Gerätesicherheit in der Medizintechnik

IoMT-Sicherheit ab Werk

25. Mai 2023, 8:30 Uhr | Von Stefan Killer-Haug, Tresorit

Informationssicherheit im Gesundheitswesen meint oft Patientendaten. Doch auch Daten von vernetzten Medizingeräten wie Implantaten, Defibrillatoren oder Hirnstimulatoren müssen geschützt sein. Im medizinischen Internet der Dinge ist jedes Endgerät eine potenzielle Sicherheitslücke.

Vom interaktiven Implantat bis zum DiGA-Hacking – Cyberbedrohungen gibt es in der Medizintechnik zuhauf. Um ihnen entgegenzuwirken, geben regulatorische Anforderungen den Rahmen für den Datenschutz, die Interoperabilität und IT-Sicherheit vernetzter Medizinprodukte vor. Cyberattacken und weitere Gefahren für das Internet of Medical Things (IoMT), also dem Internet der medizinischen Dinge, sollen auf die bestmögliche Abwehr stoßen. Doch insbesondere beim Datenschutz besteht ein unterschiedliches Verständnis, durch welches ortsunabhängige Medizin-Anwendungen anfällig werden.

Der erste Schritt zum IoMT-Schutz ist, seitens der MedTech-Hersteller und -Betreiber ein Bewusstsein für die Risiken zu schaffen. Schließlich wandeln sich Teile der Medizin stark in Richtung IT-Dienste – Wearables, maschinellem Lernen und Sensoren sei Dank. Von der Biomedizintechnikerin über den Lageristen bis zur externen IT-Fachkraft müssen alle Teammitglieder die häufigsten Risiken für beispielsweise ein neues interaktives Implantat und dessen Einbettung in unternehmenseigene Systeme kennen. Nur so lässt sich gewährleisten, dass externe wie interne Bedrohungen so klein wie möglich bleiben.
Cyberrisiken bestehen nicht nur für Maschinen- und Patientendaten, sondern auch für jene, die kritisch für den laufenden Betrieb sind. Geheimhaltungsvereinbarungen und Kooperationsverträge sowie Geschäftspläne und Qualitätsmanagement-Dokumente sind nur einige der geschäftskritischen Daten, die es zu schützen lohnt. Aber wie lässt sich dieses kollektive Bewusstsein für Datenschutz bei gleichbleibendem Innovationsdrang fördern? Und wie können Teammitglieder über Abteilungen und Orte hinweg zusammenarbeiten, um Sicherheit und Privatsphäre zu wahren?

Informationssicherheit als Kernaufgabe

Kleinere Unternehmen gehen oft davon aus, es genüge, den bestehenden IT-Administrator oder eine technikaffine Person mit Datenschutz zu betrauen – was oft ein Trugschluss sein kann. In kleinen und mittleren Unternehmen sind Mitarbeiter meist mit anderen Kernaufgaben ausgelastet. Dies führt dazu, dass sie den Anforderungen der Informationssicherheit nicht genügend Zeit einräumen können.

Nur eine ausschließlich dafür eingesetzte Person hat die nötigen Kapazitäten, um die Zusammenarbeit im Bereich der Datensicherheit ausreichend zu unterstützen. Sie kann schon während der Konzept- und Gestaltungsphase eines vernetzten Medizinprodukts die nötigen Sicherheitsschritte begleiten – mit dem Ziel »IoMT-Sicherheit ab Werk«. Ob Lagerlogistik, Verifizierung und Validierung oder cloudbasierte Echtzeit-Datenanalyse, um den Lebenszyklus eines Produkts vollumfänglich in Sachen Datenschutz begleiten zu können, braucht es vor allem interdisziplinäres Fachwissen und Zeit.

Nach der Datenschutz-Grundverordnung müssen Unternehmen ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, ohnehin einen Datenschutzbeauftragten benennen. Darüber hinaus sind Schritte wie diese nötig, um beispielsweise die Medizinprodukte-Betreiberverordnung einzuhalten oder branchenrelevante IEC- und ISO-Normen zu erfüllen.

Tipp 1

Trennen Sie IT und Sicherheit im Unternehmen so früh wie möglich, sodass bei der Einführung nötiger Standards die Rollen und Verantwortlichkeiten einfacher einteilbar sind.

Silos waren gestern: Um Medizintechnikfirmen samt Dienstleistern, Kunden und Patienten bestmöglich zu schützen, muss sich jedes Teammitglied regelmäßigen Schulungen und jedes vernetzte Produkt fortlaufenden Sicherheits-Updates unterziehen. Schatten-IT, also zum Beispiel frei verfügbare Software für den laufenden Projektbetrieb, gilt es grundsätzlich zu vermeiden. Auch diese vermeintlich unkritische Art von Programmen kann dazu führen, dass Cyberkriminelle Zugriff auf das Betriebssystem erlangen und letztlich das Wohl der Patienten gefährden können. Auch Dienstgeräte wie Smartphones und Laptops können kritisch sein.

Die Durchsetzung einheitlicher Nutzungsrichtlinien bedeutet erst einmal, dass die Anzahl gemeldeter Sicherheitsvorfälle steigt. Es gibt kaum eine Möglichkeit, sich vollends vor Cyberbedrohungen zu schützen, daher besteht zunächst kein Grund zur Sorge. Wenn jedoch Prozesse und Dokumentationen bereitstehen und der Umgang damit – intern wie extern – geregelt ist, lassen sich Sicherheitsvorfälle transparenter, effektiver und konform verwalten.

Endpoint-Sicherheit ist nicht nur für die Medizinprodukte selbst kritisch. Risiken bei der mobilen Dienstgerätenutzung proaktiv zu minimieren, steht auch auf dem Maßnahmenplan. Ein Beispiel hierfür sind präventive oder Fernwartungen unter Einsatz von Tablets. Die notwendigen Maßnahmen gehen also über Werkswände und Produkte hinaus.

Tipp 2

Poster, Warnhinweise und digitale Lernprogramme wie Quizze helfen, Mitarbeiter zu einem internen »Team Datenschutz« zusammenzuführen. Gamification kann Lerneinheiten zum Vergnügen machen.

Regelmäßige Sicherheitstrainings sind dafür unverzichtbar. Ob Produktionsmitarbeiter oder Anwender, der Risikofaktor Mensch lässt sich zusätzlich durch Maßnahmen wie automatisierte Ende-zu-Ende-Verschlüsselung geringhalten.

Um den aktuellen Wissensstand zur Cybersicherheit und eventuelle blinde Flecken zu sammeln, helfen regelmäßige Um- und Abfragen. Das gilt besonders für den laufenden Betrieb des IoMT als Ganzes. Hierzu gibt es bislang kaum spezifische Vorgaben und Handreichungen seitens der Behörden und Verbände. Die Organisation dezidierter Schulungen für jedes Team mit bereichsspezifischen und praktischen Tipps, die sich mit dem Arbeitsalltag verbinden lassen, ist essenziell. Cybersicherheitsfragen bei Lifecycle-Management-Werkzeugen sind zum Beispiel besonders relevant für Produktion und Qualitätsmanagement.

Wie empfänglich sind Mitarbeiter für Social-Engineering-Attacken? Hier können einfache Tests Klarheit bringen und eine Sensibilisierung fördern. Schulungen externer Tool-Anbieter und ein monatlicher Sensibilisierungs-Newsletter zu datenschutzrelevanten Funktionen und Richtlinien im Unternehmen können außerdem helfen, die Effizienz zu fördern und Vergessenes wachzurufen.

Tipp 3

Aufklärung und Schulung sind wichtig, um sicherzustellen, dass Kollegen die richtigen Schritte basierend auf einer informierten Risikoeinschätzung einleiten. Ein maßvoller Umgang mit der Frequenz an Lerneinheiten ist jedoch genauso wichtig, um die Motivation hoch und den Verdruss so klein wie möglich zu halten.

Prioritäten der Anwendung anpassen

Da es kaum möglich ist, sich allen Anforderungen gleichzeitig zu widmen, braucht es eine Priorisierung technischer wie organisatorischer Maßnahmen. Die Anpassung der Prozesse an den IoMT-Reifegrad des Unternehmens ist sinnvoll.

Die wichtigsten Bereiche für Medizintechnik-Hersteller

Allgemeine Anwendungssicherheit: Wer vernetzte medizinische Geräte bereitstellt, betreibt, verwaltet und nutzt, wendet Programme – teils über APIs – an. Es ist kaum möglich, Schatten-IT vollumfänglich im Unternehmen auszuschließen, wenn das Standardinformationssystem den anwendungsspezifischen Prozessen schlecht angepasst ist. Iterationen und allgemeine Richtlinien zur Nutzung helfen, Risiken zu verringern. Außerdem gilt es, Remote-Geräte zu konfigurieren, deren Firmware kontinuierlich zu aktualisieren und Cloud-Kosten möglichst gering zu halten.

Netzwerksicherheit und Gerätemanagement: Netzwerke und die IoMT-Nutzung über das Werk hinaus sicher zu gestalten hat Priorität. Dabei dürfen die Unternehmen nicht vergessen, dass auch ein guter Überblick über die firmeneigenen und privaten Endgeräte kritisch ist, um sich vor Sicherheitsrisiken zu schützen.

Respekt vor Privatsphäre von Dienstleitern, Kunden, Patienten und Mitarbeitern: Das eindeutige und widerrufliche Einverständnis des Eigentümers zur zweckgebundenen Nutzung der Daten ist einzuholen.

Physische Sicherheit: Diesem Aspekt kommt oft nicht die nötige Aufmerksamkeit zu, er ist aber wesentlich. Unbeaufsichtigte Geräte und Dokumente wie gedruckte Logistik-, Vertrags- oder Ausweispapiere können zu ernsthaften Datenpannen führen. Die konsequente Digitalisierung der Prozesse ist ratsam.

IoMT-Sicherheit ist ein Prozess

Cybersicherheit und Datenschutzsensibilisierung sind niemals abgeschlossen, sondern ein Prozess, den Unternehmen ständig verbessern sollten. Die Grundlagen des Prozessmanagements können hier hilfreich sein: Die PDCA-Methode (Plan, Do, Check und Act) ist besonders nützlich im Informationssicherheitsmanagement.
Da der Zugriff auf das IoMT über Unternehmensgrenzen hinweg erfolgt, ist erhöhte Vorsicht bei seiner Anwendung geboten. Die dazugehörigen vernetzten Medizinprodukte bedürfen umfassender Sicherheitsmaßnahmen, die zuvorderst Medizintechnik-Unternehmen bei der Konzeptionierung, Gestaltung und Produktion des jeweiligen Produkts ergreifen müssen. Die Cyberresilienz des IoMT hängt maßgeblich davon ab, wie holistisch das Managementsystem für Informationssicherheit aufgesetzt und das Team dafür sensibilisiert ist – aus proaktiver wie reaktiver Sicht. (uh)

Über Tresorit
Tresorit ist eine Kollaborationsplattform mit Ende-zu-Ende-Verschlüsselung ab Werk. Damit lassen sich sensible Daten und Dokumente digital verwalten, synchronisieren, teilen und unterschreiben. Mehr als 10.000 Organisationen, darunter das Deutsche Rote Kreuz und Cardiovascular Research Institute Basel, vertrauen auf Tresorit und deren erweiterte Datenkontroll- und Integrationsmöglichkeiten in bestehende Arbeitsabläufe.

Über Tresorit

Tresorit ist eine Kollaborationsplattform mit Ende-zu-Ende-Verschlüsselung ab Werk. Damit lassen sich sensible Daten und Dokumente digital verwalten, synchronisieren, teilen und unterschreiben. Mehr als 10.000 Organisationen, darunter das Deutsche Rote Kreuz und Cardiovascular Research Institute Basel, vertrauen auf Tresorit und deren erweiterte Datenkontroll- und Integrationsmöglichkeiten in bestehende Arbeitsabläufe.