Remote Patient Monitoring (RPM) bietet einmalige Möglichkeiten: Sei es für die dezentrale Überwachung von Krankheitsverläufen oder klinische Studien – die vernetzte Medizintechnik und RPM sind zunehmend im Behandlungsalltag verankert. Damit verbunden sind aber auch hohe Cyber-Risiken.
Vermehrt werden RPM-Technologien eingesetzt, um beispielsweise hochinfektiöse, chronisch erkrankte oder in der Mobilität eingeschränkte Patientinnen und Patienten in Echtzeit von der Ferne aus zu überwachen. Hierzu erfassen und übermitteln vernetzte Medtech-Produkte, Wearables und Sensoren relevante Gesundheitsparameter. Die Daten werden vom Gerät beispielsweise direkt über Mobilfunk mittels eigener SIM-Karte oder ein Gateway (kann auch das Smartphone sein) als Übertragungsmedium an einen RPM-Plattform-Provider gesendet. Meistens basieren RPM-Lösungen auf der Cloud-Technologie. Somit müssen die Daten schliesslich von der Cloud des RPM-Plattform-Providers sicher in das System der entsprechenden Gesundheitseinrichtung, also die zentrale Datenbank, übertragen werden.
Enorme Vorteile – hohe Cyber-Risiken
Die Vorteile von RPM für alle Beteiligten, vom Betreiber der vernetzten Medizintechnik bis zu den Patientinnen und Patienten, liegen auf der Hand:
- Verbesserung der Versorgung und Lebensqualität von Patientinnen und Patienten
- Rechtzeitige Erkennung von kritischen Zuständen
- Verbesserung des Behandlungserfolgs dank erhöhter Datenqualität
- Verbesserung der Interaktion zwischen medizinischem Personal und Patienten
- Senkung von Behandlungskosten
- Effizienzsteigerung von klinischen Studien
Die für RPM notwendige Vernetzung und die daraus resultierenden Datenflüsse sind jedoch mit hohen Cyber-Risiken verbunden: Einerseits stellen die vernetzten Medtech-Produkte selber attraktive Angriffsziele dar: Sie sind üblicherweise dauernd eingeschaltet, immer online, kombiniert mit teilweise geringe Security Standards sowie schlecht gewartet Softwareständen.
Gleichzeitig sind diese vernetzten Geräte und die zusammenhängende RPM-Gesamtlösung selten end-to-end überwacht um mögliche Kompromittierungen frühzeitig zu erkennen und zu reagieren.
Andererseits weist das komplexe IoT-Ökosystem der RPM-Leistungserbringung zahlreiche Stakeholder und damit auch Schnittstellen und Zonenübergänge auf. Ein potenzieller Angreifer wird sich den schwächsten Punkt im Gesamtsystem aussuchen. Daher müssen die Schnittstellen und Zonenübergänge sicher authentifiziert, gemanaged und überwacht werden. Gleichzeitig ist es zentral für die Sicherheit, dass die involvierten Medtech-Geräte sicher mit sicherheitsrelevanten Updates, Patches oder neuer Firmware ausgestattet werden können. Eine resistente Verschlüsselung ist die Grundvoraussetzung für die Sicherstellung des Datenschutzes sowie der Integrität der übertragenen Daten.
Stärkung der Cyber-Resilienz durch «Security by Design»
Um die Cyber-Risiken wirksam zu mitigieren, sind bereits bei der Entwicklung von RPM-Sicherheitsarchitekturen bestimmte Massnahmen notwendig. Denn neben der sicheren Integration und dem sicheren Betrieb ist die Product Cyber Security ein entscheidender Faktor. Daher ist es erfolgsentscheidend, dass diesen Sicherheitsaspekten schon früh in der Entwicklungsphase Rechnung getragen wird.
Zentral ist das «Security by Design»-Prinzip: Der Ansatz verfolgt die Prämisse, dass die notwendigen Sicherheitsmassnahmen vor allem innerhalb eines medizintechnischen Produkts, insbesondere in dessen Hard- und Software, umgesetzt werden. Diese Cyber Security-Aspekte wie zum Beispiel eine sichere Identifikation des Geräts, unveränderbare Log-Informationen oder sichere Update-Prozesse sowie Tamper Protection manifestieren sich auch in der Weiterentwicklung der entsprechenden Normen der Regulatoren.
Die zunehmend höhere Komplexität von IoMT-Ökosystemen erschwert die Gewährleistung der Sicherheit, wenn das dafür notwendige spezifische Fachwissen fehlt. Für Hersteller lohnt es sich, projektspezifische IoT Security-Expertise einzuholen, um eine ganzheitliche und nachhaltige Cyber-Security zu erreichen.
Die CyOne Security unterstützt Schweizer Medtech-Hersteller mit ihrem fundierten Fachwissen, ihre Produkte von Anfang an umfassend gegen Cyber-Bedrohungen zu schützen und die immer höher werdenden regulatorischen Cyber-Sicherheitsanforderungen mit Blick auf den gesamten Produktlebenszyklus zu erfüllen.
