Derzeit stehen die Chancen nicht schlecht, dass sich jemand mit böser Absicht einen Zugang zu medizinischen Geräten oder Daten verschafft. Warum? Vielerorts sind im Gesundheitsbereich noch Software-Systeme im Einsatz, für die der Hersteller längst keinen Support mehr anbietet. Als Legacy-Software werden sie im Fachjargon bezeichnet, und der Begriff Legacy im Sinne von „Altlast“ kommt nicht von ungefähr: Solche Systeme sind ein interessantes Angriffsziel für Hacker, da weder Hersteller noch Anwender Sicherheitslücken schließen – letztere, weil weder Know-how noch Ressourcen vorhanden sind, um sich angemessen um die Sicherheit der Software zu kümmern. Kaum zu unterbinden ist auch der physische Netzwerkzugang: Ob medizinisches Personal, Patienten oder Besucher – wer auch immer Zugang zum Klinikgebäude hat, findet häufig eine Netzwerkdose oder einen unbeobachteten PC.
Und es gibt sogar noch eine dritte Herausforderung: In vielen Kliniken führt Cybersecurity noch ein Nischen-Dasein, das Bewusstsein für die Risiken wächst erst allmählich. „Der größte Anteil von Vorfällen bei IT-Sicherheit geht unverändert auf unvorsichtiges Verhalten der Nutzer zurück“, berichtet Hans-Peter Bursig, Geschäftsführer des ZVEI-Fachverbands Elektromedizinische Technik. Deshalb sollten vernetzbare Geräte – zum Beispiel auch aus dem Medizintechnik-Bereich – die Betreiber mit intelligenten Lösungen dabei unterstützen, Risiken zu reduzieren.
Die Tatsache, dass Geräte autonom miteinander Daten austauschen, sei zunächst unproblematisch. In der Regel sei der Austausch bewusst so programmiert worden. „Der Betreiber muss diesen Austausch aber auf Unregelmäßigkeiten überwachen. Wenn plötzlich deutlich größere Datenvolumen bewegt werden, kann das auf einen Fehler oder einen Angriff hindeuten“, betont Bursig. Und nicht zuletzt sind medizinische Geräte selbst eine Herausforderung für die IT-Security.
Security by Design betrifft
Geräte und deren Umfeld
Eine Verbesserung ist nur zu erreichen, wenn das Thema Sicherheit von Anfang an berücksichtigt wird. „Man weiß ja zu Beginn der Entwicklung, dass das Gerät in einem Netzwerk arbeiten soll. Damit steht fest, dass es Angriffsstellen von außen gibt, auf die man achten muss“, so Bursig. Das Gerät muss also darauf vorbereitet sein, dass die vom OEM eigenentwickelte Applikation mit fremdentwickelten Betriebssystemen und intelligenter werdenden Komponenten zusammenspielen wird – eingebettet in eine klinikweite Datenhaltung. Das Prinzip von „Security by Design“ bedeute aber, dass nicht nur Schnittstellen zum Netzwerk abgesichert werden müssen, sondern dass man sich auch bei der Software-Architektur des Geräts Gedanken machen muss, wie der Schaden durch einen Angriff von außen minimiert werden kann.
Der Blick in die einschlägigen Regelwerke hilft dabei wenig. Die MDR formuliert allgemeingültige Vorgaben, die Anwender wie Hersteller in die Pflicht nehmen. Konkreter werden die Vorgaben der FDA in den FDA Guidance to Cybersecurity. Diese fordern – deutlich präziser als die MDR – IT Security nach dem Stand der Technik ein.
Wer ein Medizinprodukt entwickelt, ist gut beraten, sich an den strengeren Vorgaben zu orientieren. Dabei versteht sich die FDA als Vermittler zwischen Herstellern und Anwendern. Von den Herstellern fordert sie zum Beispiel, bei ihren Sicherheitskonzepten auch die Systemumwelt zu berücksichtigen – also die Anmelde- und Authentifizierungsverfahren entsprechend zu gestalten, dabei Nutzungshäufigkeiten und die Zahl der berechtigten Personen zu berücksichtigen. Anwender müssen hingegen sicherstellen, dass Updates für alle verwendeten Geräte und Software-Systeme eingespielt werden,
Firewalls korrekt konfiguriert sind und die Lösungen gegen Schadsoftware geschützt werden. Die FDA fordert aber auch, dass ein Anwender Fehler, Bugs und Angriffsversuche über ein einfaches Reporting melden können muss.
Im Alltag der IT-Security gibt es jedoch unbestrittenermaßen noch Verbesserungspotenzial – und eine Reihe von Denkanstößen für Industrie und Anwender. „IT-Sicherheit ist nicht nur Sache der Hersteller, sondern muss vom Komponenten-Lieferanten bis zum Patienten durchdacht sein“, sagt Dr. Matthias Schier, Geschäftsführer des Nürnberger Forum Medtech Pharma e.V. „Hier muss ein Austausch über die Wertschöpfungskette hinweg organisiert werden. Dazu zählen auch die einschlägigen Behörden.“
Die Gelegenheit, einen solchen Austausch zu intensivieren, bietet laut Alexander Stein von der Nürnberg Messe die Fachmesse MT-Connect im April. „Wir wollen Diskussionen und Planungen für eine übergreifende Cybersecurity in Medizintechnik und Klinik initiieren. Die Gespräche in den vergangenen Monaten zeigen deutlich, dass das Bewusstsein für mehr IT-Sicherheit da ist und Hersteller wie Zulieferer nach Information und Erfahrungsaustausch verlangen.“
Gegenstand von Diskussionen werden in Nürnberg sicher auch Trend-Themen sein, wie die Blockchain, eine kontinuierlich erweiterbare Liste von Datensätzen, den „Blöcken“, die wiederum durch kryptographische Verfahren miteinander verkettet sind. Auf diese Technologie setzt E-Health-Vorreiter Estland, um Gesundheitsdaten vor Manipulationen zu schützen. Dort sind heute 95 Prozent aller Gesundheitsdaten digital verfügbar – auch für den Patienten selbst. Alle Veränderungen werden in der Blockchain nachvollziehbar gespeichert. Das Risiko der Datenmanipulation ist damit niedriger als bei anderen Verschlüsselungs-Methoden.
Zwei-Faktor-Authentifizierung gehört zu den Trendthemen
Trendthema Nummer zwei ist der Daten- und Systemzugang über Zwei-Faktor-Authentifizierung, also mittels biometrischer Merkmale wie Iris-Scan oder Fingerabdruck in Verbindung mit Pin oder Passwort. Biometrische Verfahren versprechen mehr Zugriffsschutz und Manipulationssicherheit. Diese Methoden, die in vielen kritischen Infrastrukturen verwendet werden, werden in der Medizintechnik häufiger zum Einsatz kommen.
Eine Kernfrage zur Sicherheit treibt hingegen die Anwender um: „Wenn Sie ein Auto kaufen, dann sorgt der Hersteller üblicherweise für die Bremsen – zur Sicherstellung der Verkehrssicherheit“, sagt Dr. Manfred Criegee-Rieck, Abteilungsleiter Informationsverarbeitung am Klinikum Nürnberg, einem der größten kommunalen Krankenhäuser Europas. Demgemäß sehen die Anwender auch die IT-Sicherheit – von vernetzten Geräten oder medizinischer Software – als eine innewohnende Produkteigenschaft, die gar nicht explizit zu fordern sei. Die Hersteller hingegen arbeiten an neuen Geschäftsmodellen. „Endprodukte-Sicherheit ist im Prinzip ein Geschäftsmodell, das sich für die Hersteller in unserer Branche auf der Funktionsebene vielfach gar nicht rechnet und von uns Kunden eigens bezahlt werden muss“, berichtet Criegee-Rieck. Hersteller seien vielfach nicht bereit, IT-
Sicherheit als Produkteigenschaft zu liefern, sondern betrachten diese als gesonderte Anforderung, die separat bezahlt werden muss oder auf Drittanbieter ausgelagert wird.
Auch wenn es also noch Gesprächsbedarf gibt, herrscht Einigkeit in dem Punkt, dass IT-Sicherheit umfassend gedacht und im Austausch zwischen allen Akteuren weiterentwickelt werden muss.
IT-Sicherheit bei Messe und Kongress
Da Cybersecurity ein wichtiges Thema für Zulieferer und Hersteller aus der Medizintechnik ist, wird es bei der Fachmesse MT-Connect und dem Kongress Medtech Summit am 11. und 12. April in Nürnberg aufgegriffen. So berichtet am 12. April Stefan Winter, Senior Scientist bei Philips Research, im Rahmen des Medtech Summit über „Connected Health: Herausforderungen für die Infrastruktur“. Auch das Messe-Forum informiert – vor allem am ersten Messetag – mit Kurzvorträgen und Diskussionsrunden über IT-Themen.
Hier finden Sie mehr über:
