Thought Leadership
Offene Schnittstellen, veraltete Technik und unterschiedliche Interessenlagen: IT-Sicherheit im Gesundheitswesen ist ein komplexes Thema, schließlich geht es um die Bedürfnisse und Sicherheit des Patienten.
Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundesanstalt für Arzneimittel und Medizintechnik und dem Bundesamt für Sicherheit dar – aktuell gibt es lediglich Empfehlungen, keine verbindlichen Richtlinien.
Das Gesundheitswesen und viele medizinische Prozesse sind ohne IT nicht mehr effizient möglich, was Bezeichnungen wie z.B. “Computertomographie” oder “elektronische Patientenakte” deutlich machen. Zunehmend unterstützen oder übernehmen IT-gestützte Geräte medizinische Prozesse: In der Arztpraxis liefern Ultraschall oder Blutdruckmesser die Entscheidungsgrundlage für das Personal, modernste Technik nutzt darüber hinaus Big Data: State of the Art-Ultraschallgeräte können zum Beispiel aus medizinischer Sicht auffällige Bereiche im Bild direkt hervorheben. Künstliche Intelligenz erkennt Muster und liefert Entscheidungshilfen, ist aber noch davon entfernt, selbst Entscheidungen vorzugeben. Der Mediziner muss am Ende die Kompetenz besitzen, die Ergebnisse korrekt zu interpretieren und Schlüsse zu ziehen. Auf der anderen Seite gibt es bereits Automaten, die eigenständig arbeiten: Etwa Infusionsgeräte, die über einen bestimmten Zeitraum eine gewisse Menge an Medikamenten abgeben oder Laborautomaten, die Ergebnismessung und Aufbereitung übernehmen.
Schnittstellen und veraltete Systeme als Sicherheitsrisiken
Anders als noch vor einigen Jahrzehnten besitzen medizinische Geräte wie Herzschrittmacher heute Schnittstellen, um Daten auszulesen und Parameter anzupassen. Im stationären Umfeld sind diese Schnittstellen für Wartung und Konfiguration gängig und notwendig. Das öffnet allerdings dem Missbrauch Möglichkeiten, wenn diese nicht gegen unberechtigten Zugriff abgesichert sind. Es stellt sich die Frage, wie leicht eine Schnittstelle zugänglich ist und aus welchem Umfeld heraus. Sind Komponenten über Funk oder das Internet ansteuerbar? Die Wahrscheinlichkeiten solcher Angriffe sind zwar nicht abschließend geklärt, aber eine externe Manipulation ist denkbar, was gerade für IT wie Herzschrittmacher, die direkt auf den Menschen einwirkt, heikel ist.
Allgemein ist die Manipulation und Veränderung von Daten, die dem Mediziner bei einer Entscheidung unterstützen, durch Unberechtigte kritisch – sei es die OP am falschen Bein oder falsche Laborwerte. Manipulierte Komponenten sind auch in der Herstellung von Medikamenten gefährlich sein, wenn durch IT-Systeme die Dosierung für Mischverhältnisse unterstützt wird.
Eine weitere Schwierigkeit bei der Gewährleistung von IT-Sicherheit liegt darin, dass, aufgrund der hohen Kosten, medizinische Geräte und Anlagen über einen langen Zeitraum genutzt werden: Die Investition in z.B. bildgebende Verfahren (z.B. Computertomographen) muss sich amortisieren und entsprechend lang bleiben die Maschinen im Einsatz, zumal sie hohe Anforderungen an Hersteller und Zulassung erfordern. So kommt es, dass Geräte weiter genutzt werden, die aus IT-Sicht nicht mehr dem Stand der Technik entsprechen, da sie mit alten Betriebssystemen und Komponenten ohne Virenschutz laufen aber aus medizinischer Sicht durchaus ihren Zweck erfüllen. Es gilt im Einzelfall durch den Betreiber abzuwägen, mit welchen Risiken die veraltete IT-Technik einhergeht, ob diese tragbar sind oder ob und welche Maßnahmen getroffen werden müssen, um Risiken zu mindern oder ganz abzustellen. Das ist nicht immer möglich: Hat eine Generation Herzschrittmacher eine Sicherheitslücke, können nicht zwangsläufig alle ausgetauscht werden, da es ggf. Patienten gibt, für die der Eingriff ein nicht tragbares medizinisches Risiko darstellt.
Im Gesundheitswesen prallen zudem immer verschiedene Interessenslagen aufeinander: Das Personal denkt an seine Bedürfnisse, um die Geschäftsprozesse zu erfüllen, die Krankenhausleitung an wirtschaftliche KPI und wegen Fachkräftemangel und Kostendruck sitzen nicht in jedem Haus IT-Sicherheitsexperten. Es erfordert Kompetenzen, die IT-Infrastruktur sicher zu betreiben und die Bemühungen halten mit den Anforderungen nicht Schritt. Fachkräfte sind teuer und Krankenhäuser konkurrieren mit Branchen, die entsprechenden Fachkräften bessere Rahmenbedingungen bieten können. Dieser Rahmen bedingt das Sicherheitsniveau – kommt es zu einem Angriff, greift es zu kurz, die Schuld beim Krankenhaus zu suchen. Gerade Angriffe auf Kliniken mit Cryptotrojanern haben in den vergangenen Jahren zugenommen, doch die Gefahrenlage ist unterschiedlich – manche Bereiche besitzen das notwendige Know-how und das Bewusstsein für Gefährdungen, andere nicht. Leider gilt: Für komplexe (Bedrohungs-)Szenarien gibt es keine einfachen Lösungen.
