dabei unterstützen, Risiken zu reduzieren.

Die Tatsache, dass Geräte autonom miteinander Daten austauschen, sei zunächst unproblematisch. In der Regel sei der Austausch bewusst so programmiert worden. „Der Betreiber muss diesen Austausch aber auf Unregelmäßigkeiten überwachen. Wenn plötzlich deutlich größere Datenvolumen bewegt werden, kann das auf einen Fehler oder einen Angriff hindeuten“, betont Bursig. Und nicht zuletzt sind medizinische Geräte selbst eine Herausforderung für die IT-Security.

Security by Design betrifft
Geräte und deren Umfeld

Eine Verbesserung ist nur zu erreichen, wenn das Thema Sicherheit von Anfang an berücksichtigt wird. „Man weiß ja zu Beginn der Entwicklung, dass das Gerät in einem Netzwerk arbeiten soll. Damit steht fest, dass es Angriffsstellen von außen gibt, auf die man achten muss“, so Bursig. Das Gerät muss also darauf vorbereitet sein, dass die vom OEM eigenentwickelte Applikation mit fremdentwickelten Betriebssystemen und intelligenter werdenden Komponenten zusammenspielen wird – eingebettet in eine klinikweite Datenhaltung. Das Prinzip von „Security by Design“ bedeute aber, dass nicht nur Schnittstellen zum Netzwerk abgesichert werden müssen, sondern dass man sich auch bei der Software-Architektur des Geräts Gedanken machen muss, wie der Schaden durch einen Angriff von außen minimiert werden kann.

Der Blick in die einschlägigen Regelwerke hilft dabei wenig. Die MDR formuliert allgemeingültige Vorgaben, die Anwender wie Hersteller in die Pflicht nehmen. Konkreter werden die Vorgaben der FDA in den FDA Guidance to Cybersecurity. Diese fordern – deutlich präziser als die MDR – IT Security nach dem Stand der Technik ein.

Wer ein Medizinprodukt entwickelt, ist gut beraten, sich an den strengeren Vorgaben zu orientieren. Dabei versteht sich die FDA als Vermittler zwischen Herstellern und Anwendern. Von den Herstellern fordert sie zum Beispiel, bei ihren Sicherheitskonzepten auch die Systemumwelt zu berücksichtigen – also die Anmelde- und Authentifizierungsverfahren entsprechend zu gestalten, dabei Nutzungshäufigkeiten und die Zahl der berechtigten Personen zu berücksichtigen. Anwender müssen hingegen sicherstellen, dass Updates für alle verwendeten Geräte und Software-Systeme eingespielt werden,
Firewalls korrekt konfiguriert sind und die Lösungen gegen Schadsoftware geschützt werden. Die FDA fordert aber auch, dass ein Anwender Fehler, Bugs und Angriffsversuche über ein einfaches Reporting melden können muss.

Im Alltag der IT-Security gibt es jedoch unbestrittenermaßen noch Verbesserungspotenzial – und eine Reihe von Denkanstößen für Industrie und Anwender. „IT-Sicherheit ist nicht nur Sache der Hersteller, sondern muss vom Komponenten-Lieferanten bis zum Patienten durchdacht sein“, sagt Dr. Matthias Schier, Geschäftsführer des Nürnberger Forum Medtech Pharma e.V. „Hier muss ein Austausch über die Wertschöpfungskette hinweg organisiert werden. Dazu zählen auch die einschlägigen Behörden.“

Die Gelegenheit, einen solchen Austausch zu intensivieren, bietet laut Alexander Stein von der Nürnberg Messe die Fachmesse MT-Connect im April. „Wir wollen Diskussionen und Planungen für eine übergreifende Cybersecurity in Medizintechnik und Klinik initiieren. Die Gespräche in den vergangenen Monaten zeigen deutlich, dass das Bewusstsein für mehr IT-Sicherheit da ist und Hersteller wie Zulieferer nach Information und Erfahrungsaustausch verlangen.“

Gegenstand von Diskussionen werden in Nürnberg sicher auch Trend-Themen sein, wie die Blockchain, eine kontinuierlich erweiterbare Liste von Datensätzen, den „Blöcken“, die wiederum durch kryptographische Verfahren miteinander verkettet sind. Auf diese Technologie setzt E-Health-Vorreiter Estland, um Gesundheitsdaten vor Manipulationen zu schützen. Dort sind heute 95 Prozent aller Gesundheitsdaten digital verfügbar – auch für den Patienten selbst. Alle Veränderungen werden in der Blockchain nachvollziehbar gespeichert. Das Risiko der Datenmanipulation ist damit niedriger als bei anderen Verschlüsselungs-Methoden.

Zwei-Faktor-Authentifizierung gehört zu den Trendthemen

Trendthema Nummer zwei ist der Daten- und Systemzugang über Zwei-Faktor-Authentifizierung, also mittels biometrischer Merkmale wie Iris-Scan oder Fingerabdruck in Verbindung mit Pin oder Passwort. Biometrische Verfahren versprechen mehr Zugriffsschutz und Manipulationssicherheit. Diese Methoden, die in vielen kritischen Infrastrukturen verwendet werden, werden in der Medizintechnik häufiger zum Einsatz kommen.

Eine Kernfrage zur Sicherheit treibt hingegen die Anwender um: „Wenn Sie ein Auto kaufen, dann sorgt der Hersteller üblicherweise für die Bremsen – zur Sicherstellung der Verkehrssicherheit“, sagt Dr. Manfred Criegee-Rieck, Abteilungsleiter Informationsverarbeitung am Klinikum Nürnberg, einem der größten kommunalen Krankenhäuser Europas. Demgemäß sehen die Anwender auch die IT-Sicherheit – von vernetzten Geräten oder medizinischer Software – als eine innewohnende Produkteigenschaft, die gar nicht explizit zu fordern sei. Die Hersteller hingegen arbeiten an neuen Geschäftsmodellen. „Endprodukte-Sicherheit ist im Prinzip ein Geschäftsmodell, das sich für die Hersteller in unserer Branche auf der Funktionsebene vielfach gar nicht rechnet und von uns Kunden eigens bezahlt werden muss“, berichtet Criegee-Rieck. Hersteller seien vielfach nicht bereit, IT- 
Sicherheit als Produkteigenschaft zu liefern, sondern betrachten diese als gesonderte Anforderung, die separat bezahlt werden muss oder auf Drittanbieter ausgelagert wird.

Auch wenn es also noch Gesprächsbedarf gibt, herrscht Einigkeit in dem Punkt, dass IT-Sicherheit umfassend gedacht und im Austausch zwischen allen Akteuren weiterentwickelt werden muss.


IT-Sicherheit bei Messe und Kongress

Da Cybersecurity ein wichtiges Thema für Zulieferer und Hersteller aus der Medizintechnik ist, wird es bei der Fachmesse MT-Connect und dem Kongress Medtech Summit am 11. und 12. April in Nürnberg aufgegriffen. So berichtet am 12. April Stefan Winter, Senior Scientist bei Philips Research, im Rahmen des Medtech Summit über „Connected Health: Herausforderungen für die Infrastruktur“. Auch das Messe-Forum informiert – vor allem am ersten Messetag – mit Kurzvorträgen und Diskussionsrunden über IT-Themen.

www.mt-connect.de



Hier finden Sie mehr über:
Anzeige

Aktuelle Ausgabe

Messe Compamed

Neue Trends und Produkte von der Messe für die medizinische Zuliefererbranche

Newsletter

Unsere Dosis Wissensvorsprung für Sie. Jetzt kostenlos abonnieren!

Produkttester werden!

Sie möchten Differenzdrucksensoren testen. Jetzt bewerben!

medicine&technology

 

Die englische Ausgabe, hier als PDF.

Erscheint zwei Mal im Jahr mit europaweiter Verbreitung.

Alle Webinare & Webcasts

Hier finden sie alle Webinare unserer Industrieseiten

Whitepaper

Hier finden Sie aktuelle Whitepaper

Kalender

Aktuelle Termine für die Medizintechnik-Branche

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de