Vorsicht vor Hackern!

Auf einer Konferenz zur Cybersicherheit von Medizinprodukten wurden Hersteller und Betreiber vernetzter Medizinprodukte aufgefordert, die IT-Sicherheit in Krankenhaus und Arztpraxis verstärkt in den Blick zu nehmen: Cybersicherheit sei eine wesentliche Voraussetzung für die Medizinproduktesicherheit und für den Patientenschutz. Dabei geht es unter anderem um die Abwehr von kriminellen Angriffen aus dem Internet. Von Rainer Klawki
energy wave
Foto: (2264317) | abstract green energy wave on black background

Auch wenn Bundesgesundheitsminister Jens Spahn (CDU) selbst nicht anwesend war: Er ließ per Grußbotschaft darauf hinweisen, dass sich Patienten auf die Zuverlässigkeit und die Sicherheit von Medizinprodukten verlassen könnten. Das werde auch in Zukunft so bleiben. Nur bei ausreichender Sicherheit könnten die großen Chancen der Digitalisierung im Gesundheitswesen nutzbar gemacht werden. Und überhaupt: Es sei noch kein Patient durch eine Hacker-Attacke via Internet zum Beispiel auf seinen Herzschrittmacher oder seine Insulin-Pumpe zu Schaden gekommen, hieß es zu Beginn einer Konferenz des „Bundesinstituts für Arzneimittel und Medizinprodukte“ (BfArM) Ende Juni im Bonner Wissenschaftszentrum.

Dass eine solch beruhigende Botschaft von ministerialer Seite nötig war, hat seine Wurzeln in der Vergangenheit. Der US-amerikanische Außenminister und Vizepräsident Dick Cheney hatte im Jahre 2016 seinen digital ferngesteuerten Herzschrittmacher abschalten lassen, weil er von der Möglichkeit einer terroristischen Cyber-Attacke auf sein implantiertes Gerät gehört hatte, die schlimmstenfalls in einer Mordgeschichte hätte enden können. Die wahre Begebenheit, die dahinter steckte: Das Unternehmen St. Jude Medical (tatsächlich vom Firmengründer nach dem Hl. Judas Thaddäus benannt) hatte ein Home-Monitoring-System mit Internet-Schnittstelle für Herzpatienten entwickelt. Darin wurde eine Sicherheitslücke bei einer technischen Überprüfung entdeckt. Die Umstände dieser Prüfung waren dubios: Security-Forscher des Unternehmens MedSec hatten ihre eigene Hacker-Attacke an den Hedgefonds Muddy Waters Research (und nicht an den Hersteller!) gemeldet. Der Hedgefonds lancierte den entsprechenden Bericht an die Öffentlichkeit. Und die Börse reagierte mit einem Einbruch des Aktienwertes des Medizintechnik-Herstellers, wie Dr. Benjamin Ransford in Ann Arbor (US-Staat Michigan) in einer Fachzeitschrift (Pacing Clin Electrophysiol. 2017; 40: 913) berichtete. Später wurde die Firma St. Jude an ein anderes Unternehmen verkauft.

Dieser Fall war auch den in Bonn anwesenden Fachleuten bekannt. Szenarien wie „Hacking von Herzschrittmachern“ oder „Cyberangriffe auf Medikamentenpumpen“ stellen derzeit aber nur theoretisch neue Risiken dar. Zwar wurde in Romanen dieser Stoff bereits aufgearbeitet, so etwa in „Kammerflimmern“ von Anne und Even Holt. Durch vernetzte Medizingeräte sei aber bisher kein Patient geschädigt worden, pflichteten auch die anwesenden Vertreter von Medizintechnik-Herstellern (Dräger, Boston Scientific und anderen) bei. Zumindest sei ein digital verursachter Personenschaden durch gehackte Medizingeräte nicht bekannt. Die Fachleute wiesen gleichzeitig darauf hin, dass das deutsche Wort „Sicherheit“ im Englischen zwei Bedeutungen hat. Zum einen als „safety“, womit die Sicherheit von Personen gemeint ist (zum Beispiel in Form von Sicherheit vor inadäquaten Elektroschocks oder Sicherheit vor plötzlichen Batterieentladungen mit Wärmeentwicklung). Zum anderen kann Sicherheit ins Englische als „security“ übersetzt werden. Gemeint sind dann vor allem Sachschäden, zum Beispiel in Form von Sicherheit vor Datendiebstahl.

Der Fall des Computervirus „WannaCry“, der am 12. Mai 2017 hunderttausende Computer weltweit infizierte und in Deutschland zum Beispiel das in evangelischer Trägerschaft stehende Lukaskrankenhaus Neuss für einen Tag lahmlegte, verdeutlicht, welcher materielle Schaden und welche Personenschäden indirekt möglich sind. Alle Computer, die ein bestimmtes Update der Firma Microsoft vom März des Vorjahres noch nicht ausgeführt hatten, waren angreifbar. Der Computer-Wurm änderte Datei-Endungen wie „.doc“ oder „.jpg“ in „.wannacry“, zu Deutsch: „Ich könnte heulen!“. Auf den infizierten Systemen ließen sich diese Dateien erst wieder öffnen, wenn Lösegeld in Form der Kryptowährung Bitcoins gezahlt worden war. Dies half dann auch tatsächlich, da die Hackergruppe (angeblich in Nord-Korea angesiedelt) über eine gewisse Ganovenehre verfügte. Das betroffene Klinikum war gezwungen, zeitweise sämtliche Vorgänge wieder auf Papier zu dokumentieren.

Wie auf der Tagung deutlich wurde, möchte das Bundesministerium für Gesundheit die Digitalisierung weiter vorantreiben. Dr. Gottfried Ludewig, Leiter der Abteilung „Digitalisierung und Innovation“ sprach von neuen Telematik-Infrastrukturen und der „Vernetzung aller Leistungserbringer“. Einen Rechtsrahmen könne es für diese Anhäufung von Daten nur dann geben, wenn die Anonymisierung geregelt ist.

Was aber kann nun getan werden, um solche Sicherheitslücken zu schließen? Im Prinzip das, was jeder auch in seinen vier Wänden berücksichtigen sollte. Sämtliche aktuellen Software-Updates der Betriebssysteme und der installierten Programme sollten heruntergeladen werden, weil sie in der Regel neu entdeckte Sicherheitslücken schließen. Auch die Rechtevergabe (Authentifizierung und Autorisierung) sollte geregelt sein und im Krankenhaus durch Fachleute überprüft werden. Sichergestellt wird dies in Krankenhäusern in aller Regel durch Service-Verträge, auf die nicht verzichtet werden sollte. „Sonst fühlt sich niemand dafür verantwortlich, dass tatsächlich auf allen Rechnern auch die neuen Software-Updates aufgespielt sind“, meinte ein Diskutant in Bonn.

Mehr Geld für die Implementierung und die digitale Transformation hält auch Kirsten Schröter, Pressesprecherin des Katholischen Krankenhausverbands Deutschlands e.V. (KKVD) in Berlin, für nötig, vor allem wenn gesetzliche Vorgaben dies nötig machen. Einen „Ausschuss für digitale Transformation“ hat der Verband bereits ins Leben gerufen, der über 400 Krankenhäuser in Deutschland vertritt und von Generalvikar Theo Paul (Osnabrück) geführt wird.

Auch Medizingeräte, die Patienten zu Hause nutzen, kommunizieren gelegentlich via Internet mit einem externen Anbieter. Auch hier sollte auf Sicherheitslücken geachtet werden. In Bonn wurde das Beispiel einer Personenwaage vorgestellt, die mit dem W-LAN einer Privat-Wohnung verbunden war. Diese Waage, so könnte man denken, übermittelt nur die Daten über gemessene Kilogramm Körpergewicht. Die festgestellte Sicherheitslücke war aber gravierend. Das Protokoll der gesendeten Dateien übermittelte dem Anbieter auch das Password des genutzten W-LAN der Wohnung. Hier ist leicht vorstellbar, dass mit einem gehackten Privat-W-LAN oder Krankenhaus-W-LAN auch andere Geräte infiziert oder ausspioniert werden können.

Weitere praktische Ratschläge für das Krankenhaus erläuterte Florian Grunow aus Heidelberg. Sie bezogen sich vor allem darauf, die Komplexität von Medizingeräten nicht unnötig zu erhöhen. Für die Steuerung eines Großgeräts zur Bildgebung im Krankenhaus (MRT – Magnetresonanztomografie, CT – Computertomografie) ist zum Beispiel nicht die Installation eines Internet-Explorers auf der Steuerungseinheit nötig, genausowenig wie für Geräte, die die Narkose steuern. Ein so komplexes Programm wie ein Internet-Explorer stelle ein zusätzliches Sicherheitsrisiko dar. Auch warnte er davor, dass sich Hacker auf alle mögliche Weise einen Zugang in das digitale Netz verschaffen können: Verlegte Internetkabel in Kliniken mit Anschluss-Ports müssen nicht unbedingt offen in Wartezimmern verlegt sein. Auch der W-LAN-Schlüssel des Krankenhauses, der nicht für Patienten gedacht ist, sollte gesichert bleiben. Es habe bereits einen 14-jährigen Patienten gegeben, der sich in das W-LAN eines Krankenhauses eingewählt und die Live-Daten von Operationen auf seinem Tablet-Computer mitverfolgt hatte.

Cyber-Experte Beau Woods vom Scowdroft Center für Strategy and Security in Washington D.C. war via Skype zur Konferenz in Bonn hinzugeschaltet. Er präsentierte seine Variation des Hippokratischen Eids, der sich auf vernetzte medizinische Geräte bezog. Dieser lautet wie folgt: „Ich werde das Leben der Menschen ehren und schützen und stets zum Wohl meiner Patienten handeln. Ich erkenne an, dass alle Systeme versagen können, dass das Auftreten von Defekten des Systems und dass widrige Umständen nicht verhindert werden können. Ressourcen, die das Leben verbessern oder erhalten sollen, können es auch schädigen oder beenden. Wenn Fehlfunktionen die Sicherheit von Patienten beeinträchtigen, muss deren Versorgung gegenüber versehentlicher und bösartiger Manipulation widerstandsfähig sein. Jeder, der eine Funktion im Gesundheitssystem innehat, trägt gemeinsam mit allen anderen die Verantwortung. Als jemand, der das Leben zu erhalten und zu verbessern sucht, darf ich an erster Stelle keinen Schaden anrichten.“

Dr. Wolfgang Lauer vom BfArM sah schließlich die Hersteller von vernetzten Medizingeräten vor allem in der zentralen Verantwortung für die Cybersicherheit. Die anwesenden Hersteller von Medizingeräten vermissten regulatorische Rahmenbedingungen seitens des Gesetzgebers. Was schreibt der Gesetzgeber vor? Was ist erlaubt, was nicht? Da sei Vieles bisher nicht geklärt.

Das BfArM hatte in der Vergangenheit bereits auf Risiken durch ungenügend abgesicherte WLAN- und Netzwerkschnittstellen (LAN, W-LAN, Bluetooth) bei Medizinprodukten hingewiesen. Die Überwachung dieser risikominimierenden Maßnahmen erfolgt in Deutschland derzeit bei der Zertifizierung durch die dafür zuständigen Stellen und bei Medizinprodukten, die bereits in Verkehr sind, durch die Landesbehörden. Aktuelle Maßnahmen von Herstellern zum Thema Cybersicherheit von Medizinprodukten stellt das BfArM auf seiner Internetseite unter www.bfarm.de zur Verfügung.

Themen & Autoren
CDU Evangelische Kirche Jens Spahn Richard Cheney

Weitere Artikel

Die Digitalisierung des Gesundheitswesens schreitet voran - Datenschützer und Ethiker kritisieren Spahns "Digital-Versorgung-Gesetz".
15.11.2019, 12 Uhr
Stefan Rehder

Kirche

Drei Pariser Innenstadtkirchen sind im Laufe einer Woche Brandanschlägen zum Opfer gefallen. Stadt und Polizeipräsidium kündigen Sicherheitsmaßnahmen an.
26.01.2023, 16 Uhr
Meldung
Die Laieninitiative entlarvt Bätzings Reaktion auf die römische Anordnung als strategischen Trick und plädiert für einen sofortigen Stopp des Synodalen Ausschusses.
26.01.2023, 14 Uhr
Meldung
Patriarch Bartholomaios attackiert das Moskauer Patriarchat und ruft die orthodoxen Kirchen weltweit zur Anerkennung der ukrainischen Autokephalie auf.
26.01.2023, 08 Uhr
Meldung
1918 ernannte Papst Benedikt XV. Matulaitis zum Bischof der litauischen Hauptstadt Vilnius.
26.01.2023, 21 Uhr
Claudia Kock
Der Synodale Weg sei weder „hilfreich noch seriös“, erklärt der Papst in einem Interview. Er äußert sich auch zu Homosexualität, dem verstorbenen Emeritus und seinem Gesundheitszustand.
25.01.2023, 14 Uhr
Meldung