Internet of Medical Things Das Einmaleins der Sicherheit für medizintechnische Geräte

Autor / Redakteur: Leo Dorrendorf* / Julia Mutzbauer

Cybersicherheit für medizintechnische Geräte unterscheidet sich grundlegend von der anderer Branchen. Neben dem Datenschutz spielt vor allem die Sicherheit der Patienten eine wichtige Rolle. Deshalb wird in diesem Beitrag erklärt, wie Compliance-Anforderungen am besten erfüllt werden können.

Firma zum Thema

Compliance mit medizinischen Cybersicherheitsstandards ist aufgrund der territorialen Fragmentierung und der Unterschiede zwischen einzelnen Geräteklassen eine ziemliche Herausforderung
Compliance mit medizinischen Cybersicherheitsstandards ist aufgrund der territorialen Fragmentierung und der Unterschiede zwischen einzelnen Geräteklassen eine ziemliche Herausforderung
(© leowolfert – stock.adobe.com)

Vernetzte Medizinprodukte versprechen viele Vorteile für Patienten und Gesundheitsdienstleister: Sie verarbeiten Daten effizienter, liefern Informationen zum Gesundheitszustand eines Patienten in Echtzeit und erlauben niedrigere Verweilzeiten im Krankenhaus. Das „Internet of Medical Things“, kurz IoMT, ist ein wachsender Markt.

Die Palette der Anwendungen ist mittlerweile breit gefächert und reicht von der Remote-Überwachung von Vitalwerten wie im Falle von Covid-19-Patienten, über die Datenverarbeitung bis hin zu Medikationssystemen wie Infusions- und intelligenten Insulinpumpen oder medizinischen Marihuana-Inhalatoren. Andere Gerätetypen helfen bei Aufgaben innerhalb der medizinischen Versorgungskette und erleichtern die Datenverarbeitung. Hierzu zählen intelligente Inventar-Etiketten und Datenterminals, die sich in komplexe, miteinander verbundene Backend-Datensysteme von Gesundheitsdienstleistern einbinden lassen.

Inzwischen gehen unterschiedlichste Geräteklassen online. Für Sicherheitsüberlegungen bleibt oft zu wenig Zeit, und das hat Folgen. IoMT-Cybersicherheit wird für Behörden, Kunden, Sicherheitsexperten und Anbieter von medizintechnischen Geräten gleichermaßen zum Problem. Schwachstellen kosten potenziell Menschenleben, verursachen hohe Kosten bei der Behebung, und sie öffnen Ransomware-Angriffen Tür und Tor. Nicht zuletzt lockt die Pandemie verstärkt Hacker an, die aus der Situation Kapital schlagen.

Cybersicherheit im Internet of Medical Things

Vernetzte Medizinprodukte folgen den gleichen etablierten Designmustern wie andere vernetzte Geräten:

  • Eingeschränkte Endpunktgeräte sind kleine, eingebettete Geräte, ausgestattet mit medizinischen Sensoren (wie Thermometern) und/oder Aktoren (wie medizinische Dispenser und Pumpen). Aufgrund ihrer begrenzten Größe und der internen Ressourcen verfügen sie normalerweise nicht über eine eigene Internetverbindung. Stattdessen verbinden sie sich mit einem lokalen Gateway über Kurzstrecken-Kommunikationsprotokolle, vorwiegend WLAN und Bluetooth – obwohl auch Infrarot, Kurzstrecken-Funkprotokolle über 802.15.4 und ähnliche verwendet werden. Einige dieser Geräte sind batteriebetrieben und verfügen kaum über genügend CPU-Leistung, um eine ordentliche Kryptographie zu ermöglichen. Dadurch sind sie schwer abzusichern.
  • Appliances und Gateway-Geräte mit vollem Funktionsumfang sind Medizinprodukte mit einer unabhängigen Internetverbindung und einer ordentlichen bis hohen Rechenleistung. Sie werden in der Regel an das Stromnetz angeschlossen und haben keine größeren Einschränkungen in Bezug auf Kryptographie und andere Sicherheitsfunktionen. Einige verwenden sogar Standardbetriebssysteme, etwa eingebettete und reguläre Varianten von Linux und Windows. Gateways sind beispielsweise dedizierte Geräte, die die Kommunikation von schwächeren Endpunktgeräten, wie den oben beschriebenen, zusammenführen und weiterleiten. Weitere Beispiele sind leistungsstarke, medizinische Endpunktgeräte wie MRTs und CT-Scanner, die über erhebliche Leistung und Rechenressourcen verfügen und direkt mit dem Service-Backend kommunizieren.
  • Backend-Geräte sind die Server und Cloud-Dienste, die das vernetzte Daten-Backend bilden, in dem medizinische Daten gespeichert, verarbeitet und für Patienten und Pflegepersonal bereitgestellt werden. Meist handelt es sich dabei um herkömmliche PCs, Cloud- und Mainframe-Computer. Ihre Funktionsweise ist, was die Sicherheit anbelangt, nicht spezifisch für die Branche.

Was die Cybersicherheit für Medizinprodukte von anderen Branchen unterscheidet, ist der inhärente Zugriff auf sensible Daten und die möglichen Auswirkungen auf die Patientensicherheit. Dies mündet direkt in eine eng gefasste regulatorische Landschaft, die sowohl den Schutz von Patientendaten als auch funktionale Sicherheitsanforderungen umfasst. Die nicht ganz unbeträchtlichen Aktivitäten von Behörden und Industrie haben zu neuen technologischen und verfahrenstechnischen Standards geführt. Einige dieser Standards schreiben mittels staatlicher Vorschriften Compliance-Anforderungen fest, an anderer Stelle versprechen sie den Anbietern Wettbewerbsvorteile.

Datenschutz und sensible Daten

Medizinische Daten zählen zu den sensibelsten Daten überhaupt: Befunde, Diagnosen, Messwerte und Behandlungspläne. Entsprechend wertvoll sind diese Daten für die verschiedenen datenerfassenden und -verarbeitenden Parteien. Es verwundert also kaum, dass Aufsichtsbehörden in den USA, der EU und weltweit dazu umfassende Datenschutzbestimmungen erlassen haben.

Die Erhebung, Verarbeitung, Aufbewahrung und Weitergabe medizinischer Daten unterliegt anderen Richtlinien und Beschränkungen als die von Finanzdaten, personenbezogenen Daten und anderen sensiblen Daten. Am bekanntesten ist sicherlich das US-amerikanische HIPAA-Datenschutzgesetz, das laut offizieller Beschreibung „nationale Standards zum Schutz von Krankenakten und anderen persönlichen Gesundheitsinformationen von Personen festlegt und für Krankenversicherer, Abrechnungsstellen im Gesundheitswesen und Gesundheitsdienstleister gilt, die bestimmte Transaktionen im Gesundheitswesen elektronisch durchführen.“ Die Vorgaben gelten auch für Hersteller und Betreiber von Medizinprodukten, die sensible medizinische Daten erfassen, verarbeiten und übertragen. Verstöße werden geahndet.

Patientensicherheit

In vielen Fällen sammeln medizinische Geräte nicht nur Daten und geben sie an einen Upstream-Server weiter, sondern sind aktiv an der Behandlung beteiligt. So muss ein medizinisches Inhalationsgerät den Wirkstoff gemäß einem Behandlungsplan sorgfältig dosieren. Im Umkehrschluss führt eine falsch dosierende Insulinpumpe möglicherweise zu schweren Schäden. Selbst Messungen von medizinischen Geräten ohne Aktoren wirken sich indirekt auf die Behandlung aus.

Patientensicherheit spielt demzufolge eine zentrale Rolle bei der Risikoanalyse für Medizinprodukte, und sie betrifft Funktionen, Sicherheit und Cybersicherheit. Das wiederum wirkt sich auf die Produktanforderungen aus. Die Patientensicherheit hat oberste Priorität, auch dann, wenn das unter Umständen zu Lasten der Cybersicherheit geht. Üblicherweise legt man bei der Risikobewertung folgende Skala zugrunde:

  • Niedrig: keine Gefahr von Gesundheitsschäden
  • Mittel: Gefahr von begrenzten Verletzungen oder Schäden für den Patienten
  • Hoch: Gefahr schwerer Verletzungen oder Todesfolge

Risikoanalysen beschäftigen sich üblicherweise damit, ob und in welchem Ausmaß ein Angreifer Kontrolle über ein Gerät erlangen kann. Bei Medizinprodukten geht es eher um die Auswirkungen und Begleiterscheinung in der physischen Welt. Wird beispielsweise eine Station zur Patientenüberwachung von Hackern kompromittiert und versendet jetzt Spam-Nachrichten, liefert aber immer noch korrekte medizinische Daten, oder werden medizinische Pumpen gekapert und als Teil eines DDoS-Botnetzes ferngesteuert, funktionieren aber ordnungsgemäß, so ist das weniger besorgniserregend. Ganz anders, wenn ein Angriff dazu führt, dass falsche Diagnosen gestellt oder Medikamente falsch dosiert werden.

Automatisierte Tools unterstützen Compliance

Compliance mit medizinischen Cybersicherheitsstandards ist aufgrund der territorialen Fragmentierung und der Unterschiede zwischen einzelnen Geräteklassen eine ziemliche Herausforderung. Wie in anderen Branchen hilft der Einsatz automatisierter Tools. Sie analysieren die Sicherheitslage für jedes Gerät, erlauben es, die notwendigen Maßnahmen schnell umzusetzen und decken viele Geräte ab. Gegenüber anderen verfügbaren Methoden haben automatisierte Tools einige Vorteile oder sie ergänzen existierende Verfahren.

Man kann beispielsweise die Firmware der Geräte scannen und den Sicherheitslevel in verschiedenen Versionen desselben Produkts nachverfolgen. Auch die Käufer profitieren, denn sie haben die Möglichkeit, die Firmware-Images eines Geräts sicherheitstechnisch überprüfen zu lassen, statt sich nur auf die Versprechungen des Anbieters zu verlassen. Eine automatisierte Überprüfung findet Architektur- und Konfigurationsprobleme – Ergebnisse, die man heranziehen kann, um alternative Produkte in Betracht zu ziehen. Man kann sogar einzelne Versionen vergleichen, um die Auswirkungen von Software-Updates bereits vor dem Rollout zu testen.

Die Cybersicherheit von Medizinprodukten wird oft durch Sicherheitslücken beeinträchtigt, die durch Zulieferer, die Software von Drittanbietern oder Open-Source-Komponenten entstehen. Jeder Anbieter, aber auch die Käufer profitieren deshalb von einer Software-Stückliste (Bill of Materials, BoM), um sämtliche Produkte und Komponenten auf bekannte Sicherheitslücken und andere Schwachstellen wie potenzielle 0-Days hin zu untersuchen.

*Der Autor: Leo Dorrendorf, Security Architecture Team Leader bei Vdoo

(ID:47124061)