Vortrag René Salamon

„Die Daten sind die Kronjuwelen ihrer Kunden beziehungsweise Patienten. Die Queen stellt ihre zwar aus, aber nicht für jedermann zugänglich in die Cloud“, so brachte es René Salamon, Verantwortlicher für den Sektor Gesundheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Punkt.

| Uwe Nölke
20.03.2017 766 4

Cybersecurity in der Medizin: Komfort und Fortschritt versus Sicherheit

Immer häufiger erreichen uns Meldungen zu vernetzten Medizingeräten und IT-Netzwerken im Gesundheitssektor, die Gefahren durch Hackerangriffe ausgesetzt sind. So wurde erst kürzlich über eine Insulinpumpe berichtet, bei der durch Manipulationen die abgegebene Insulindosis beeinflusst werden konnte. Auch der Cyberangriff im Klinikum Arnsberg Anfang 2016 führte zu einem kompletten Ausfall des Computersystems und hatte Kosten im siebenstelligen Bereich zur Folge. Wie ernst sind diese Gefahren für unser Gesundheitssystem? Wie können Hersteller und Betreiber die Sicherheit erhöhen? Dies waren zentrale Themen bei der Veranstaltung „Cybersecurity in der Medizin“ – organisiert von der Deutschen Gesellschaft für Biomedizinische Technik (DGBMT) im VDE.

Kontakt

Geschäftsstelle

„Es gibt kein System ohne Sicherheitslücken“, so das Eingangsstatement von Hannes Molsen, Product Security Manager bei der Drägerwerk AG, die Medizin- und Sicherheitsprodukte herstellt und vertreibt. Unabhängig davon müsse aber eine höchstmögliche Sicherheit angestrebt werden. Etablierte Risikomanagement-Prozesse reichen hier nicht aus: Hersteller müssen Cybersecurity-Strategien bereits bei der Produktentwicklung und für den gesamten Produktlebenszyklus etablieren. Eine besondere Herausforderung liege darin, dass IT-Systeme in Krankenhäusern unterschiedlich konfiguriert seien: „Kein System gleicht dem anderen – das ist die zentrale Herausforderung für Security“, so Molsen weiter. Neben der Sicherheit spielen bei der Wahl eines Produkts im Gesundheitssektor auch die Parameter Wirtschaftlichkeit und Einfachheit in der Bedienung eine wichtige Rolle. Hier müsse der Betreiber eines Medizinprodukts abwägen, ob auf Kosten der Security die genannten Faktoren im Vordergrund stehen sollen.

Internet of Medical Things längst Realität

Dass das Internet of Medical Things keine Vision, sondern längst Realität ist, machte Hans Christian Wenner vom Ingenieurbüro Wenner deutlich: „Dinge, also auch Medizingeräte, sind permanent online, ohne dass der Benutzer direkt interagiert.“ Dabei werde die Verbindung zwischen der physischen Welt der Dinge und der virtuellen Welt der Daten weiter voranschreiten. In diesem Zusammenhang seien Verantwortlichkeiten und Haftungsfragen zu klären. „Ein angepasstes und zeitgemäßes Risikomanagement wird im Internet of Medical Things der zentrale Erfolgsfaktor sein“, so Wenner abschließend.

Vortrag Jochen Kaiser

Den „Clash of Cultures“ zwischen IT- und Medizintechnik-Abteilungen in Kliniken schilderte Jochen Kaiser aus dem Servicecenter IT am Klinikum Stuttgart.

| Uwe Nölke

Von der Hersteller- zur Anwenderseite

Für die Anwenderseite ergriff Jochen Kaiser aus dem Servicecenter-IT am Klinikum Stuttgart das Wort: Aus der Praxis schilderte er den „Clash of Cultures“ zwischen IT- und Medizintechnik-Abteilungen in Kliniken. Häufig hapere es an den Schnittstellen zwischen IT und Medizintechnik: „Eine rein organisatorische Lösung hilft hier nicht weiter. Vielmehr müssen standardisierte Sicherheitsvorgaben definiert werden“, betonte Kaiser. Herausforderungen ergeben sich dabei durch folgende Rahmenbedingungen:

  • Vermehrter Befall mit Schadsoftware
  • erhöhte Anforderungen an den Gesundheitssektor als Kritische Infrastruktur (KRITIS)
  • Softwareaktualisierungen erscheinen in kürzeren Abständen
  • Anteil medizinischer Daten auf Mobilgeräten in Kliniken steigt zunehmend.

Wichtig sei in diesem Zusammenhang, Anwender und Geschäftsführung für die wachsenden Gefahren zu sensibilisieren sowie ein neues Rollenverständnis für Medizingeräte zu entwickeln: „Nicht mehr die Exzellenz in der Diagnostik sollte im Vordergrund stehen, sondern die Gesamtmischung aus Diagnostik, Service, Integration und Schnittstellenkosten beziehungsweise -qualität“, so Kaiser.

Penetrationstests und Incident Response für mehr Sicherheit

Die Bedrohung im Gesundheitssektor werde von den Medien teilweise überspitzt dargestellt, sie sei aber dennoch real, so der IT-Forensiker Martin Wundram. Ihm und seinem Team sei es bei Penetrationstests gelungen, mit wenigen Klicks die Sicherheitsmaßnahmen von Kliniken zu überwinden: „Wir konnten Ärzten, Laboren und Apothekern bei ihrer Arbeit über die Schulter schauen“, berichtete Wundram. Dabei seien die vorhandenen Schwachstellen nicht auf bestimmte Betriebssysteme beschränkt, sondern lassen sich oft auf fehlende Aktualisierungen zurückführen. So fanden die IT-Forensiker in einer Klinik ein Röntgengerät, das über einen Rechner mit einem zehn Jahre alten Linux-System gesteuert wurde und an das Kliniknetzwerk angeschlossen war. Nicht immer resultieren Gefahren aus einer unerlaubten privaten Nutzung des Internets durch die Mitarbeiter: In einem medizinischen Großlabor bestellte ein Mitarbeiter Berufskleidung über die manipulierte Seite eines deutschen Online-Shops und infizierte in der Folge das Netzwerk mit Schadsoftware. „Die zentrale Stellschraube ist häufig Komfort versus Sicherheit“, so Wundram. Seine Empfehlung lautet deshalb, das Netzwerk in durch Firewalls getrennte Teilbereiche aufzuteilen.

Datenschutz und rechtliche Risiken

Im Darknet kostet eine Patientenakte 70 US-Dollar. Bisher wurden in den USA ein Drittel aller Akten gehackt. Das Thema Datenschutz im Gesundheitssektor ist damit aktueller denn je. Dabei stellt sich die Frage, wer welche gesetzlichen Pflichten hat. Laut Dr. Julia Vorländer von Klinkert Rechtsanwälte gibt es darauf eine klare Antwort: Unternehmensleitung und Hersteller sind in der Pflicht. In ihrem Vortrag zeigte sie die verschiedenen gesetzlichen Regelungen auf und hob besonders das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und die ab Mai 2018 geltende EU-Datenschutzgrundverordnung hervor. Aus beiden Gesetzestexten leitet sich eine Reihe von Pflichten sowohl für Hersteller als auch für Betreiber ab. Dazu gehören sowohl Sicherungs- und Meldepflichten sowie Pflichten bei der Produktentwicklung wie „Privacy by Design" und „Privacy by Default".

Vortrag René Salamon

Für René Salamon vom BSI lautet die zentrale Frage: „Wie kann es gelingen, dass IT-Sicherheit nicht den Fortschritt in der Medizintechnik behindert?"

| Uwe Nölke

Balance zwischen Innovation und Härtung schaffen

„Die Daten sind die Kronjuwelen ihrer Kunden beziehungsweise Patienten. Die Queen stellt ihre zwar aus, aber nicht für jedermann zugänglich in die Cloud“, so brachte es René Salamon, Verantwortlicher für den Sektor Gesundheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Punkt. Die Herausforderung bei Medizinprodukten bestünde darin, eine Balance zwischen Innovation und Härtung zu schaffen. Krankenhäuser würden in der Praxis häufiger angegriffen als etwa der Finanzsektor – nicht weil die Daten interessanter wären, sondern weil es im Gesundheitssektor einfacher sei, an Daten zu kommen. Dem will auch der für Mai 2017 geplante zweite Teil der KRITIS-Verordnung – der dann auch den Gesundheitssektor betrifft – zum Schutz Kritischer Infrastrukturen Rechnung tragen. Im Zentrum aller Anstrengungen stehe laut Salamon dabei stets die Frage: „Wie kann es gelingen, dass IT-Sicherheit nicht den Fortschritt in der Medizintechnik behindert.“

Standardisierung für sichere Medizingeräte

„Security und Safety sind zwei Paar Schuhe. Risikoanalysen müssen deshalb auch getrennt durchgeführt werden“, stellte Dr. Georg Heidenreich, Obmann im Gremium zur Sicherheit vernetzter Medizingeräte bei der DKE Deutschen Kommission für Elektrotechnik Elektronik Informationstechnik, gleich zu Beginn seines Vortrags heraus. Für den Bereich „Safety“ gebe es bereits Normen, die in Medizintechnikunternehmen angewendet werden. Anders sieht es bei der Security aus – auch hier bräuchte es entsprechende Normen. Bei der Cybersecurity handele es sich um ein Konzept und nicht – wie oft fälschlich angenommen – um eine technische Eigenschaft. Die medizinische Zweckbestimmung eines Medizingeräts stehe an oberster Stelle: „Nach zehn Minuten Inaktivität ein Gerät aus Sicherheitsgründen herunterzufahren, hat etwa bei einer Beatmungsmaschine keinen Sinn“, so Heidenreich. Viele der Cybervorfälle in der Medizintechnik seien auf den unsachgemäßen Gebrauch von Produkten zurückzuführen. Trotzdem bedürfe es neuer Normen bei einer gleichzeitig flexiblen und innovationsfreudigen Umgebung.

Informationssicherheitsmanagement im Gesundheitswesen

Der letzte Vortrag widmete sich dem Informationssicherheitsmanagement im Gesundheitswesen. „Es geht dabei nicht um Technik, sondern um Prozesse beim Betreiber, die die Informationssicherheit gewährleisten“, stellte Dr. Andreas Rösch, Geschäftsführer von Rösch & Associates klar. In seinem Vortrag erläuterte er die ISO 27799 als branchenspezifische Variante der ISO 27001 und ging auf deren Unterschiede ein. Im Anhang A der ISO 27799 findet sich eine Auflistung aller möglichen Bedrohungen. An einem Fallbeispiel mit einer Medical App erläuterte Rösch, wie sich die Zugriffskontrolle zum Schutz persönlicher Gesundheitsdaten normengerecht umsetzen lässt. Derzeit sei die ISO 27799 laut Rösch noch wenig verbreitet: „In 10 bis 15 Jahren wird sie im Gesundheitswesen jedoch Best Practice sein.“

Impressionen