Mehr Komfort für Patienten, gesteigerte Effizienz für medizinische Einrichtungen: Vernetzte Medtech Devices bieten viele Vorteile, aber auch erhebliche Sicherheitsrisiken. Die meisten Gesundheitseinrichtungen in der Schweiz haben schon IoT-Sicherheitsvorfälle registriert. Nur ganzheitliche Product Cyber Security sorgt für einen umfassenden Schutz. Worauf Hersteller und Betreiber dabei achten müssen, lesen Sie in diesem Blogpost.

Smart Healthcare verspricht mehr Lebensqualität, unter anderem für Menschen mit chronischen Krankheiten. Remote Patient Monitoring (RPM) beispielweise erlaubt die Überwachung und Analyse von gesundheitsrelevanten Parametern aus der Ferne. Dank Wearables, Sensoren und digitalen Kommunikationskanälen verlieren Patienten weniger Zeit mit Klinikaufenthalten und Arztbesuchen – ohne dass dadurch die Qualität der Gesundheitsversorgung leidet.

Die Tatsache, dass IoT-Anwendungen im Schweizer Gesundheitswesen vermehrt zum Einsatz kommen, ist neben offensichtlichen Vorteilen auch mit Risiken verbunden: Vernetzte Medtech Devices sind nicht nur Teil der medizinischen Einrichtung, vielmehr reicht die Vernetzung durch das Internet of Medical Things (IoMT) über die Netzwerkgrenzen (z.B. der Klinik) hinaus und bindet externe Infrastrukturen (z.B. Cloud Services) und Geräte (z.B. Wearables und Smartphones) mit ein. Besteht irgendwo im Netzwerk eine Sicherheitslücke, ist das ganze IoMT-Ökosystem und alle seine Elemente bedroht.

Zahlreiche Sicherheitsvorfälle im Schweizer Gesundheitswesen

Diese Bedrohung ist real. Das zeigt eine Studie des Sicherheitssoftware-Unternehmens Kaspersky. Darin geben drei Viertel der befragten medizinischen Einrichtungen in der Schweiz an, bereits mindestens einen Sicherheitsvorfall im Bereich IoT registriert zu haben. Entsprechend schätzt auch nur knapp ein Drittel die Sicherheit ihrer IoT-Einrichtungen als ausreichend ein.

Wenn mangelhafte Sicherheitsvorkehrungen mit böswilliger Absicht ausgenützt werden, sind nicht nur vertrauliche Patientendaten in Gefahr. Es besteht auch die Möglichkeit, dass einzelne vernetzte Geräte manipuliert oder etwa mit Ransomware der medizinische Betrieb erheblich gefährdet wird.

Cyber Security von Anfang an

Mit der Datenschutz-Grundverordnung (General Data Protection Regulation GDPR) und dem EU Cybersecurity Act geben internationale Gesetze und Vorschriften vor, was die Schweizer Hersteller einhalten müssen. Unter anderem sind sie aufgefordert, Sicherheitsaspekte von Beginn weg in ihren Medizinprodukten zu berücksichtigen. Man spricht dabei von «Security by Design». Die Sicherheitsmassnahmen betreffen nicht nur die Peripherie, sondern auch die Hard- und Software medizintechnischer Produkte. Dazu gehören unter anderem die resistente Verschlüsselung, die Identifikation des Geräts, unveränderbare Log-Informationen sowie sichere und rasche Update-Prozesse.

Darüber hinaus sind Hersteller von Medtech Devices verpflichtet, ihre Systeme auch nach dem Markteintritt regelmässig auf Sicherheitslücken zu überprüfen und auf dem neusten Stand der Technologie zu halten – Stichwort «Post Market Surveillance». Hierbei werden unerwünschte Ereignisse ermittelt, die während des Zulassungsverfahrens nicht aufgetreten sind. Ein Beispiel sind hier Vulnerabilities (CVEs), welche die verwendete Software betreffen.