Gesundheitsbranche wird für Digitalverbrecher attraktiv
Wie man Cyberattacken auf Medizingeräte abwehren kann
Cybersicherheit ist kein Beiwerk, das man sich leistet, um sein Produkt aufzuwerten. Sie darf auch nicht als lästige Pflicht empfunden werden, der man sich in regelmäßigen Abständen unterziehen muss wie einem Zahnarztbesuch. Cybersicherheit ist vielmehr ein strategisches Feld der Geschäftsführung und eine Vorstandsaufgabe. Sie muss sowohl Datenlecks nach außen (im Sinne von „safety“) wie auch Manipulationen von außen (im Sinne von „security“) verhindern. Auch für Unternehmen der Gesundheitsbranche wird ihre Planung, Implementation und kontinuierliche Kontrolle immer wichtiger. Das schärfte Dr. Stefan Weiss von Zühlke Engineering seinem Publikum beim Workshop „Digital Transformation in Pharma“ aus guten Gründen eindringlich ein.
Drei Trends nämlich machten die Gesundheitsbranche zunehmend angreifbar und für Digitalverbrecher attraktiv. Erstens eroberten digitale Medizingeräte in zügigen Schritten unseren Alltag, laut Roland Berger mit einer Wachstumsrate von jährlich 16 Prozent. Zweitens werde die Konnektivität dieser Geräte immer höher, und die aus ihr resultierende Datenflut bedürfe einer cloud-basierten Analytik. Drittens werden immer mehr Gesundheitsdaten auf digitalen Plattformen abgelegt, zu denen zahlreiche Stakeholder Zugang hätten. Dementsprechend steil steige die Zahl medizinischer Cyberattacken an.
Das Problem der „eingebildeten Cyberkompetenz“
Solche Cyberattacken könnten enormen Schaden verursachen. Als Beispiel nannte Weiss den Erpressungstrojaner WannaCry, der sich kürzlich in die IT-Systeme von 48 britischen Krankenhausbetreibern eingeschlichen und dabei insgesamt 200.000 Computer blockiert habe, darunter solche, deren Ausfall potentiell lebensbedrohlich war. Auch wenn das geforderte Lösegeld für die Freigabe der Systeme nicht gezahlt worden sei, hätten sich die Kosten des Angriffs für das britische Gesundheitssystem doch auf 92 Millionen Pfund belaufen. Eher ein hypothetisches Thema der Boulevardpresse und dennoch durchaus ernst zu nehmen, seien als zweites Beispiel Hackerangriffe auf Herzschrittmacher oder andere implantierbare Geräte.
Wie könne nun aber eine optimale Cybersicherheit erreicht werden? Am wenigsten dadurch, dass die Verantwortlichen eines Unternehmens davon ausgingen, sie wüssten bereits Bescheid und hätten schon die richtigen Maßnahmen ergriffen. Diese „eingebildete Kompetenz“ könne gefährliche Sicherheitslücken entstehen lassen, erklärte Weiss, zum Beispiel dann, wenn ein Medizingerätehersteller zwar bei der Entwicklung seines Produktes Aspekte der Cybersicherheit berücksichtige, dieser aber in dessen weiterem Lebenszyklus keine Bedeutung mehr beimesse.
Drei Säulen der Cybersicherheit
CIA – dieses Akronym stehe für die drei englischen Schlüsselbegriffe der Cybersicherheit: Confidentiality (Vertraulichkeit), Integrity (Unversehrtheit) und Availability (Verfügbarkeit). Um Vertraulichkeit zu gewährleisten, muss zum Beispiel Industriespionage oder der Diebstahl digitaler Krankenakten verhindert werden. Um Unversehrtheit zu gewährleisten, muss sichergestellt werden, dass niemand proprietäre Daten unbefugt verändern kann. Um Verfügbarkeit zu gewährleisten, müssen beispielsweise Erpressungstrojaner und Distributed-Denial-of-Service-Attacken abgewehrt werden.
Um die „CIA“-Anforderungen erfüllen zu können, empfahl Weiss, Cybersicherheit auf drei Ebenen zu managen, der gesetzlichen, der projektbezogenen und der personenbezogenen. Auch wenn die digitale Wirklichkeit sich so schnell ändere, dass die Regulatoren mit ihr kaum Schritt halten könnten, böte die von der amerikanischen Association for the Advancement of Medical Instrumentation (AAMI) 2016 erstmals veröffentlichte Richtlinie TIR 57 zum Risikomanagement bei vernetzten Medizinprodukten doch verlässliche Rahmenbedingungen und Best-Practice-Beispiele.
Projektbezogen verfolgt Weiss in seiner Beratungstätigkeit einen dreistufigen Ansatz: Er definiert zunächst die heikelsten Informationen, die ein Medizingerät enthält. Dann analysiert er die Bedrohung: Welche Personen könnten ein besonderes Interesse daran haben, diese Informationen zu stehlen, zu verändern oder zu sperren? Darauf aufbauend legt er mit seinen Kunden konkrete Sicherheitsmaßnahmen fest, die beispielsweise in bestimmten Verschlüsselungen, in einer Betriebs-systemdiversifizierung oder in redundanten Systemauslegungen bestehen können. Was die Ebene der persönlichen Datensicherheit betrifft, trug Weiss beim Workshop über digitale Transformation sicher Eulen nach Athen, wenn er daran erinnerte, wie eminent wichtig es sei, starke Passwörter zu verwenden und nicht eines aus dem Schund, der auf der Top-Ten-Passwortliste der Deutschen steht.