IT im Gesundheitswesen

Cyber-Sicherheitsanforderungen für medizinische Geräte

Der technische Fortschritt hat zu Veränderungen in der Gesundheitsversorgung geführt, die die Fähigkeit und das Potenzial haben, die Patientenversorgung zu verbessern. Medizinische Geräte sind miteinander vernetzt und arbeiten zunehmend softwarebasiert. Die birgt jedoch eine Vielzahl an neuen Herausforderungen und Risiken, die sonst nur für klassische IT-Systeme wie Server und Computer relevant waren.

Insbesondere durch die zunehmende Konnektivität sind medizinische Geräte Cybersicherheitslücken ausgesetzt, von denen sie früher abgeschirmt waren. Cybersicherheit wird definiert als: „Schutz von Computernetzwerken und der darin enthaltenen Informationen vor dem Eindringen und vor böswilliger Beschädigung oder Unterbrechung" (Critical Infrastructure Protection. Cybersecurity and Critical Infrastructure Protection. Lewis JA: 2006).

Was passiert wenn Medizingeräte Sicherheitslücken haben?

Der Patient wird sehr schnell die Folgen spüren, und es kann zu einem irreversiblen Schaden kommen. Im Jahr 2017 rief der Medizingerätehersteller Abbott knapp 500.000 Herzschrittmacher aufgrund einer Sicherheitslücke zurück, welche Großteils schon implantiert wurden. Glücklicherweise mussten die bereits implantierten Herzschrittmacher nicht wieder entfernt werden, denn das Problem ließ sich mittels eines Softwareupdates beheben, welches von außen aufgespielt werden konnte. Aus diesem Anlass ließ sich der ehemalige US-Vizepräsident Dick Cheney die Fernsteuerungsfunktion seines Herzschrittmachers deaktivieren, aus Angst er könnte dadurch Opfer eines lebensbedrohlichen Cyberangriffs werden.

Bestimmte medizinische Geräte können und werden nicht durch Firewall und andere Maßnahmen geschützt und werden auch nicht regelmäßig mit Updates versorgt. Das liegt daran, dass solche Geräte nicht permanent in eine IT-Infrastruktur eingebunden sind und der Zugriff nach Bedarf erfolgt. Hier ist besonders eine zeitnahe Schließung von Sicherheitslücken ein kritischer Faktor, da diese oft nicht OTA (Over-The-Air) möglich sind.

Andere Medizingeräte benötigen wiederum dauernd eine Verbindung bspw. mit einem Server. In diesen Fällen muss das Gerät nicht selber über eine Sicherheitslücke verfügen. Ein Angriff auf den Server oder Netzwerk kann hier bereits ausreichend sein, um die Funktionsfähigkeit zu beeinträchtigen.

Erfreulicherweise berichten Experten, dass das Thema Cybersicherheit in der Gemeinschaft der Medizinproduktehersteller in den letzten Jahren stärker in den Fokus gerückt ist. Anforderungen an die Cybersicherheit nehmen auch für den europäischen Gesetzgeber eine zunehmend wichtige Rolle ein. Im Vergleich zu den USA bestehen allerdings deutlich weniger spezifische Standards für die IT-Sicherheit von Medizinprodukten im europäischen Raum.

Trotz dieser Herausforderungen werden auch die Medizingeräte immer „smarter“ werden. Es liegt auf der Hand, dass ein koordinierter, proaktiver Ansatz zur Bewältigung dieser komplexen Herausforderung unerlässlich ist und immer weiter durch die Hersteller von Medizingeräten vorangetrieben wird.

Sie haben Fragen oder Beratungsbedarf? Wir unterstützen Sie gerne bei allen Herausforderungen? Jetzt Kontakt aufnehmen!

Ihr Ansprechpartner

Auch interessant