Wenn der Hacker die Geräte im Krankenhaus steuert

Wenn ein Hacker die Geräte im Krankenhaus steuert, kann das Ihnen eigentlich egal sein. Es sei denn, Sie sind gerade mit diesem Gerät verbunden. Oder Sie sind das Krankenhaus und werden für mögliche Schäden, die durch den Hackerangriff entstehen, haftbar gemacht. Auch wenn Sie das Gerät hergestellt haben oder seinen Betrieb gewährleisten, könnten Sie vielleicht ob der Folgen des Hackerangriffs beunruhigt sein.

Healthcare IoT und ihre Anwendungsbereiche

Das Internet of Things (IoT) vernetzt physische Gegenstände und virtuelle Informationstechnik miteinander. So wird eine Interaktion zwischen Mensch und über das IoT vernetzte elektronische Systeme sowie zwischen den Systemen ermöglicht. Dieses Zusammenspiel ist weitestgehend automatisiert und eine vergleichbar neue Entwicklung, was es manipulationsanfällig macht. Dadurch ist es mit besonderen Anforderungen an Cyber-Sicherheit und die damit einhergehenden rechtlichen Herausforderungen verbunden.

Healthcare IoT findet insbesondere Anwendung in der häuslichen Versorgung, dem klinischen Umfeld sowie bei präventiven Maßnahmen.

Via Ambient Assisted Living und Telemonitoring können hierbei Patienten, aber auch beispielsweise pflegebedürftige Senioren, in ihrem häuslichen Umfeld z.B. per Kamera und Sensoren überwacht und ihre Versorgung individuell angepasst werden. Die stationäre Versorgung von Patienten ist einer der größten Kostenpunkte im Gesundheitswesen. Möglichst lange im häuslichen Umfeld genesen zu können oder gepflegt zu werden, kann zu Einsparungen im Milliardenbereich bei den Kostenträgern führen. IoT hat zudem Einfluss auf die Compliance der Anwender. So kann etwa die Medikamenteneinnahme via Medikamenten-Dispenser kontrolliert oder per Activity Tracker überprüft werden, ob vorgesehene Heilbehandlungen auch empfehlungsgemäß ausgeführt werden.

Auch bei der medizinischen Versorgung im klinischen Umfeld erhöht das IoT die Prozessoptimierung, beispielsweise durch vernetzte Medizingeräte. Handelt es sich um den richtigen Patienten? Ist das eingesetzte Medikament oder Medizingerät das Richtige? Das IoT schlägt dabei den Bogen zur prozessoptimierten, digital gestützten Qualitätssicherung. Auch die Diagnostik wie Langzeit-EKG Untersuchungen übernimmt sehr wahrscheinlich zukünftig das IoT für Sie. Möglich, dass Sie sich in ein „Digitales Medizinisches Versorgungszentrum“ begeben, in dem gar keine Ärzte mehr anwesend sind. Bei der Bedienung der Medizingeräte werden Sie vom einfühlsamen Personal freundlich unterstützt. Die Auswertung der Untersuchung nimmt eine Künstliche Intelligenz (auch „KI“ oder „AI“ für Artificial Intelligence genannt, hierzu siehe: Dr. Algorithmus-Arzt des Vertrauens?) vor und ein Arzt, dem die Diagnose zugeleitet wird, bespricht diese via telemedizinischer Anwendung und Fernbehandlung mit Ihnen. Klingt befremdlich? Die digitale Medizin wächst aus ihren Kinderschuhen heraus. Und mit ihr auch die regulatorischen und technischen Anforderungen. Wie Digitalisierung das Gesundheitswesen verändern wird, lesen Sie auch hier.

Risiken des IoT im Gesundheitswesen

Gesundheitsbezogene Daten unterfallen täglich Cyberangriffen. So wertvoll die Daten für ihre Anwender sind, üben sie in gleichem Maße eine hohe Anziehungskraft auf Kriminelle aus. Das „Phishing“ von gesundheitsbezogenen Daten ermöglicht es, in interne Prozesse einzugreifen, Daten für Identitätsdiebstähle auszuspionieren und zu manipulieren. Hackern steht damit auch der Zugang zu erheblichem Erpressungspotenzial offen. Auch wenn Gesundheitsdaten nicht das primäre Ziel bei einem Cyberangriff sind, kann ein IoT-System der „Wunde Punkt“ und damit Einfallstor für einen Befall des gesamten Netzwerks des Krankenhauses oder der Arztpraxis – und damit zu ihrer Stilllegung – sein. Anreize übt dies zum einen auf Konkurrenten, aber auch Verbrecher aus, die dem milliardenschweren Gesundheitssystem Euros abzwacken wollen.

Steht ein Gesundheitsbetrieb erstmal still, sind die finanziellen Folgen und möglichen Haftungsklagen vergleichbar untragisch mit der Tatsache, dass auch Menschenleben auf dem Spiel stehen können.

Dennoch werden wir uns die Vorteile der vernetzten Gesundheit nicht nehmen lassen wollen. So gilt es, Lösungen zu finden.

Cyber Security

Das Problem beim IoT: Oft geschieht der unautorisierte Datenzugriff unbemerkt. Insbesondere bei Systemen, die nur untereinander kommunizieren und den Anwender nicht in den Datenaustausch mit einbeziehen, ist es ohne technische Überwachungsprogramme unmöglich, den externen unautorisierten Zugriff zu bemerken. Ein Angriff kann demnach wie folgt aussehen: Die Malware greift via Schadsoftware in das IoT-Netzwerk ein, indem es die ungeschützten „Devices“ fernsteuert. Das tückische dabei: Ist das Netzwerk einmal infiltriert, breitet sich die Malware rasant und flächendeckend aus und kann auf bisher unbefallene Dateien Einfluss nehmen. So können Hackerangriffe exponentiell mit der Anzahl der Dateien im Netzwerk zunehmen. Es droht der Daten-Gau.

Technische Herausforderungen und Prävention

Um dem vorzubeugen, und auch zur Prävention von Haftungsklagen und Datenschutzrechtsverletzungen, bedarf es technischer Vorkehrungen, die eine Datenüberwachung im IoT zulassen. Diffizil gestaltet sich dabei die Kontrolle des Datenaustauschs. IoT Datenträger sind auf eine einfache und bequeme Handhabung und Benutzerfreundlichkeit ausgelegt und daher oft unverschlüsselt. Der Anwender wird zudem nicht bei unautorisiertem Zugriff auf den Datenträger alarmiert. Man wiegt sich bei der Nutzung kleiner digitalen Gadgets sicher.

Daher gilt es die IoT Datenträger und die sie umspannenden Netzwerke zu sichern.

Geeignete Maßnahmen können sein:

Netzwerk- und Datensegmentierung:

Hilft befallene Datenträger in Quarantäne zu schieben. Der externe Zugriff wird in Netzwerkprotokollen dokumentiert und ermöglicht eine Trennung der befallenen Daten vom Netzwerk selbst.

Firewalls und Angrifferkennungssysteme (IDS):

Helfen den Angriff frühzeitig abzuwehren und das implementierte Risikomanagement umzusetzen. Dies geschieht bspw. durch eine Monitoring Plattform, welche dem Administrator eine Übersicht über alle aktiven (und inaktiven) Datenträger und somit Interaktionsspielraum gibt.

Zugangsbeschränkungen sowie Kontrolllisten:

Schränken den Zugriff unberechtigter Dritter ein.

Gegenmaßnahmen

Sollte es zum „Worst Case“ kommen, gilt es Ruhe zu bewahren. Die Netzwerkstrukturen der verschiedenen Akteure variieren immens, so dass eine einheitliche Behandlung schwer fällt. Im Idealfall sind die jeweiligen IoT Datenträger in unterschiedlichen Netzwerken segmentiert, so dass die Cyberattacke sich nicht unmittelbar auf alle Datenträger ausbreiten kann. Zudem sollten sie passwortgeschützt sein. Hier empfiehlt es sich, ein Rotationssystem zu installieren, auf das mit gängigen Passwörtern nicht zugegriffen werden kann. Um effiziente Gegenmaßnahmen einzuleiten, muss sofort die IT benachrichtigt werden. Im Fall der Fälle sollte auch ein Anruf beim Rechtsanwalt des Vertrauens auf der Agenda stehen.

Risikomanagement und Cyber Insurance

Empfehlenswert ist die Implementierung eines eigenständigen IoT-Risikomanagements, welches im Fall eines Cyberangriffs konkrete Handlungsempfehlungen vorsieht. Es gilt, einen kühlen Kopf zu bewahren und schnell sowie effektiv zu handeln. Wir Menschen sind gerade im Falle von Krankheit besonders verwundbar und im besonderen Maße darauf angewiesen, uns in guten, sicheren Händen zu wiegen. Wie nirgends sonst ist daher im hochsensiblen und unmittelbar mit uns Menschen in Berührung kommenden Bereich der Medizin gutes Risikomanagement unabdingbar.

Zum Risikomanagement gehört neben der Vermeidung bzw. Abwehr von Cyberkriminalität auch die Abklärung, welchen Versicherungsschutz ein Krankenhaus oder eine Arztpraxis abschließen sollte. Seit einigen Jahren wird im deutschen Markt die aus dem US-amerikanischen Versicherungsmarkt stammende sogenannte Cyber Insurance als neues Versicherungsprodukt angeboten. Die Cyber Insurance deckt sowohl Eigenschäden eines Unternehmens als auch die Haftpflicht für Drittschäden ab. In der Regel bieten die Versicherer zudem Krisenmanagementleistungen an. Es werden auch bereits speziell für das Gesundheitswesen entwickelten Cyber Insurance-Produkte im deutschen Markt angeboten. Die Nachfrage wird hier die Angebotslage weiter beeinflussen.