Cyberattacken auf Medizingeräte
In Nordamerika sorgte kürzlich eine potenzielle Sicherheitslücke bei einer von einem Tochterunternehmen des Medizingeräteherstellers Johnson & Johnson (J&J) im Jahr 2008 auf den Markt gebrachten Insulinpumpe für Unsicherheit bei Diabetespatienten.
Ein selbst an Diabetes erkrankter IT-Experte hatte auf eigene Recherchen hin Schwachstellen entdeckt, die es Cyberkriminellen grundsätzlich ermöglicht hätten, die gemessenen Blutzuckerwerte zu manipulieren. Für die Nutzer der Insulinpumpe bestanden dadurch theoretisch Gesundheitsrisiken wie das einer Hypoglykämie.
Hersteller warnte und gab Patienten Tipps gegen Angriffe
Der Hersteller verschickte daraufhin Warnungen an Ärzte und Anwender und informierte darüber, wie sich Patienten vor potenziellen Angriffen schützen können, indem sie z.B. die drahtlose Kommunikation abschalten.
Das Unternehmen wies zugleich darauf hin, dass die Wahrscheinlichkeit eines "unautorisierten Zugangs" zu den vernetzten Insulinpumpen extrem gering sei, da das System weder mit dem Internet noch mit externen Netzwerken verbunden sei. Für hierzulande von J&J verkaufte Insulinpumpen gelten die Warnungen nicht.
Auch andere Geräte und Apps könnten Hacker interessieren
Dennoch zeigt das Beispiel, dass medizinische Geräte potenzielle Ziele von Hackern werden können. Neben Insulinpumpen gilt dies etwa auch für Herzschrittmacher, Blue-tooth-gesteuerte Gesundheits-Apps sowie Dialysegeräte, Technologien zur Überwachung von Patienten mit kardiovaskulären Erkrankungen und andere vernetzte Medizingeräte, wie CT oder MRT.
Angriffe bisher sehr selten
Einer aktuellen Studie des auf Cybersecurity spezialisierten Unternehmens Symantec zufolge ist der Gesundheitsbereich bislang jedoch im Vergleich zu anderen Branchen nicht überproportional stark Cyber-angriffen ausgesetzt. So liegt der Anteil sog. Spear Fishing Attacken, in deren Folge es zu Infektionen mit Schadprogrammen kommen kann, bei unter einem Prozent.
Für die hochsensiblen Daten würden zudem die striktesten Meldebestimmungen hinsichtlich Datenlecks gelten, erklärt Symantec-Sprecher Christoph Sahner. Sicherheitsprobleme bei Medizingeräten ergäben sich in der Regel daraus, dass diese meist – aus Gewährleistungsgründen – nur mit bestimmten Software- und Betriebssystemvarianten genutzt werden dürften. "Diese können veraltet sein, bekannte Sicherheitslücken werden nicht geschlossen."
"Mögliche Einfallstore für Manipulationen sind USB-Datenträger, WLAN-Schnittstellen, Bluetooth oder Fernwartungen", ergänzt Frederik Humpert-Vrielink, Geschäftsführer der Cetus Consulting GmbH, eines Softwareberatungshauses in Münster.
Zugang nur im Nahbereich
Auch der Bundesverband Medizintechnologie (BVMed) schätzt die Gefahr, dass Implantate mit Software, wie Herzschrittmacher mit telemedizinischer Funktion oder Medikamentenpumpen, gehackt werden, als äußerst gering bis sehr unwahrscheinlich ein. "Die Geräte reagieren auf einen Programmierungsversuch nur im Nahbereich, nur zu vorher festgelegten Zeiten und nur innerhalb von kurzen Fenstern", so Verbandssprecher Manfred Beeres.
Hacker müssten sich also mit einem umfangreichen Equipment in direkter Nähe zu einem Patienten mit einem Gerät aufhalten und wissen, dass der Mensch, den sie anpeilen, ein aktives Medizinprodukt hat und um welches es sich konkret handelt.
Humpert-Vrielink hat dennoch die Erfahrung gemacht, dass das Interesse an IT-Sicherheit bei den Krankenhäusern steigt, vor allem bei der jüngeren Generation innerhalb der Verwaltungen. "Insgesamt herrscht bei dem Thema noch große Unsicherheit", so der Experte.
Es bleibe abzuwarten, inwieweit das in Deutschland im Sommer letzten Jahres in Kraft getretene IT-Sicherheitsgesetz dazu beitragen werde, Gefahren durch Cyberattacken für Krankenhäuser und Medizingerätehersteller zu minimieren. Das Gesetz besagt, dass kritische Infrastrukturen künftig einen Mindeststandard an IT-Sicherheit beinhalten müssen.
Noch ist unklar, ob und – wenn ja – welche Medizingeräte nach der Definition des Gesetzes als IT-Geräte eingestuft werden. Eine entsprechende Rechtsverordnung für den Gesundheitsbereich soll im Frühjahr 2017 erscheinen. Aus Sicht des BVMed sind Medizingeräte jedenfalls nicht per se kritische Infrastrukturen.
Kliniken und Firmen sollten gemeinsam Lösungen suchen
Humpert-Vrielink wiederum sieht zwar in erster Linie die Gerätehersteller in der Pflicht, sich um die IT-Sicherheit ihrer Produkte zu kümmern. Es sei aber wünschenswert, wenn Kliniken und Medizintechnik-Unternehmen gemeinsam nach Lösungen suchen würden, anstatt sich gegenseitig die Verantwortung zuzuschieben.