Wie secuview Leser wissen, ist Cybersicherheit eine der großen Herausforderungen der zunehmenden Vernetzung. Das zeigt sich sehr deutlich im Gesundheitswesen: Das Internet of Medical Things (IoMT) entwickelt sich mit hohem Tempo, gleichzeitig handelt es sich um eine der Branchen mit besonders hohen Risiken. Wenn die IT ausfällt, steht die Gesundheit von Patient*innen auf dem Spiel. Medienberichte über Ransomware-Angriffe auf Krankenhäuser häufen sich in den letzten Jahren. Das müssen noch nicht einmal zielgerichtete Angriffe sein: Gelangt massenhaft verbreitete Schadsoftware in die IT-Infrastruktur eines Krankenhauses, kann das im schlimmsten Fall die medizinische Versorgung stören oder gar lahmlegen. Ein anderes Szenario findet seit der COVID-19-Pandemie immer mehr Verbreitung: Patient*innen werden zu einem frühen Zeitpunkt aus dem Krankenhaus entlassen, weil sie sich zu Hause besser erholen können, ihren Familienkreis um sich haben und auch seltener Infektionen bekommen. Zudem werden medizinische Ressourcen geschont, was während der Pandemie besonders wichtig war. In Großbritannien wurde dafür der Begriff „Hospital at Home“ geprägt – die Klinik zu Hause. Dabei werden die Patient*innen mit Monitoring-Geräten ausgestattet, die sie mit nach Hause nehmen. Dort überwachen die Geräte kontinuierlich den Gesundheitszustand der Patient*innen und senden diese Daten an die medizinische Einrichtung. Bei diesem Remote-Monitoring-Szenario ist Cybersicherheit enorm wichtig: zum einen aus Datenschutzgründen, zum anderen darf das Monitoring-Equipment nicht kompromittiert werden und in der Folge ausfallen oder falsche Daten liefern. Die Klinik zu Hause bringt also große Vorteile mit sich, aber auch Risiken, und Letztere haben vor allem mit Cybersicherheit zu tun.
Abhilfe schaffen prinzipiell dieselben Konzepte, die auch in anderen Branchen greifen: mehrstufige Sicherheit im Sinne von „Defence in Depth“ sowie vor allem die Berücksichtigung von Cybersecurity direkt bei der Produktentwicklung, also „Security by Design“. Dies entlastet auch die Patient*innen: Remote Monitoring wird häufig bei Patient*innen angewendet, die einer älteren Generation angehören und bei denen nicht davon ausgegangen werden kann, dass sie sich gut mit IT auskennen. Das kann problematisch werden, wenn die Sicherheit zum Beispiel von der richtigen Bedienung der Geräte abhängt oder von Sicherheitsmaßnahmen, die die Nutzer*innen treffen müssen. Zudem sind ältere, kranke Menschen durch bestimmte Angriffsformen wie Social Engineering tendenziell stärker gefährdet. Daher ist es ethisch geboten, die Nutzer*innen von der Verantwortung für die IT-Sicherheit zu befreien. Das kann gelingen, wenn die Technologie per se gut geschützt ist.
Security by Design werden wir nur erreichen, wenn Cybersecurity Teil der Zulassungsprozesse ist, denen Medizintechnikprodukte unterliegen. Das ist im Großen und Ganzen aktuell der Fall, aber es gibt ein Problem: Traditionell dauern die Prozesse recht lang, und das passt nicht mehr zu den rasanten Innovationszyklen moderner Digitaltechnik. Daher müssen die Prüfprozesse beschleunigt werden, zudem müssen sie neue Entwicklungen und Ansätze berücksichtigen und sich an realen Anwendungsszenarien orientieren. Genau dies will die Europäische Kommission im Rahmen ihres Programms „Horizon Europe“ angehen. Medizintechnik wird nicht nur auf nationaler Ebene, sondern auch auf EU-Ebene reguliert, daher kam die Initiative von dort.
Genau, die EU fördert das Projekt, an das ein umfangreicher Katalog von Forschungsaufgaben geknüpft ist. Im Konsortium von CYMEDSEC arbeiten wir gemeinsam an diesen Aufgaben. Die Projektpartner sind Universitäten und andere Forschungsinstitutionen, medizinische Einrichtungen, Behörden und Technologieunternehmen aus verschiedenen EU-Staaten sowie der Schweiz. Es handelt sich größtenteils um Organisationen, die schon in der Vergangenheit gut zusammengearbeitet haben. Ich bin sehr zufrieden mit der Zusammensetzung des Konsortiums.
Zunächst einmal wollen wir analysieren, wie die Medizintechnik-Regulierung auf europäischer Ebene aktuell aufgestellt ist, was überhaupt Sinn ergibt und wo derzeit Lücken bestehen – auch im Vergleich zur Regulierung auf nationalstaatlicher Ebene, innerhalb und außerhalb der EU, sowie zu allgemeinen Cybersecurity-Regulierungen wie der „Network and Information Security“-Richtlinie NIS-2. Interessant ist auch der Vergleich zu den gültigen Regulierungen in Bezug auf Arzneimittel und Medizinprodukte: Wie werden dort Vorteile und Nebenwirkungen abgewogen, und lässt sich das auf vernetzte Medizintechnik übertragen? Dahinter steckt die Prämisse, dass bestimmte Risiken vertretbar sind, um die Vorteile ausschöpfen zu können, andere aber nicht – ähnlich wie bei Medikamenten. Zudem schauen wir uns an, wie die vernetzten Geräte betrieben werden, welche typischen Schwachstellen dabei entstehen, welche Angriffsmodelle es gibt und wie die Sicherheit erhöht werden kann. Schließlich richten wir unseren Blick auf die nächste Generation der Medizintechnik: Was muss sicherheitstechnisch beachtet werden, wenn Patient*innen IoMT-Geräte selbst beschaffen oder wenn gar deren Smartphones für die IoMT-Kommunikation verwendet werden?
Durchaus, technisch gesehen haben Smartphones sämtliche Fähigkeiten, die für eine IoMT-Vernetzung erforderlich sind. Aus dem Blickwinkel der Informationssicherheit ist es wiederum nicht ganz so einfach: Wenn ein Smartphone sowohl private als auch medizinische Daten verarbeiten und versenden soll, muss eine besondere Sicherheitshärtung geschaffen werden. Voneinander abgeschottete Sicherheitsschichten auf Hardware- und Software-Ebene können dafür sorgen, dass die Monitoring-Daten vor unautorisierten Zugriffen geschützt sind. Hier arbeiten wir eng mit secunet und dem Barkhausen Institut, das ebenfalls als Projektpartner dabei ist, zusammen und entwickeln entsprechende Konzepte. Das Smartphone-Szenario setzt zudem voraus, dass die Remote-Monitoring-App korrekt installiert ist, regelmäßig Updates vorgenommen werden etc. Dabei muss berücksichtigt werden, dass hier ein IT-Thema auf eine überwiegend ältere Patientenschaft trifft.
Das hängt davon ab, wie viele Patient*innen den Dienst nutzen. Gehen wir davon aus, dass ein Cyberangriff, sei er nun zielgerichtet oder nicht, das System komplett lahmlegt. Falls wir uns noch in der Testphase mit nur wenigen Nutzer*innen befinden, lassen sich die Folgen wahrscheinlich gut abfedern. Aber wenn zu einem späteren Zeitpunkt mehrere tausend Patient*innen den Dienst nutzen, können die Folgen sehr ernst sein. In einem Artikel, der noch im Frühjahr 2024 in dem renommierten wissenschaftlichen Fachmagazin „Nature Portfolio Journals: npj Digital Medicine“ erscheinen wird, spielen wir genau dieses Szenario durch: Wir untersuchen die Ereigniskette und die Folgen in dem fiktiven Szenario eines Sicherheitsvorfalls bei einem Remote-Monitoring-System mit sehr vielen Patient*innen. Zwar gibt es Ansätze, um die Folgen eines solchen Vorfalls möglichst gering zu halten – zum Beispiel könnte Reservepersonal in Bereitschaft gehalten werden, das im Notfall übernehmen kann. Doch dies würde viele Vorteile der medizinischen Pflege zu Hause aushebeln. Aus diesem Grund muss die Medizintechnik in kritischen Infrastrukturen und in neuen Heimpflegeszenarien von vornherein so sicher gestaltet werden, dass Notfälle gar nicht oder nur sehr selten eintreten. Investitionen sind für beide Szenarien nötig, sowohl für Redundanz bei der Personalplanung als auch für Security by Design.
Die Projektlaufzeit beträgt vier Jahre. Aus meiner Sicht gibt es genügend Ansatzpunkte, um die Forschung danach weiterzuführen. Zum Beispiel konzentrieren wir uns bei der Betrachtung des Konzepts „Klinik zu Hause“ derzeit auf Monitoring-Technologie. Daneben gibt es aber auch Technologie, die zu Hause zu therapeutischen Zwecken eingesetzt wird. Bei solchen Geräten sind die Risiken durch Cyberangriffe sogar noch höher, da im Fall von Manipulationen oder Fehlfunktionen die physische Sicherheit von Patient*innen direkt gefährdet sein könnte. Ich kann mir vorstellen, dass die Forschung künftig auch in diese Richtung gehen wird. Im Moment sind wir mit dem aktuellen Forschungsauftrag allerdings sehr gut ausgelastet.
Seit 2022 besetzt Prof. Stephen Gilbert die Else Kröner Professur für Medical Device Regulatory Science am EKFZ für Digitale Gesundheit an der TU Dresden. Erstmalig wird in Deutschland an einer medizinischen Fakultät erforscht, wie innovative Medizinprodukte schneller in der Patientenversorgung ankommen können.
Gilbert promovierte in Computerbiologie an der Universität Leeds. Als Forscher im Bereich der Zellphysiologie spezialisierte er sich auf die klinische Bewertung und Erprobung medizinischer Produkte sowie der zugrundeliegenden regulatorischen Anforderungen und deren Umsetzung. Seit Mai 2019 war er Clinical Evaluation Director in der medizinischen Abteilung von Ada Health in Berlin sowie von 2017 bis 2019 Clinical Evaluation Manager bei BIOTRONIK in der Abteilung für Regulatorik.
secunet ist Partner des Projekts CYMEDSEC und leistet einen wichtigen Beitrag bei der Entwicklung von Methoden und Lösungen für sichere Medizintechnik. Das Unternehmen bringt zudem seine Expertise in der Entwicklung von Sicherheitslösungen in regulierten Bereichen ein.
Mehr Informationen dazu finden Sie hier.
Haben Sie Fragen oder Anmerkungen zu diesem Artikel? Dann kontaktieren Sie uns über das nebenstehende Kontaktformular!
secuview ist das Online-Magazin von secunet, Deutschlands führendem Cybersecurity-Unternehmen. Ob Cloud, IIoT, Home Office, eGovernment oder autonomes Fahren – ohne Sicherheit kann es keine Digitalisierung geben.