IT-Sicherheit ist für viele Kliniken noch immer Neuland

BONN. Was Florian Grunow schon alles in Kliniken gesehen hat, lässt IT-Sicherheitsexperten die Haare zu Berge stehen: Internet-Explorer, die auf Narkosegeräten laufen, Endoskope, bei denen seit zwei bis drei Jahren kein Software-Update mehr gemacht wurde. "Aus unserer Sicht sind viele medizinische Geräte, die verbaut und verkauft werden, nicht auf dem Stand der Technik", so Grunow bei der Konferenz "Cybersicherheit bei Medizinprodukten" des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) am Montag in Bonn.

Sicherheitslücken vorhanden

Grunow arbeitet bei der Firma Enno Rey Netzwerke in Heidelberg und testet Unternehmen und Einrichtungen auf ihre IT-Sicherheit, sucht dort nach Sicherheitslücken. Ein MRT-Gerät, das die Sicherheitsforscher in einer Klinik getestet haben, hatte 114 offene Ports und bot damit eine massive Angriffsfläche, berichtete er. Einem Angreifer wäre es in kurzer Zeit möglich gewesen, das System komplett zu kompromittieren. "Uns ist das über das Gäste-WLAN des Krankenhauses gelungen."

Trotz solcher Schwachstellen ist dem BfArM bislang noch kein Fall gemeldet worden, bei dem Patienten durch einen Hackerangriff auf einen Herzschrittmacher, eine Medikamentenpumpe oder ein anderes Produkt zu Schaden gekommen wären. Das sei aber kein Grund, die Hände in den Schoß zu legen, waren sich die Experten auf der Konferenz einig. Die Digitalisierung der Medizin sei mit großen Chancen verbunden, sie bringe neue Therapieoptionen, sagte BfArM-Präsident Professor Karl Broich. Um die Chancen nutzen zu können, müssen Hersteller, Betreiber und Anwender seiner Meinung nach die IT-Sicherheit vernetzter Medizinprodukte stärker in den Fokus rücken. "Wir müssen uns der Risiken annehmen, um bei Patienten Vertrauen zu schaffen."

Sicherheitslücken könnten in jeder Phase der Entwicklung eines Medizinprodukts entstehen, erläuterte Hannes Molsen, Product Security Manager beim Lübecker Hersteller Dräger. Eine 100-prozentige Sicherheit sei schwierig. Während des gesamten Prozesses müssten Kompromisse zwischen der Sicherheit und den anderen Qualitätszielen gefunden werden. "Die Frage ist nicht, ob ein System Sicherheitslücken hat, sondern ob es ein sicheres System ist", so Molsen. Sicher sei ein System dann, wenn der Aufwand für den Angreifer deutlich größer ist als der Nutzen.

Das Risikomanagement werde durch die Möglichkeit von Cyberangriffen noch wichtiger, sagte er. "Es erhöht sich die Eintrittswahrscheinlichkeit von Risiken, während das Produkt schon auf dem Markt ist." Seiner Meinung nach müssen bei diesem Thema nicht nur Hersteller und Kliniken enger zusammenarbeiten, sondern auch die IT-Abteilung und die Medizintechniker in den Krankenhäusern selbst.

Kliniken oft arglos

Die Bedeutung des Risikomanagements in den Kliniken unterstrich auch Dr. Peter Gausmann, Geschäftsführer der Gesellschaft für Risiko-Beratung, die zu dem auf das Gesundheitswesen spezialisierten Versicherungsmakler Ecclesia gehört. Versicherer decken Hackerangriffe und ähnliche Risiken über sogenannte Cyberversicherungen – auch im Bereich der Medizinprodukte. "Bislang gibt es aber noch keine Schadenfälle."

Zum Risikomanagement gehören für Gausmann Fallanalysen und Simulationen. "Wenn es in einem Krankenhaus zu einem Schadenereignis kommt, sollten die anderen Kliniken sich fragen, ob es bei ihnen auch passieren könnte." Gausmann sprach sich dafür aus, die Themen Digitalisierung und Cybersicherheit in die Fehlerberichtssysteme der Kliniken aufzunehmen. Nach seiner Erfahrung herrscht in den Kliniken große Arglosigkeit und Unkenntnis in Sachen IT-Sicherheit. Was daran liege, dass sich die, die mit den Medizinprodukten arbeiten, auf medizinische und pflegerische Belange konzentrieren wollten. "Hinzu kommt die Mangelverwaltung", betonte er. Die Häuser hätten häufig nicht genug Mittel, um ein Sicherheitssystem aufzubauen.