Cybersecurity

MedTech rüstet sich für den Kampf gegen Hacker

Medizinprodukte wie Insulinpumpen sollen Patienten Komfort bieten und einfach zu steuern sein. Doch die Lösungen müssen immer höheren IT-Sicherheitsanforderungen genügen, um sie vor Manipulationen durch Unbefugte zu schützen.

Matthias WallenfelsVon Matthias Wallenfels Veröffentlicht:
Hacker versuchen teils sehr hartnäckig, in fremde Systeme einzudringen. Potenzielle Ziele können auch vernetzte Medizinprodukte sein.

Hacker versuchen teils sehr hartnäckig, in fremde Systeme einzudringen. Potenzielle Ziele können auch vernetzte Medizinprodukte sein.

© Tomasz Zajda/fotolia.com

FRANKFURT/MAIN. "Es gibt auch bei vernetzten Medizinprodukten kein System ohne Sicherheitslücken!": Diese ernüchternde Bilanz zog der Web-Entwickler Hannes Molsen, bei dem Lübecker Medizin- und Sicherheitstechnikkonzern Dräger Product Security Manager, vor Kurzem in Frankfurt bei einer Veranstaltung des Verbands der Elektrotechnik (VDE) zur Cybersecurity in der Medizin.

Die Medizintechnikbranche sieht sich als potenzielles Ziel von Cyberkriminellen. Für Aufregung bei Patienten gesorgt hatte zum Beispiel der Fall eines großen US-amerikanischen Medizintechnikanbieters, der im vergangenen Jahr seine Kunden in den USA und Kanada gewarnt hat, dass eine seiner Insulinpumpen gehackt werden könnte.

Es sei eine Sicherheitslücke entdeckt worden, der Chip in der Pumpe könne demnach – auch wenn dies als unwahrscheinlich einzuschätzen sei – von Dritten manipuliert werden, teilte das Unternehmen mit.

Designfehler sind nicht auszubügeln

Wie Molsen aus der Praxis berichtete, könnten bei vernetzten Medizinprodukten in jeder Phase von der Architektur respektive dem Design über die Entwicklung und Dokumentation, der Installation und Konfiguration bis hin zum Betrieb Sicherheitslücken auftreten.

Die kritischste Phase sei allerdings die erste. "Entstehen während des Aufsetzens der Architektur und des Designs eines Medizinproduktes Fehler, so lassen sich diese im Laufe der weiteren Entwicklung in der Regel nicht mehr ausbügeln", verdeutlichte Molsen.

In dieser Konzeptphase müssten die zuständigen Mitarbeiter der Medizintechnikunternehmen nicht nur die Sicherheit des künftigen Produktes bedenken, sondern auch die Faktoren Verwendbarkeit, Wartbarkeit, Kosteneffizienz, Einfachheit und Funktionalität – angesichts gedeckelter Budgets oft mehr als ein Spagat. Allerdings, so Molsen, sei die Cybersicherheit kein Zufallsergebnis, sondern resultiere aus einem umfassenden Risikomanagement.

Angriffsszenarien durchgespielt

Teil dieses Risikomanagements sei es wiederum, sich die verschiedenen Bedrohungsszenarien durch Cyberkriminelle vor Augen zu führen. Wichtig für die Branche: Gesundheitsdaten rücken immer mehr in den Fokus von Hackern.

 Dass sich Cyberkriminelle längst nicht nur auf den Gesundheitsmarkt in den USA konzentrieren, belegt eine Studie des Anbieters digitaler Sicherheitsdienste gemalto, wonach Cyberkriminelle allein im Jahr 2015 weltweit 707 Millionen Datensätze erbeuteten. 23 Prozent der Angriffe und nahezu ein Fünftel aller erbeuteten Daten seien dabei auf den Gesundheitsbereich entfallen. Intel Security hat recherchiert, dass in den USA medizinische Datensätze für Preise zwischen drei US-Cent und 2,40 US-Dollar verkauft werden.

Wie Molsen weiter ausführte, sei für Medizintechnikanbieter bei der Entwicklung von potenziell von Cyberkriminellen bedrohten Lösungen die Einbindung externer Experten unabdingbar – um einer Betriebsblindheit vorzubeugen.

Professionelle, unabhängige Penetrationstest von entsprechend qualifizierten Hackern zeigten schonungslos jede Sicherheitslücke auf, die dann noch vor der Marktreife des Produktes behoben oder zumindest angegangen werden könne.

Hohe rechtliche Auflagen

Medizintechnikanbieter bewegen sich mit Blick auf ihre Produkte in einem engen Regelungskorsett, betonte die Juristin Dr. Julia Vorländer. So müssten sie umfangreichen Pflichten genügen, die sich aus dem Medizinproduktegesetz und der Europäischen Medizinprodukteverordnung, der Medizinproduktebetreiberverordnung, dem Bundesdatenschutzgesetz und der im Mai nächsten Jahres greifenden EU-Datenschutz-Grundverordnung sowie dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik ergeben. Letzteres regelt die Sicherungs-, Melde- und Mitwirkungspflichten der Hersteller.

Klärungsbedarf in puncto Verantwortlichkeit und Haftungsfragen im Zusammenhang mit zum Beispiel gehackten Insulinpumpen mahnte der auf die CE-Kennzeichnung und FDA-Zulassung von aktiven Medizinprodukten spezialisierte Diplom-Ingenieur Hans Christian Wenner aus Rüsselsheim an.

Für ihn befinde sich die Welt längst im Zeitalter des Internet of Medical Things, d.h. die Verbindung zwischen der physischen und der virtuellen Welt der Dinge werde auch auf Medizinprodukte angewendet. "Dinge, also auch Medizingeräte, sind permanent online, ohne dass der Benutzer direkt interagiert", verdeutlichte Wenner.

Damit seien sie ein potenzielles Einfallstor für Cyberkriminelle – und das rund um die Uhr, das ganze Jahr über. "Ein angepasstes und zeitgemäßes Risikomanagement wird im Internet of Medical Things der zentrale Erfolgsfaktor sein", mahnte Wenner vor allem auch kleinere Medizintechnikunternehmen, sich ernsthaft und nachhaltig der Cybersecurity ihrer Produkte zu widmen.

Mehr zum Thema

Geschäftszahlen 2023

Medizintechnikkonzern B. Braun steigert Umsatz leicht

Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen
Lesetipps
Rechtzeitig eingefädelt: Die dreiseitigen Verhandlungen zwischen Kliniken, Vertragsärzten und Krankenkassen über ambulantisierbare Operationen sind fristgerecht vor April abgeschlossen worden.

© K-H Krauskopf, Wuppertal

Ambulantisierung

90 zusätzliche OPS-Codes für Hybrid-DRG vereinbart

Führen den BVKJ: Tilo Radau (l.), Hauptgeschäftsführer, und Präsident Michael Hubmann im Berliner Büro des Verbands.

© Marco Urban für die Ärzte Zeitung

Doppel-Interview

BVKJ-Spitze Hubmann und Radau: „Erst einmal die Kinder-AU abschaffen!“