Vernetzte Medtech Devices bieten viele Vorteile, aber auch erhebliche Sicherheitsrisiken. Die meisten Gesundheitseinrichtungen in der Schweiz haben schon IoT-Sicherheitsvorfälle registriert. Nur ganzheitliche Product Cyber Security sorgt für einen umfassenden Schutz.
Smart Healthcare verspricht mehr Lebensqualität, unter anderem für Menschen mit chronischen Krankheiten. Remote Patient Monitoring (RPM) beispielweise erlaubt die Überwachung und Analyse von gesundheitsrelevanten Parametern aus der Ferne. Dank Wearables, Sensoren und digitalen Kommunikationskanälen verlieren Patienten weniger Zeit mit Klinikaufenthalten und Arztbesuchen – ohne dass dadurch die Qualität der Gesundheitsversorgung leidet.
Die Tatsache, dass IoT-Anwendungen im Schweizer Gesundheitswesen vermehrt zum Einsatz kommen, ist neben offensichtlichen Vorteilen auch mit Risiken verbunden: Vernetzte Medtech Devices sind nicht nur Teil der medizinischen Einrichtung, vielmehr reicht die Vernetzung durch das Internet of Medical Things (IoMT) über die Netzwerkgrenzen (z.B. der Klinik) hinaus und bindet externe Infrastrukturen (z.B. Cloud Services) und Geräte (z.B. Wearables und Smartphones) mit ein. Besteht irgendwo im Netzwerk eine Sicherheitslücke, ist das ganze IoMT-Ökosystem und alle seine Elemente bedroht.
Zahlreiche Sicherheitsvorfälle im Schweizer Gesundheitswesen
Diese Bedrohung ist real. Das zeigt eine Studie des Sicherheitssoftware-Unternehmens Kaspersky. Darin geben drei Viertel der befragten medizinischen Einrichtungen in der Schweiz an, bereits mindestens einen Sicherheitsvorfall im Bereich IoT registriert zu haben. Entsprechend schätzt auch nur knapp ein Drittel die Sicherheit ihrer IoT-Einrichtungen als ausreichend ein.
Wenn mangelhafte Sicherheitsvorkehrungen mit böswilliger Absicht ausgenützt werden, sind nicht nur vertrauliche Patientendaten in Gefahr. Es besteht auch die Möglichkeit, dass einzelne vernetzte Geräte manipuliert oder etwa mit Ransomware der medizinische Betrieb erheblich gefährdet wird.
Cyber Security von Anfang an
Mit der Datenschutz-Grundverordnung (General Data Protection Regulation GDPR) und dem EU Cybersecurity Act geben internationale Gesetze und Vorschriften vor, was die Schweizer Hersteller einhalten müssen. Unter anderem sind sie aufgefordert, Sicherheitsaspekte von Beginn weg in ihren Medizinprodukten zu berücksichtigen. Man spricht dabei von «Security by Design». Die Sicherheitsmassnahmen betreffen nicht nur die Peripherie, sondern auch die Hard- und Software medizintechnischer Produkte. Dazu gehören unter anderem die resistente Verschlüsselung, die Identifikation des Geräts, unveränderbare Log-Informationen sowie sichere und rasche Update-Prozesse.
Darüber hinaus sind Hersteller von Medtech Devices verpflichtet, ihre Systeme auch nach dem Markteintritt regelmässig auf Sicherheitslücken zu überprüfen und auf dem neusten Stand der Technologie zu halten – Stichwort «Post Market Surveillance». Hierbei werden unerwünschte Ereignisse ermittelt, die während des Zulassungsverfahrens nicht aufgetreten sind. Ein Beispiel sind hier Vulnerabilities (CVEs), welche die verwendete Software betreffen.
Wichtig ist: Neben der Sicherheit des einzelnen Geräts und der sicheren Konnektivität muss vor allem die sichere Integration in die Umsysteme berücksichtigt werden. Eine breit angelegte Studie des deutschen Bundesministeriums für Sicherheit in der Informationstechnik zur Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte belegt: Schwachstellen befinden sich selten in den Medtech Devices selber, sondern meistens in der begleitenden Infrastruktur. Folglich ist das gesamte medizinische IoT-Ökosystem nur dann gut geschützt, wenn alle Verbindungen und sämtliche Geräte sicher sind.
Auch Kliniken und Labors in der Verantwortung
Auch Betreiber von vernetzten Medtech Devices wie Spitäler, Kliniken und Praxen stehen punkto Cyber Security in der Verantwortung: Bei der Evaluation eines neuen Medizintechnikprodukts sowie von IoT-basierten Lösungen müssen sie beim Hersteller detaillierte Angaben hinsichtlich zentraler Sicherheitsaspekte einfordern – und prüfen, ob sich diese in ihr Netzwerk einbinden lassen und die gewünschten Standards erfüllen. Nur so können sie sich darauf verlassen, dass ihre Infrastruktur nicht zum Risiko für sie selber und ihre Patientinnen und Patienten wird.
Externer Security-Partner schont Ressourcen
Die rasante Entwicklung im Bereich Cyber Security ist anspruchsvoll: Die regulatorischen Anforderungen nehmen rasch zu und die Bedrohungslage verändert sich laufend. Beides erfordert eine immer grössere, sehr spezifische Security-Expertise. Diese intern aufzubauen bedarf grosser personeller und finanzieller Investitionen. Mit einem externen Cyber Security-Partner können sich Medtech-Unternehmen und -Betreiber auf ihre Kernkompetenzen konzentrieren.
Die CyOne Security unterstützt und begleitet sowohl Hersteller als auch Betreiber von vernetzten Medtech Devices dabei, einzelne Produkte und die sie umfassenden IoT-Ökosysteme umfassend gegen Cyber-Bedrohungen zu schützen. Sie übersetzt die individuellen Anforderungen in konkrete, auf den Schutzbedarf abgestimmte Lösungen.
Wie sieht es bei Ihnen aus: Haben Sie die Ressourcen, um die nötige Security Expertise intern aufzubauen? Oder ist es doch sinnvoller, auf externe Partner setzen? Die Checklisten «IoT Security: Make of Buy?» helfen Ihnen bei der Entscheidung.
Jetzt kostenlos downloaden!
