KonradinMediengruppe
Aufrufe
vor 5 Jahren
Flag

medizin&technik 01.2018

  • Text
  • Medizintechnik
  • Unternehmen
  • Blockchain
  • Patienten
  • Entwicklung
  • Hersteller
  • Apps
  • Technik
  • Einsatz
  • Industrie

■ [ SPECIAL IT IN DER

■ [ SPECIAL IT IN DER MEDIZIN ] IT-SICHERHEIT IST NUR GEMEINSAM ZU ERREICHEN IT-Sicherheit im Gesundheitswesen | Die Nutzung von Daten im Gesundheitsbereich ist heute schon so komplex vernetzt, dass Sicherheit nur zu erreichen sein wird, wenn alle Beteiligten an einem Strang ziehen. Die Aufgabenverteilung ist allerdings noch Thema reger Diskussionen. Derzeit stehen die Chancen nicht die Betreiber mit intelligenten Lösungen IT-Sicherheit bei schlecht, dass sich jemand mit böser dabei unterstützen, Risiken zu reduzieren. Absicht einen Zugang zu medizinischen Messe und Kongress Geräten oder Daten verschafft. Warum? Die Tatsache, dass Geräte autonom Vielerorts sind im Gesundheitsbereich miteinander Daten austauschen, sei zunächst unproblematisch. In der Regel sei für Zulieferer und Hersteller aus der Da Cybersecurity ein wichtiges Thema noch Software-Systeme im Einsatz, für die der Hersteller längst keinen Support der Austausch bewusst so programmiert Medizintechnik ist, wird es bei der mehr anbietet. Als Legacy-Software werden sie im Fachjargon bezeichnet, und der tausch aber auf Unregelmäßigkeiten Kongress Medtech Summit am 11. worden. „Der Betreiber muss diesen Aus- Fachmesse MT-Connect und dem Begriff Legacy im Sinne von „Altlast“ überwachen. Wenn plötzlich deutlich und 12. April in Nürnberg aufgegriffen. So berichtet am 12. April Stefan kommt nicht von ungefähr: Solche Systeme sind ein interessantes Angriffsziel für kann das auf einen Fehler oder einen An- Winter, Senior Scientist bei Philips größere Datenvolumen bewegt werden, Hacker, da weder Hersteller noch Anwender Sicherheitslücken schließen – letzte- zuletzt sind medizinische Geräte selbst ei- Summit über „Connected Health: griff hindeuten“, betont Bursig. Und nicht Research, im Rahmen des Medtech re, weil weder Know-how noch Ressourcen vorhanden sind, um sich angemessen tur“. Auch das Messe-Forum inforne Herausforderung für die IT-Security. Herausforderungen für die Infrastruk- um die Sicherheit der Software zu kümmern. Kaum zu unterbinden ist auch der Geräte und deren Umfeld – mit Kurzvorträgen und Diskus sions - Security by Design betrifft miert – vor allem am ersten Messetag physische Netzwerkzugang: Ob medizinisches Personal, Patienten oder Besucher – wenn das Thema Sicherheit von Anfang www.mt-connect.de Eine Verbesserung ist nur zu erreichen, run den über IT-Themen. wer auch immer Zugang zum Klinikgebäude hat, findet häufig eine Netzwerk- Beginn der Entwicklung, dass das Gerät in an berücksichtigt wird. „Man weiß ja zu dose oder einen unbeobachteten PC. einem Netzwerk arbeiten soll. Damit steht Und es gibt sogar noch eine dritte Herausforderung: In vielen Kliniken führt gibt, auf die man achten muss“, so Bursig. der Technik ein. fest, dass es Angriffsstellen von außen die MDR – IT Security nach dem Stand Cybersecurity noch ein Nischen-Dasein, Das Gerät muss also darauf vorbereitet Wer ein Medizinprodukt entwickelt, ist das Bewusstsein für die Risiken wächst sein, dass die vom OEM eigenentwickelte gut beraten, sich an den strengeren Vorgaben zu orientieren. Dabei versteht sich erst allmählich. „Der größte Anteil von Applikation mit fremdentwickelten Betriebssystemen und intelligenter werden- die FDA als Vermittler zwischen Herstel- Vorfällen bei IT-Sicherheit geht unverändert auf unvorsichtiges Verhalten der Nutzer zurück“, berichtet Hans-Peter Bursig, wird – eingebettet in eine klinikweite Da- fordert sie zum Beispiel, bei ihren Sicherden Komponenten zusammenspielen lern und Anwendern. Von den Herstellern Geschäftsführer des ZVEI-Fachverbands tenhaltung. Das Prinzip von „Security by heitskonzepten auch die Systemumwelt Elektromedizinische Technik. Deshalb Design“ bedeute aber, dass nicht nur zu berücksichtigen – also die Anmeldesollten vernetzbare Geräte – zum Beispiel Schnittstellen zum Netzwerk abgesichert und Authentifizierungsverfahren entsprechend zu gestalten, dabei Nutzungshäu- auch aus dem Medizintechnik-Bereich – werden müssen, sondern dass man sich auch bei der Software-Architektur des Geräts Gedanken machen muss, wie der Personen zu berücksichtigen. Anwender figkeiten und die Zahl der berechtigten IHR STICHWORT Der Blick in die einschlägigen Regelwerke hilft dabei wenig. Die MDR formu- Firewalls korrekt konfiguriert sind und Software-Systeme eingespielt werden, ■ IT-Sicherheit: Nutzerverhalten, Patches und Aktualisierung liert allgemeingültige Vorgaben, die Anwender wie Hersteller in die Pflicht nehschützt werden. Die FDA fordert aber die Lösungen gegen Schadsoftware ge- ■ Konkrete Anregungen von der FDA ■ Diskussionen auf der Messe MT-Connect men. Konkreter werden die Vorgaben der auch, dass ein Anwender Fehler, Bugs und ■ Erwartungen an die Hersteller FDA in den FDA Guidance to Cybersecurity. Diese fordern – deutlich präziser als porting melden können muss. Angriffsversuche über ein einfaches Re- Schaden durch einen Angriff von außen müssen hingegen sicherstellen, dass Updates für alle verwendeten Geräte minimiert werden kann. und 56 medizin&technik 01/2018

Bild: Fotolia.com / ipopba Alle Daten überall verfügbar – das soll die Arbeit im Gesundheitssystem erleichtern. An der Sicherheit von Geräten und Daten lässt sich aber noch einiges optimieren Im Alltag der IT-Security gibt es jedoch unbestrittenermaßen noch Verbesserungspotenzial – und eine Reihe von Denkanstößen für Industrie und Anwender. „IT-Sicherheit ist nicht nur Sache der Hersteller, sondern muss vom Komponenten-Lieferanten bis zum Patienten durchdacht sein“, sagt Dr. Matthias Schier, Geschäftsführer des Nürnberger Forum Medtech Pharma e.V. „Hier muss ein Austausch über die Wertschöpfungskette hinweg organisiert werden. Dazu zählen auch die einschlägigen Behörden.“ Die Gelegenheit, einen solchen Austausch zu intensivieren, bietet laut Alexander Stein von der Nürnberg Messe die Fachmesse MT-Connect im April. „Wir wollen Diskussionen und Planungen für eine übergreifende Cybersecurity in Medizintechnik und Klinik initiieren. Die Gespräche in den vergangenen Monaten zeigen deutlich, dass das Bewusstsein für mehr IT-Sicherheit da ist und Hersteller wie Zulieferer nach Information und Erfahrungsaustausch verlangen.“ Gegenstand von Diskussionen werden in Nürnberg sicher auch Trend-Themen sein, wie die Blockchain, eine kontinuierlich erweiterbare Liste von Datensätzen, den „Blöcken“, die wiederum durch kryptographische Verfahren miteinander verkettet sind. Auf diese Technologie setzt E- Health-Vorreiter Estland, um Gesundheitsdaten vor Manipulationen zu schützen. Dort sind heute 95 Prozent aller Gesundheitsdaten digital verfügbar – auch für den Patienten selbst. Alle Veränderungen werden in der Blockchain nachvollziehbar gespeichert. Das Risiko der Datenmanipulation ist damit niedriger als bei anderen Verschlüsselungs-Methoden. Zwei-Faktor-Authentifizierung gehört zu den Trendthemen Trendthema Nummer zwei ist der Datenund Systemzugang über Zwei-Faktor-Authentifizierung, also mittels biometrischer Merkmale wie Iris-Scan oder Fingerabdruck in Verbindung mit Pin oder Passwort. Biometrische Verfahren versprechen mehr Zugriffsschutz und Manipulationssicherheit. Diese Methoden, die in vielen kritischen Infrastrukturen verwendet werden, werden in der Medizintechnik häufiger zum Einsatz kommen. Eine Kernfrage zur Sicherheit treibt hingegen die Anwender um: „Wenn Sie ein Auto kaufen, dann sorgt der Hersteller üblicherweise für die Bremsen – zur Sicherstellung der Verkehrssicherheit“, sagt Dr. Manfred Criegee-Rieck, Abteilungsleiter Informationsverarbeitung am Klinikum Nürnberg, einem der größten kommunalen Krankenhäuser Europas. Demgemäß sehen die Anwender auch die IT- Sicherheit – von vernetzten Geräten oder medizinischer Software – als eine innewohnende Produkteigenschaft, die gar nicht explizit zu fordern sei. Die Hersteller hingegen arbeiten an neuen Geschäftsmodellen. „Endprodukte-Sicherheit ist im Prinzip ein Geschäftsmodell, das sich für die Hersteller in unserer Branche auf der Funktionsebene vielfach gar nicht rechnet und von uns Kunden eigens bezahlt werden muss“, berichtet Criegee-Rieck. Hersteller seien vielfach nicht bereit, IT- Sicherheit als Produkteigenschaft zu liefern, sondern betrachten diese als gesonderte Anforderung, die separat bezahlt werden muss oder auf Drittanbieter ausgelagert wird. Auch wenn es also noch Gesprächsbedarf gibt, herrscht Einigkeit in dem Punkt, dass IT-Sicherheit umfassend gedacht und im Austausch zwischen allen Akteuren weiterentwickelt werden muss. ■ Jens Fuderholz Fachjournalist in Fürth 01/2018 medizin&tec hn i k 57

Medizin und Technik

Leser login

AbbrechenAnmelden
Als Leser registrieren

Sign upAbbrechen
Suche