Mangelnde Cybersecurity in der Medizintechnik

| Autor: Kathrin Schäfer

Viren der ganz anderen Art bedrohen immer öfter Gesundheitseinrichtungen und Medizintechnikunternehmen. Es gilt aufzurüsten, um Hackerangriffen vorzubeugen und Cybersecurity zu gewährleisten.
Viren der ganz anderen Art bedrohen immer öfter Gesundheitseinrichtungen und Medizintechnikunternehmen. Es gilt aufzurüsten, um Hackerangriffen vorzubeugen und Cybersecurity zu gewährleisten. (Bild: ©peterschreiber.media - stock.adobe.com)

Es ist eine reale Bedrohung: Hackerangriffe auf Krankenhäuser mittels Computerviren haben sich zuletzt gehäuft. Sicherheitslücken bei Medizinprodukten sorgten zusätzlich für Unbehagen. Das Thema Cybersecurity können Medizintechnikfirmen nicht mehr auf die lange Bank schieben.

Gut zwei Jahre ist es her, dass ein Hackerangriff das städtische Klinikum in Neuss nahe Düsseldorf lahmgelegt hat. Die Folge: Operationen konnten nicht stattfinden. Sämtliche IT-Systeme wurden heruntergefahren. Die Klinik ging quasi offline. Auf einmal wurden Dokumente wieder ausgedruckt, gefaxt oder per Boten an den Empfänger überbracht.

Eine Horrorsituation für sämtliche Betroffenen. Externe IT-Spezialisten wurden eingeschaltet; ebenso Beamte des Kompetenzzentrums Cybercrime des Landeskriminalamtes sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die gute Nachricht: Kein Patient ist damals zu Schaden gekommen. Nicolas Krämer, Geschäftsführer des Lukaskrankenhauses, gibt sich im Gespräch mit NGZ Online erleichtert, dass keine Patientendaten verlorengingen. Die schlechte Nachricht: Der finanzielle Schaden werde auf eine Million Euro geschätzt, so Krämer damals.

Er und seine Kollegen haben aus diesem Vorfall gelernt. Das Krankenhaus hat in die Schulung seiner Mitarbeiter investiert – der Virus wurde seinerzeit über einen E-Mail-Anhang eingeschleust. Die IT wurde aufgerüstet, technisch wie personell. Doch der Fall in Neuss war kein Einzelfall und leider auch nicht der letzte seiner Art: Rechner anderer Klinikstandorte, beispielsweise in Kleve und Kalkar, waren damals ebenfalls von einem Computervirus befallen. Und erst jüngst, nämlich im November 2018, wurde das Klinikum Fürstenfeldbruck von einem Mail-Trojaner angegriffen. Krankenwagen fuhren die Klinik mehrere Tage nicht mehr an. Sämtliche Computer waren lahmgelegt. Es funktionierten nur noch die Telefone.

Wie ernst die Lage bundesweit ist, zeigt die Krankenhausstudie 2017 von Roland Berger. Demnach waren 2017 knapp zwei Drittel, nämlich 64 Prozent der deutschen Krankenhäuser schon einmal einem Hackerangriff zum Opfer gefallen. „Zur Abwehr wird vor allem auf die Verbesserung der Firewalls, Notfallkonzepte und die Aufklärung der Mitarbeiter beziehungsweise auf Mitarbeiterschulungen gesetzt“, stellt die Unternehmensberatung fest. Ernüchternd ist hingegen: Nur bei rund 31 Prozent haben die Vorfälle zu einer Aufstockung des Personals in den jeweiligen IT-Abteilungen geführt. Den meisten Häusern fehlen offenbar die Mittel, um zu investieren, so das Fazit von Roland Berger.

Eine einzige Schwachstelle kann das gesamte System lahmlegen

Dabei sind infizierte E-Mails in Gesundheitseinrichtungen längst nicht das einzige Problem: Der ZVEI Zentralverband Elektrotechnik- und Elektronikindustrie hat im Dezember 2018 ein Whitepaper zu Cybersecurity veröffentlicht. Darin verweist er auf die Digitalisierung und Vernetzung der gesamten Lebenswelt des 21. Jahrhunderts. Das Internet der Dinge (IoT) werde langfristig dazu führen, dass alles mit allem vernetzt ist, heißt es dort. Mit Blick auf die Cyber-Angriffe auf deutsche Krankenhäuser bedeutet dies: Eine einzige Schwachstelle im System kann das gesamte System lahmlegen. Wie real dieses Szenario ist, wird deutlich, wenn man sich vor Augen führt, wie rasant die Digitalisierung derzeit die Medizintechnik und obendrein das gesamte Gesundheitswesen erobert. Gerade haben acht Verbände der industriellen Gesundheitswirtschaft, darunter der Bundesverband Medizintechnologie BV-Med sowie Spectaris, dazu aufgerufen, Patienten einen schnelleren Zugang zu digitalen Versorgungsangeboten zu ermöglichen. Der Nutzen nicht nur für Patienten, sondern auch für Gesundheitseinrichtungen und ihr Personal ist unbestritten: „Neben den telemedizinischen Einsatzmöglichkeiten bietet die Digitalisierung den Patienten besonders bei chronischen und seltenen Erkrankungen zahlreiche Möglichkeiten zum Selbstmanagement“, heißt es in dem gemeinsam verfassten Pressestatement. Digitale Behandlungsprozesse hätten das Potenzial, die Patientenversorgung zu verbessern.

Die Angst vor Angriffen ist weit mehr als nur Paranoia

Dies gilt beispielsweise für die Behandlung der Volkskrankheit Diabetes: Viele Diabetiker nutzen heute bereits Diabetes-Apps oder sogar Medizinprodukte wie Insulinpumpen und Systeme zur kontinuierlichen Glukosemessung. Doch dies ist eben nur eine Seite der Medaille. Denn nicht nur Gesundheitseinrichtungen wie Krankenhäuser sind Cyber-Angriffen ausgesetzt, sondern auch Medizinprodukte und -geräte. Aus diesem Grund hat Johnson & Johnson 2016 über 11.000 Träger vernetzter Insulinpumpen davor warnen müssen, dass die Geräte Sicherheitslücken in der Software aufwiesen. Für Aufsehen sorgte im Jahr darauf, dass Herzschrittmacher und Defibrillatoren von St. Jude Medical ebenfalls Sicherheitslücken besaßen.

Bezeichnend ist: Der ehemalige US-Vizepräsident Dick Cheney ließ seinerzeit die Fernsteuerungsfunktion seines Herzschrittmachers ausschalten – aus Furcht vor einem Hackerangriff. Paranoia einer exponierten Politikerpersönlichkeit? Jedenfalls bangen auch deutsche Bürger vor den Risiken, die digitalisierte Medizingeräte mit sich bringen. Eine aktuelle PwC-Studie zeigt: Drei von zehn Patienten haben Angst vor dem Ausfall der Computersysteme bei einem Krankenhausaufenthalt. 51 Prozent befürchten, dass kleinere kommunale Krankenhäuser in ländlichen Gegenden schlecht auf einen Angriff aus dem Netz vorbereitet sind. „Die Angriffe auf Krankenhäuser in den vergangenen Jahren haben gezeigt, dass die Befürchtungen der Bürger durchaus realistisch sind“, bestätigt Michael Burkhart, Leiter des Bereichs Gesundheitswirtschaft bei PwC. Denn, so Burkhart: „Hackerangriffe haben sich zum zentralen Geschäftsrisiko in der Gesundheitswirtschaft entwickelt.“

Doch wie kann das sein? Raphael Vallazza ist CEO der Firma Endian. Er weiß: „Die Medizintechnik ist sehr IT-lastig, und gleichzeitig kommt durch die langen Lebenszyklen oft ältere Technologie zum Einsatz. Das macht sie sehr angreifbar.“ Die ständig wachsende Zahl an vernetzten Endpunkten biete Hackern eine immer breitere Angriffsfläche. Schadsoftware werde deshalb zunehmend so konzipiert, dass sie sich schnell von einem System auf ein anderes ausbreiten kann. Hinzu komme, dass Unternehmen ihre IT-Sicherheitsmaßnahmen meist gegen Bedrohungen von außen konzipierten. Habe ein Angreifer diese Hürde erst einmal genommen, könne er sich rasch innerhalb eines Netzwerks ausbreiten. Vallazzas Unternehmen ist auf IT-Security spezialisiert: „Netzwerksegmentierung bietet hier eine Möglichkeit, Cyberangriffe abzuschwächen und zu verlangsamen. Dafür werden Zonen mit vergleichbarem Schutzbedarf definiert und über IoT-Security-Gateways voneinander abgegrenzt.“ Weiter rät er: „Jeder Datenaustausch sollte über VPN-Verschlüsselung erfolgen. Damit lässt sich sicherstellen, dass Daten während der Übertragung nicht entwendet oder manipuliert werden. Auch hier ist es vorteilhaft, Gateways vor die Infrastruktur zu schalten: Der laufende Betrieb wird damit nicht unterbrochen und die Verschlüsselung kann entsprechend schnell implementiert werden.“

Der Entwicklungsdienstleister Newtec wiederum realisiert elektronische Produkte von der konzeptionellen Idee bis zur Industrialisierung, inklusive Zulassung, mit Schwerpunkt auf Functional Safety und Embedded Security. Er begleitet Medizintechnikunternehmen bei ihrer digitalen Transformation und berät sie auch in Sicherheitsfragen. Stephan Strohmeier leitet bei Newtec die Abteilung „Beratung Digitale Transformation“. Seine Einschätzung: „Medizintechnikunternehmen sehen das Thema, die meisten unterschätzen die Tragweite und Relevanz jedoch noch.“ Er rät ihnen: „Safety und Security sind Qualitätsmerkmale und lassen sich nicht nachträglich in ein Produkt einbringen. Das Thema muss bereits zu Beginn der Entwicklung eines medizintechnischen Gerätes die notwendige Aufmerksamkeit bekommen.“ Denn, so Strohmeier: „Die Risiken lassen sich durch entsprechende Analysen, Entwicklungsprozesse und entwicklungsbegleitende Maßnahmen auf ein Minimum reduzieren. Um die Security über den Produktlebenszyklus aufrechterhalten zu können, sind regelmäßige Security-Audits notwendig.“

Braucht es also eine Gesetzgebung, die normative Standards in diesem Bereich setzt? Die PwC-Studie jedenfalls zeigt: Auf das Engagement der Krankenhäuser und Praxen allein wollen sich die Bürger beim Thema Datensicherheit nicht verlassen. Die Mehrheit wünscht sich, dass die Schutzmaßnahmen in der Gesundheitswirtschaft gesetzlich vorgeschrieben werden und nicht nur auf freiwilliger Basis erfolgen. Und auch Alexander Matheus, Produktmanager für Smarte Technologien und Information Security beim VDE Prüf- und Zertifizierungsinstitut, kritisiert: „Aus unserer Sicht liegt bei Herstellern von Medizinprodukten noch nicht genügend Fokus auf IT-Sicherheit.“

Auch die Medizintechnik ist vom neuen IT-Sicherheitsgesetz betroffen

Das soll sich jetzt ändern. Dr. Deniz Tschammler, Rechtsanwalt der Düsseldorfer Kanzlei Hengeler Mueller, verweist auf die neuen IT-Sicherheitsvorschriften für den Gesundheitssektor, die in Deutschland zum 30. Juni 2019 in Kraft treten: „Das IT-Sicherheitsgesetz richtet sich insbesondere an Betreiber von ausgewählten branchenspezifischen Anlagen und Infrastrukturen, die von hoher Bedeutung für das Gemeinwohl sind.“ Tschammler erläutert: „Im Gesundheitswesen gelten diejenigen Infrastrukturen als kritisch, deren Ausfall oder Beeinträchtigung gravierende Folgen für die Gesundheit der Patienten hätte. Betreiber von kritischen Infrastrukturen müssen nach der neuen Rechtslage sicherheitstechnische Mindeststandards erfüllen und dadurch gewährleisten, dass ihre Anlagen funktionsfähig sind.“ Die Einhaltung dieser Mindeststandards wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht.

Doch die neuen IT-Sicherheitsregeln gelten nicht etwa nur für Krankenhäuser, wie man auf den ersten Blick vermuten könnte. Auch Teile der Medizintechnikindustrie sind laut Tschammler unmittelbar betroffen: „Die neuen IT-Sicherheitsregeln gelten auch für besonders sensible Versorgungsbereiche in der Medizinprodukteindustrie, nämlich im Falle von Medizinprodukten, die für die Zwecke der Beatmung/Tracheostomie, der parenteralen oder enteralen Ernährung oder der ableitenden Inkontinenz oder zur Behandlung von Diabetes-Typ 1 eingesetzt werden – sogenannte unmittelbar lebenserhaltende Medizinprodukte. Zu den kritischen Infrastrukturen in diesen Versorgungsbereichen zählen Anlagen, in denen unmittelbar lebenserhaltende Medizinprodukte hergestellt (Produktionsstätten) oder abgegeben (Abgabestellen) werden und die einen Jahresumsatz von mindestens 90.680.000 Euro erzielen.“ Mit Blick auf die nahende Frist sollten Medizintechnikunternehmen also baldmöglichst prüfen, inwiefern die neue Regelung für sie greift. Gilt ein Medizintechnikhersteller nämlich als Betreiber einer kritischen Infrastruktur, muss er bis zu besagtem 30. Juni und ab da alle zwei Jahre nachweisen, dass seine IT-Systeme sicher und zuverlässig arbeiten.

Bleibt die Frage: Wo können Medizintechnikunternehmen Hilfe erhalten, um ihre IT aufzurüsten? Dienstleister wie Endian oder Newtec sind eine mögliche Anlaufstelle. Aber auch das VDE-Institut unterstützt Firmen im Bereich Informationssicherheit und Cybersecurity. Wie auch immer man das Thema Cybersecurity angeht: Die Digitalisierung des gesamten Gesundheitswesens schreitet mit großen Schritten voran. Wer digitale Medizinprodukte herstellt und vertreibt, muss diese entsprechend absichern. Denn der nächste Hackerangriff kommt bestimmt.

Ergänzendes zum Thema
 
Podcast „Cybercrime“ bei HR-Info

Fachbuch „Industrie 4.0“Das Fachbuch „Industrie 4.0: Potenziale erkennen und umsetzen" bietet Professionals einen umfassenden und praxisorientierten Einblick in die Digitalisierung von Fertigung und Produktion. „Industrie 4.0“ kann hier versandkostenfrei oder als eBook bestellt werden.

Tod durch Software – Kein Patch kann fatale Fehler wieder richten

Tod durch Software – Kein Patch kann fatale Fehler wieder richten

20.03.19 - Zwei Abstürze in nur fünf Monaten, 346 Tote – das ist die tragische Bilanz, die derzeit dafür sorgt, dass mit der Boeing 737 MAX eines der modernsten Flugzeuge weltweit nicht starten darf. Eine Software zur Verbesserung der Flugsteuerung soll Schuld tragen. Wie kann so etwas heute noch passieren? lesen

5G geknackt: Anfällige Authentifizierung und Angst vor dem „Kill-Switch“

5G geknackt: Anfällige Authentifizierung und Angst vor dem „Kill-Switch“

18.02.19 - Kaum sind erste 5G-Testnetze installiert, warnen Experten vor Schwachstellen. Und zwar ausgerechnet in dem Protokoll, das die Kommunikation absichern soll. Davon könnten nicht nur kriminelle Hacker profitieren, sondern auch die Polizei und Geheimdienste. Die sehen aber noch ganz andere Gefahren. lesen

Dieser Betrag stammt von unserem Partnerportal Devicemed.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45930176 / Safety & Security)