Medizin 4.0/IoT
IT-Sicherheit im Gesundheitswesen
Wie sich vernetzte medizinische Geräte vor Cyberattacken schützen lassen
Desktop-PCs, Server, Computerterminals am Krankenbett, bildgebende Diagnosegeräte, implantierbare medizinische Geräte, Systeme für elektronische Patientenakten (ePA), Verwaltungssoftware, PACS-Systeme (Bildspeicher- und Bildübertragungssystem) oder Patientenportale: Die Palette der technischen Geräte, Systeme und Anwendungen, die bei der medizinischen Versorgung zum Einsatz kommen, ist groß und heterogen. Dieses kaum überschaubare Spektrum an Maschinen und Anwendungen, die Ärzte einsetzen, um Menschen zu behandeln, ist gleichzeitig ein riesiges Angriffsfeld für zunehmend aggressive und skrupellose Cyberkriminelle.
»Cybersicherheit im Gesundheitswesen ist mit besonderen Herausforderungen verknüpft, weil IT-Sicherheitsrichtlinien meist für Standard-Büroumgebungen entwickelt werden. Auf medizinische Geräte und Software sind sie nicht immer anwendbar«, sagt Endian CEO Raphael Vallazza. Für Medizintechnikhersteller sei zudem die Gesetzeslage für in den USA eine große Herausforderung. Die Food and Drug Administration (FDA) fordert, dass der Hersteller für Cyberangriffe haftet. »Wir gehen davon aus, dass dies auch zur Vorgabe in Europa wird«, so Vallazza.
Eine weitere Hürde für die IT-Sicherheit im Gesundheitswesen ist die Tatsache, dass jedes Medizinprodukt vor seiner Zulassung oft einen monatelangen Zertifizierungsprozess durchläuft. Das führt dazu, dass die Netzwerkkonfiguration von Healthcare-IT in der Regel bei einer bestimmten Firmware- und Betriebssystem-Version eingefroren wird, die dem Stand zu Beginn des Zertifizierungsverfahrens entspricht. Zeitnahme Updates mit den aktuellsten Sicherheitspatches sind damit unmöglich, was die Anfälligkeit der Produkte für Cyberattacken steigert. In Krankenhäusern steht zudem oft kein eigenes VPN-Netzwerk für medizinische Geräte zur Verfügung. Bei einem Fernzugriff sind diese Geräte sind sie Malware-Angriffen ausgesetzt – einschließlich des Risikos von Manipulation oder Diebstahl sensibler Patientendaten.
Die Endian Secure Digital Platform
Diese Herausforderungen lassen sich über die Endian Secure Digital Platform lösen, denn sie kombiniert den Schutz des Netzwerkperimeters, Maschinensicherheit und die Einhaltung gesetzlicher Vorschriften mit der Option, einen sicheren Fernzugriff für medizinische Geräte herzustellen. Damit ist es möglich, diese Geräte zu überwachen, Daten zu erfassen und zu analysieren. Außerdem entspricht diese Lösung den Vorgaben der IEC 62443 sowie der Funktionalität der BSI Grundschutzverordnung.
Die Endian Secure Digital Platform besteht aus zwei Teilen: Das Switchboard ist das zentrale Management-Tool und ermöglicht den Fernzugriff auf geografisch verteilte Rechner und medizinische Geräte. Damit lassen sich verschiedene Maßnahmen zentral durchführen, ohne dass sich ein Techniker an den Standort des Gerätes begeben muss. Der Administrator hat außerdem die Möglichkeit, granulare und rollenbasierte Zugangsberechtigungen für Nutzer oder Nutzergruppen einzurichten. Mit dieser Funktion lässt sich sicherstellen, dass nur autorisiertes Personal auf sensible Daten und Informationen zugreifen kann und die Datenschutzrichtlinien eingehalten werden.
Gateways aus der 4i Edge-Serie
Der zweite Teil der Lösung sind die IoT-Security Gateways aus der Endian 4i Edge-Serie. Sie sind mit einer industriellen Firewall und vielen weiteren Sicherheitsfunktionen ausgestattet, wie beispielsweise Intrusion Prevention System oder Anti-Virussoftware und schützen so die medizinischen Geräte gegen Cyberangriffe. Auch der Datenfluss ist abgesichert, indem jedes Gateway einen VPN-Tunnel aufbaut, der einen sicheren Datenaustausch in Echtzeit ermöglicht. Der VPN-Tunnel unterstützt eine Verbindung in beide Richtungen und ermöglicht so Fernwartungsmaßnahmen sowie die Datenerhebung zum Zustand des Gerätes. Mit diesen Daten erhalten Medizintechnikhersteller die Basis für die vorausschauende Wartung, die sogenannte Predictive Maintenance. Notwendige Interventionen am Gerät lassen sich darüber sorgfältig planen und tragen dazu bei, den Personaleinsatz zu optimieren.
Die Gateways lassen sich gleichzeitig zur Netzwerksegmentierung zwischen den einzelnen medizinischen Geräten und den LIS-Servern des Krankenhauses einsetzen. Weitere integrierte Sicherheitsfunktionen wie beispielsweise Firewall, Intrusion Prevention System oder Anti-Virussoftware unterstützen die wirksame Abwehr von Cyberattacken.
Mit der Log-Protokollierung erhält der Medizintechnikhersteller detaillierte Informationen darüber, wer zu welchem Zeitpunkt Zugriff auf die Geräte hatte und welche Aktionen er dort durchgeführt hat.
Die Gateways unterstützen alle relevanten Kommunikationsprotokolle. Für die Übertragung an die zentrale IoT-Plattform wandeln sie alles in ein einheitliches Protokoll um (eMQTT). Daten über Nutzung und Leistung eines medizinischen Geräts lassen sich so leicht erfassen und an die zentrale IoT-Plattform übertragen, um sie dort auf einem individuellen Dashboard zu visualisieren und zu analysieren.
Eine zusätzliche Netzwerkisolation des medizinischen Geräts lässt sich über die LTE-Konnektivität herstellen. Auch die zentralisierte Bereitstellung per Plug & Connect-Funktion wird in medizinischen Einrichtungen besonders geschätzt, weil keine technischen Kenntnisse für die Inbetriebnahme mehr erforderlich sind.
Links
(me)
