Offene Schnittstellen, veraltete Technik und unterschiedliche Interessenlagen: IT-Sicherheit im Gesundheitswesen ist ein komplexes Thema, schließlich geht es um die Bedürfnisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundesanstalt für Arzneimittel und Medizintechnik und dem Bundesamt für Sicherheit dar – aktuell gibt es lediglich Empfehlungen, keine verbindlichen Richtlinien.
Das Gesundheitswesen und viele medizinische Prozesse sind ohne IT nicht mehr effizient möglich, was Bezeichnungen wie z.B. „Computertomographie“ oder „elektronische Patientenakte“ deutlich machen. Zunehmend unterstützen oder übernehmen IT-gestützte Geräte medizinische Prozesse: In der Arztpraxis liefern Ultraschall oder Blutdruckmesser die Entscheidungsgrundlage für das Personal, modernste Technik nutzt darüber hinaus Big Data: State of the Art-Ultraschallgeräte können zum Beispiel aus medizinischer Sicht auffällige Bereiche im Bild direkt hervorheben. Künstliche Intelligenz erkennt Muster und liefert Entscheidungshilfen, ist aber noch davon entfernt, selbst Entscheidungen vorzugeben. Der Mediziner muss am Ende die Kompetenz besitzen, die Ergebnisse korrekt zu interpretieren und Schlüsse zu ziehen. Auf der anderen Seite gibt es bereits Automaten, die eigenständig arbeiten: Etwa Infusionsgeräte, die über einen bestimmten Zeitraum eine gewisse Menge an Medikamenten abgeben oder Laborautomaten, die Ergebnismessung und Aufbereitung übernehmen.
Schnittstellen und veraltete Systeme als Sicherheitsrisiken
Anders als noch vor einigen Jahrzehnten besitzen medizinische Geräte wie Herzschrittmacher heute Schnittstellen, um Daten auszulesen und Parameter anzupassen. Im stationären Umfeld sind diese Schnittstellen für Wartung und Konfiguration gängig und notwendig. Das öffnet allerdings dem Missbrauch Möglichkeiten, wenn diese nicht gegen unberechtigten Zugriff abgesichert sind. Es stellt sich die Frage, wie leicht eine Schnittstelle zugänglich ist und aus welchem Umfeld heraus. Sind Komponenten über Funk oder das Internet ansteuerbar? Die Wahrscheinlichkeiten solcher Angriffe sind zwar nicht abschließend geklärt, aber eine externe Manipulation ist denkbar, was gerade für IT wie Herzschrittmacher, die direkt auf den Menschen einwirkt, heikel ist.
Allgemein ist die Manipulation und Veränderung von Daten, die dem Mediziner bei einer Entscheidung unterstützen, durch Unberechtigte kritisch – sei es die OP am falschen Bein oder falsche Laborwerte. Manipulierte Komponenten sind auch in der Herstellung von Medikamenten gefährlich sein, wenn durch IT-Systeme die Dosierung für Mischverhältnisse unterstützt wird.
Eine weitere Schwierigkeit bei der Gewährleistung von IT-Sicherheit liegt darin, dass, aufgrund der hohen Kosten, medizinische Geräte und Anlagen über einen langen Zeitraum genutzt werden: Die Investition in z.B. bildgebende Verfahren (z.B. Computertomographen) muss sich amortisieren und entsprechend lang bleiben die Maschinen im Einsatz, zumal sie hohe Anforderungen an Hersteller und Zulassung erfordern. So kommt es, dass Geräte weiter genutzt werden, die aus IT-Sicht nicht mehr dem Stand der Technik entsprechen, da sie mit alten Betriebssystemen und Komponenten ohne Virenschutz laufen aber aus medizinischer Sicht durchaus ihren Zweck erfüllen. Es gilt im Einzelfall durch den Betreiber abzuwägen, mit welchen Risiken die veraltete IT-Technik einhergeht, ob diese tragbar sind oder ob und welche Maßnahmen getroffen werden müssen, um Risiken zu mindern oder ganz abzustellen. Das ist nicht immer möglich: Hat eine Generation Herzschrittmacher eine Sicherheitslücke, können nicht zwangsläufig alle ausgetauscht werden, da es ggf. Patienten gibt, für die der Eingriff ein nicht tragbares medizinisches Risiko darstellt.
Im Gesundheitswesen prallen zudem immer verschiedene Interessenslagen aufeinander: Das Personal denkt an seine Bedürfnisse, um die Geschäftsprozesse zu erfüllen, die Krankenhausleitung an wirtschaftliche KPI und wegen Fachkräftemangel und Kostendruck sitzen nicht in jedem Haus IT-Sicherheitsexperten. Es erfordert Kompetenzen, die IT-Infrastruktur sicher zu betreiben und die Bemühungen halten mit den Anforderungen nicht Schritt. Fachkräfte sind teuer und Krankenhäuser konkurrieren mit Branchen, die entsprechenden Fachkräften bessere Rahmenbedingungen bieten können. Dieser Rahmen bedingt das Sicherheitsniveau – kommt es zu einem Angriff, greift es zu kurz, die Schuld beim Krankenhaus zu suchen. Gerade Angriffe auf Kliniken mit Cryptotrojanern haben in den vergangenen Jahren zugenommen, doch die Gefahrenlage ist unterschiedlich – manche Bereiche besitzen das notwendige Know-how und das Bewusstsein für Gefährdungen, andere nicht. Leider gilt: Für komplexe (Bedrohungs-)Szenarien gibt es keine einfachen Lösungen.
IT-Sicherheit verhindert Manipulation und unberechtigten Zugriff
Insgesamt gilt IT dann als sicher, wenn Unberechtigte Patienten keinen Schaden zufügen können und auch eine Manipulation ausgeschlossen ist. Das beinhalltet auch die fehlerhafte Nutzung, wenn Fachpersonal aus Versehen einen falschen Knopf drückt, die IT den Fehler erkennt und nachhakt. Der Ansatz-„secure by design“ kann das leisten: Die Geräte sind in sich sicher und werden nur bei der bewussten Öffnung oder Veränderung angreifbar, was über definierte Einsatzumgebungen verringert werden kann. Ein weiteres Prinzip der IT-Sicherheit ist die Segmentierung. Werden Funktionsnetze getrennt – Adminbereich von Geschäftsprozessen, Verwaltung vom Medizinbereich – haben zum Beispiel Hacker weniger leichtes Spiel und Schadsoftware breitet sich nicht einfach aus, da innerhalb der IT zusätzliche Sicherheitshürden überwunden werden müssen.
Eine zielgerichtete Regulierung fehlt
Ein zentrales Problem für die IT im Gesundheitswesen liegt in der fehlenden Regulierung und den nicht vorhandenen konkreten Vorgaben zur IT-Sicherheit. Das Thema ist seit etwa zwei bis drei Jahren im Umbruch und rückt seitens der Regulierung verstärkt in den Fokus.
Eine Regulierung muss sich auf Produkte konzentrieren, die direkt mit dem Menschen in Kontakt kommen und deren Missbrauch ihm schaden kann. Auch Krankenhausinformationssysteme besitzen als zentrales Tool Schnittstellen zu Medizinprodukten und müssen sicher sein. Allerdings muss mit Augenmaß reguliert werden: Die IT darf nicht für den Mediziner entscheiden, dieser kann sogar Fehler der Technik mit seinem Wissen kompensieren. Es muss also eine Risikoabwägung erfolgen.
In Deutschland sind drei Behörden für die IT-Sicherheit im Gesundheitswesen zuständig:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Hoheit über IT-Sicherheit und formulierte bereits in einer technischen Richtlinie konkrete Anforderungen an digitale Gesundheitsanwendungen. Zudem wurde die Studie Cybersicherheitsbetrachtung vernetzter Medizinprodukte mit Status Quo und Herstellerempfehlungen herausgegeben. Das BSI ist aktiv, allerdings dauert eine Regulatorik über Gesetzgebung oft mehrere Jahre.
Die Regulierung von Geräten erfolgt durch die Bundesanstalt für Arzneimittel und Medizintechnik (BfArM) in Bonn, die Medizinprodukte wie Skalpell, Betten oder eben den Computertomographen zulässt. Zudem gibt es Prüflabore, die Zulassungen ausstellen. Die Schwierigkeit dabei: Auch hier existieren noch keine verbindlichen Vorgaben für IT-Sicherheit, nur ein Fragenkatalog, den eine Interessensgemeinschaft entwickelt hat.
Die gematik in Berlin ist verantwortlich für die Telematik-Infrastruktur (TI), um zum Beispiel die elektronische Gesundheitskarte zu nutzen. Die Organisation besitzt ein eigenes Kriterienwerk, in dem niedergelegt ist, wann Dienste Bestandteil der Telematik-Infrastruktur sein dürfen. Die gematik hat die elektronische Patientenakte (ePA) Anfang 2021 eingeführt, Mitte des Jahres soll das e-Rezept folgen. Auch dieses kann ein Sicherheitsrisiko darstellen: Als digitales Rezept enthält es Medikamente und Dosierung. Würde es auf dem Weg zur Apotheke verändert, kann der Patient Schaden nehmen. Die gematik steuert hier mit den definierten (Sicherheits-)Kriterien gegen.
Um ein gleichmäßig hohes Schutzniveau in der IT-Sicherheit zu schaffen, müssen gleiche Wettbewerbsbedingungen für alle Hersteller und Beteiligten erreicht werden. Das gelingt mit konkreten Vorgaben und seitens der Regulatorik definierten Zielen. Dabei gilt es verschiedene Interessenslagen zu vereinen. Ist ein Produkt wegen seiner Authentifizierung und den Sicherheits-Procederes nicht schnell nutzbar, kann dies dem Patienten genauso wie mangelnde IT-Sicherheit schaden: Defibrillatoren – die über ihre Sensorik viel IT beinhalten – benötigen zum Beispiel keine Authentifizierung, da diese im Ernstfall zu viel Zeit kosten würde.
Fazit
BSI, BfArM und die gematik sind die zuständigen Stellen für IT-Sicherheit von Medizinprodukten in Deutschland. Es muss sichergestellt werden, dass Unberechtigte die IT in medizinischen Geräten und Systemen nicht gegen den Patienten nutzen können und Komponenten und System nur Berechtigten offen stehen. Hier können auf IT-Sicherheit spezialisierte Unternehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicherheitsstandards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überregulierung kann Schaden bringen.
Autor: Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC GmbH
Weitere Informationen: www.src-gmbh.de