IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig

IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig

Offene Schnitt­stellen, veraltete Technik und unter­schied­liche Inter­es­sen­lagen: IT-Sicherheit im Gesund­heits­wesen ist ein komplexes Thema, schließlich geht es um die Bedürf­nisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundes­in­stitut für Arznei­mittel und Medizin­technik und dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik dar – aktuell gibt es lediglich Empfeh­lungen aber keine verbind­lichen Richtlinien.

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) und die gematik sind die zustän­digen Stellen für IT-Sicherheit von Medizin­pro­dukten in Deutschland. Es muss sicher­ge­stellt werden, dass Unberech­tigte die IT in medizi­ni­schen Geräten und Systemen nicht gegen den Patienten nutzen können und Kompo­nenten und System nur Berech­tigten offen stehen. Hier können auf IT-Sicherheit spezia­li­sierte Unter­nehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicher­heits­stan­dards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überre­gu­lierung kann Schaden bringen.

Unter dem Titel „IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.

BSI Medizin- und Pflegeprodukten

BSI veröf­fent­licht Studi­en­ergeb­nisse zur Sicherheit von Medizin- und Pflegeprodukten

Der Gedanke an unsichere Medizin- und Pflege­pro­dukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesund­heits­wesen vertraut man doch als Betrof­fener auf die bestmög­liche Hilfe. Doch gerade bei der fortschrei­tenden Digita­li­sierung und Vernetzung im Gesund­heits­wesen tauchen zunehmend Schwach­stellen in vernetzten Medizin‑, IoT- und Alten­pfle­ge­pro­dukten auf. Werden solche Schwach­stellen entdeckt oder sogar ausge­nutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) hat daher die Projekte „ManiMed – Manipu­lation von Medizin­pro­dukten“ und „eCare – Digita­li­sierung in der Pflege“ initiiert, um die IT-Sicherheit ausge­wählter Produkte bewerten zu können.

Die nunmehr veröf­fent­lichten Studien des BSI ermög­lichen es Herstellern, die IT-Sicher­heits­ei­gen­schaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizin­pro­dukten darüber infor­miert, welche IT-Sicher­heits­ei­gen­schaften kritisch sein könnten. Verbes­serte IT-Sicher­heits­ei­gen­schaften stärken das Vertrauen der Patien­tinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizin­pro­dukte. In der Studie wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.

An der Erstellung der eCare-Studie hat SRC maßgeblich mitge­wirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Kranken­pflege Anwendung finden. Hierzu zählen beispiels­weise Geräte zur Vital­da­ten­messung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.
Die Ergeb­nisse der Studie finden Sie auf der Webseite des BSI zum Download.

Zusam­men­fassend lässt sich das IT-Sicher­heits­niveau der unter­suchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergeb­nisse lassen belastbar vermuten, dass keines der unter­suchten Produkte samt seiner Schnitt­stellen, Apps etc. einer profes­sio­nellen Sicher­heits­eva­lu­ierung, einem unabhän­gigen Penetra­ti­onstest oder ähnlichem unter­zogen worden ist.

Skerka IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

SRC-Experte Skerka: IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

„Gefahr für Leib und Leben. Deshalb ist das Risiko für IT-Systeme im Gesund­heits­wesen höher als in anderen Branchen.“ Das sagt SRC-Experte Randolf-Heiko Skerka im gerade erschie­nenen Beitrag „IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

100-prozentige Sicherheit kann es nicht geben. Gerade darum ist es wichtig mit einer vorbeu­genden Absicherung der IT gängigen Gefähr­dungen zu begegnen. Ein Strom­ausfall, ein Erdbeben, Feuer, Hochwasser oder ein Hacker­an­griff sind Beispiele für denkbare Schadensszenarien.

Der Aufbau eines Risiko­ma­nage­ment­systems ist dabei von entschei­dender Bedeutung., sagt Skerka. Bedro­hungen für IT-Systeme im Gesund­heits­wesen müssen definiert, bewertet und ihre Eintritts­wahr­schein­lichkeit bewertet werden. Die anschlie­ßende Unter­su­chung und Evalu­ierung der Auswir­kungen ermög­licht fundierte Entschei­dungen, welche Risiken ggf. akzep­tiert und welche Maßnahmen einge­leitet werden können, um sie zu minimieren. So entsteht ein bewusst definiertes Sicher­heits­niveau und ein Maßnah­men­ka­talog mit dem das angestrebte Level an IT-Sicherheit erreicht und auf Dauer sicher­ge­stellt werden kann.

Die Frage gegen welche Bedro­hungen man sich konkret schützen will, steht auch für die IT-Sicherheit im Gesund­heits­wesen im Fokus der Betrachtung. Mit der Risiko­analyse werden die Gefahren definiert und bewertet. Mit im Vorfeld geplanten Gegen­maß­nahmen kann im Fall der Fälle gekontert werden. Das angestrebte Sicher­heits­niveau ist erreicht. Für den sicheren Betrieb der Infra­struktur muss die IT aber auch mit dem erfor­der­lichen Know-how und dem Wissen um die die techni­schen Erfor­der­nisse ausge­stattet sein.