medizin arzt berühren elektronische krankenakte auf tablette. dna. digitale gesheitsversorgung  netzkanbindung auf hologramm mone virtuelle bildschirmschnittstelle, medizintechnik  futuristisches konzept. iot-medizinprodukte
iStockphoto/ipopba
Gesundheit Sicherheit

Gefahr von Cyberangriffen auf vernetzte Medizinprodukte

23.09.2022
von Jessica Petz

Von Cyberangriffen sind heutzutage viele Schweizer Unternehmen betroffen. Dies ist unter anderem darauf zurückzuführen, dass das weltweite Internet-of-Things-Netzwerk (IoT) immer dichter wird. Gleichzeitig werden die Cyberattacken professioneller und ausgeklügelter und tangieren mittlerweile sämtliche Branchen – auch das Gesundheitswesen.

Cyberangriffe können jede Organisation treffen. Gerade im Umfeld von kritischen Infrastrukturen wie medizinischen Einrichtungen muss dabei mit gravierenden Konsequenzen gerechnet werden. Vermehrt geraten vernetzte Medizinprodukte in den Fokus der Hacker:innen. Doch was sind eigentlich vernetzte Medizinprodukte und welchen Schaden können Hacker:innen im Medizinbereich anrichten? 

Was sind vernetzte Medizinprodukte? 

Das Gesundheitswesen wird zunehmend durch das Internet der Dinge (IoT) durchdrungen. Durch die Vernetzung von medizin- und labortechnischen Produkten und Anwendungen haben sich Möglichkeiten ergeben, von denen man vor Jahren nur träumen konnte. Heutzutage ist es mithilfe von IoT beispielsweise möglich, Prozesse in medizinischen Einrichtungen zu optimieren und die Behandlung sowie die Lebensqualität von Patient:innen erheblich zu verbessern. So lassen sich der Zustand von Patient:innen dank der IoT-Technologie durchgängig überwachen und kritische Veränderungen rechtzeitig erkennen. Die erhöhte Datenqualität führt schliesslich zu einem verbesserten Behandlungserfolg.

Ein Beispiel für die zahlreichen Vorteile von IoT in der Medizin ist das Remote Patient Monitoring (RPM). RPM-Technologien werden eingesetzt, um beispielsweise hochinfektiöse, chronisch erkrankte oder in der Mobilität eingeschränkte Patientinnen und Patienten in Echtzeit von der Ferne aus zu überwachen.

Schwachpunkte von IoT 

Wo Digitalisierung auf das Gesundheitswesen trifft und somit gravierenden Einfluss auf das Leben von Menschen hat, gilt es besondere Sicherheitsbedürfnisse zu berücksichtigen. Allerdings: «Vernetzte Medizinprodukte und die daraus resultierenden Datenflüsse sind mit hohen Cyberrisiken verbunden, wenn sie nicht ausreichend geschützt werden», gibt Reto Amstad, Senior Security Consultant bei der CyOne Security, zu bedenken. Dies hat verschiedene Ursachen: So sind Medizinprodukte selber attraktive Angriffsziele, da sie ständig eingeschaltet, immer online und oft schlecht gewartet sind und zudem häufig nur geringen Security-Standards genügen. Amstad betont, dass bei der Entwicklung von IoT-Anwendungen häufig Sicherheitsaspekte vernachlässigt werden und Geräte vernetzt werden, die ursprünglich nicht dafür entwickelt worden sind. Ebenfalls führen unsichere Hardwaredesigns und Schwachstellen in der Software zu gravierenden Sicherheitsmängeln. 

Sowohl der Hersteller als auch der Betreiber von IoT-Anwendungen sind punkto Sicherheit in der Verantwortung.

Zudem können IoT-Anwendungen gemäss Amstad nicht isoliert betrachtet werden. Denn sie sind stets Teil eines komplexen IoT-Ökosystems mit einer Vielzahl von Geräten, Schnittstellen und Zonenübergängen. Über die vielschichtigen Angriffsflächen im IoT-Ökosystem können sich potenzielle Cyberkriminelle Zugriff auf das System verschaffen – typischerweise über den schwächsten Punkt im Gesamtsystem.

Amstad betont, dass die Schnittstellen und Zonenübergänge sicher authentifiziert, gemanagt und überwacht werden müssen. Gleichzeitig ist es zentral für die Sicherheit, dass die vernetzten Medizinprodukte mit sicherheitsrelevanten Updates, Patches oder neuer Firmware ausgestattet werden können. Eine resistente Verschlüsselung ist dabei die Grundvoraussetzung für die Sicherstellung des Datenschutzes sowie der Integrität der übertragenen Daten.

Die Sicherheit beginnt beim Hersteller  

Sowohl der Hersteller als auch der Betreiber von IoT-Anwendungen sind punkto Sicherheit in der Verantwortung. Hersteller müssen die Sicherheit der Geräte bereits bei der Entwicklung berücksichtigen. Das Nachrüsten von fehlenden Sicherheitskomponenten ist meist mit hohen Kosten verbunden. Betreiber von IoT-Anwendungen – beispielsweise ein Spital oder Labor – sollten ihrerseits von den Herstellern detaillierte Angaben bezüglich der Sicherheitsaspekte Konnektivität, sicheres IoT-Produkt, sichere Integration und Datenhaltung einfordern und prüfen.

Sicherheitsfunktionen in Medizintechnikprodukten 

Vernetzte Medizinprodukte werden meist mit dem Ziel entwickelt, die Versorgung und Lebensqualität der Patient:innen zu verbessern und die Prozesse zu optimieren. Um dieses Ziel zu erreichen, und das enorme Potenzial auszuschöpfen, welches das IoT in der Medizintechnik bietet, ist der Fokus auf die Sicherheit unabdingbar. Gemäss Amstad ist dabei das «Security by Design»-Prinzip zentral. Der Ansatz verfolgt die Prämisse, dass die notwendigen Sicherheitsmassnahmen vor allem innerhalb eines medizintechnischen Produkts, insbesondere in dessen Hard- und Software, umgesetzt werden. Wichtige Cyber Security-Aspekte sind hierbei eine sichere Identifikation des Geräts, unveränderbare Log-Informationen, sichere Update-Prozesse sowie Tamper Protection. Amstad sagt: «Es ist erfolgsentscheidend, dass diesen Sicherheitsaspekten schon früh in der Entwicklungsphase Rechnung getragen wird.»

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Vorheriger Artikel Cyber-Risikomanagement statt Cyber-Sicherheit
Nächster Artikel Wie der digitale Sesam geschlossen bleibt