Cybersecurity
MedTech rüstet sich für den Kampf gegen Hacker
Medizinprodukte wie Insulinpumpen sollen Patienten Komfort bieten und einfach zu steuern sein. Doch die Lösungen müssen immer höheren IT-Sicherheitsanforderungen genügen, um sie vor Manipulationen durch Unbefugte zu schützen.
Veröffentlicht:FRANKFURT/MAIN. "Es gibt auch bei vernetzten Medizinprodukten kein System ohne Sicherheitslücken!": Diese ernüchternde Bilanz zog der Web-Entwickler Hannes Molsen, bei dem Lübecker Medizin- und Sicherheitstechnikkonzern Dräger Product Security Manager, vor Kurzem in Frankfurt bei einer Veranstaltung des Verbands der Elektrotechnik (VDE) zur Cybersecurity in der Medizin.
Die Medizintechnikbranche sieht sich als potenzielles Ziel von Cyberkriminellen. Für Aufregung bei Patienten gesorgt hatte zum Beispiel der Fall eines großen US-amerikanischen Medizintechnikanbieters, der im vergangenen Jahr seine Kunden in den USA und Kanada gewarnt hat, dass eine seiner Insulinpumpen gehackt werden könnte.
Es sei eine Sicherheitslücke entdeckt worden, der Chip in der Pumpe könne demnach – auch wenn dies als unwahrscheinlich einzuschätzen sei – von Dritten manipuliert werden, teilte das Unternehmen mit.
Designfehler sind nicht auszubügeln
Wie Molsen aus der Praxis berichtete, könnten bei vernetzten Medizinprodukten in jeder Phase von der Architektur respektive dem Design über die Entwicklung und Dokumentation, der Installation und Konfiguration bis hin zum Betrieb Sicherheitslücken auftreten.
Die kritischste Phase sei allerdings die erste. "Entstehen während des Aufsetzens der Architektur und des Designs eines Medizinproduktes Fehler, so lassen sich diese im Laufe der weiteren Entwicklung in der Regel nicht mehr ausbügeln", verdeutlichte Molsen.
In dieser Konzeptphase müssten die zuständigen Mitarbeiter der Medizintechnikunternehmen nicht nur die Sicherheit des künftigen Produktes bedenken, sondern auch die Faktoren Verwendbarkeit, Wartbarkeit, Kosteneffizienz, Einfachheit und Funktionalität – angesichts gedeckelter Budgets oft mehr als ein Spagat. Allerdings, so Molsen, sei die Cybersicherheit kein Zufallsergebnis, sondern resultiere aus einem umfassenden Risikomanagement.
Angriffsszenarien durchgespielt
Teil dieses Risikomanagements sei es wiederum, sich die verschiedenen Bedrohungsszenarien durch Cyberkriminelle vor Augen zu führen. Wichtig für die Branche: Gesundheitsdaten rücken immer mehr in den Fokus von Hackern.
Dass sich Cyberkriminelle längst nicht nur auf den Gesundheitsmarkt in den USA konzentrieren, belegt eine Studie des Anbieters digitaler Sicherheitsdienste gemalto, wonach Cyberkriminelle allein im Jahr 2015 weltweit 707 Millionen Datensätze erbeuteten. 23 Prozent der Angriffe und nahezu ein Fünftel aller erbeuteten Daten seien dabei auf den Gesundheitsbereich entfallen. Intel Security hat recherchiert, dass in den USA medizinische Datensätze für Preise zwischen drei US-Cent und 2,40 US-Dollar verkauft werden.
Wie Molsen weiter ausführte, sei für Medizintechnikanbieter bei der Entwicklung von potenziell von Cyberkriminellen bedrohten Lösungen die Einbindung externer Experten unabdingbar – um einer Betriebsblindheit vorzubeugen.
Professionelle, unabhängige Penetrationstest von entsprechend qualifizierten Hackern zeigten schonungslos jede Sicherheitslücke auf, die dann noch vor der Marktreife des Produktes behoben oder zumindest angegangen werden könne.
Hohe rechtliche Auflagen
Medizintechnikanbieter bewegen sich mit Blick auf ihre Produkte in einem engen Regelungskorsett, betonte die Juristin Dr. Julia Vorländer. So müssten sie umfangreichen Pflichten genügen, die sich aus dem Medizinproduktegesetz und der Europäischen Medizinprodukteverordnung, der Medizinproduktebetreiberverordnung, dem Bundesdatenschutzgesetz und der im Mai nächsten Jahres greifenden EU-Datenschutz-Grundverordnung sowie dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik ergeben. Letzteres regelt die Sicherungs-, Melde- und Mitwirkungspflichten der Hersteller.
Klärungsbedarf in puncto Verantwortlichkeit und Haftungsfragen im Zusammenhang mit zum Beispiel gehackten Insulinpumpen mahnte der auf die CE-Kennzeichnung und FDA-Zulassung von aktiven Medizinprodukten spezialisierte Diplom-Ingenieur Hans Christian Wenner aus Rüsselsheim an.
Für ihn befinde sich die Welt längst im Zeitalter des Internet of Medical Things, d.h. die Verbindung zwischen der physischen und der virtuellen Welt der Dinge werde auch auf Medizinprodukte angewendet. "Dinge, also auch Medizingeräte, sind permanent online, ohne dass der Benutzer direkt interagiert", verdeutlichte Wenner.
Damit seien sie ein potenzielles Einfallstor für Cyberkriminelle – und das rund um die Uhr, das ganze Jahr über. "Ein angepasstes und zeitgemäßes Risikomanagement wird im Internet of Medical Things der zentrale Erfolgsfaktor sein", mahnte Wenner vor allem auch kleinere Medizintechnikunternehmen, sich ernsthaft und nachhaltig der Cybersecurity ihrer Produkte zu widmen.