Stand der Sicherheit medizinischer Geräte: Cyber-Risiken und Lösungen

Neue Innovationen im Gesundheitswesen bringen neue Möglichkeiten für die Versorgung von Patienten mit sich, aber wenn medizinische Geräte zum täglichen Ökosystem von Gesundheitsdienstleistern hinzukommen, bleibt die Frage: Wie schützen wir unsere zunehmend vernetzte Welt vor Cyberangriffen? Laut diesem KPMG-Beratungsbericht über Medizinprodukte wird der Jahresumsatz der Medizinproduktebranche bis 2030 auf fast 800 Milliarden US-Dollar steigen. Diese Prognosen spiegeln die steigende Nachfrage nach neuen und innovativen Technologien und Dienstleistungen wider, da Zivilisationskrankheiten immer häufiger auftreten und die wirtschaftliche Entwicklung das Potenzial von Schwellenländern freisetzt. Diese Geräte werden zweifellos die Art und Weise, wie Patienten versorgt werden, verändern, aber sie bergen auch die Möglichkeit, neue Sicherheits- und Cybersecurity-Risiken zu erschließen.  

Was ist Cybersicherheit für Medizinprodukte?

Die Cybersicherheit von Medizinprodukten bezieht sich auf die Praktiken und Technologien, die Gesundheitsdienstleister einsetzen, um ihr Internet der medizinischen Dinge (IoMT) und andere angeschlossene medizinische Geräte und Software vor unbefugtem Zugriff, Diebstahl sensibler Daten, Beeinträchtigung der Patientensicherheit und/oder Unterbrechung wichtiger Dienste zu schützen. Medizinische Geräte wie Implantate, Diagnosegeräte und Krankenhausinformationssysteme sind zunehmend mit dem Internet verbunden, was sie anfällig für Cyberangriffe macht. Die Cybersicherheit medizinischer Geräte ist ein wichtiges Anliegen, da Angriffe auf medizinische Geräte nicht nur zu einer Gefährdung geschützter Gesundheitsinformationen führen können, sondern auch die Patientensicherheit beeinträchtigen können, weil sie die Pflege beeinträchtigen. Wie wir wissen, ist die Gesundheitsbranche aufgrund der großen Menge an sensiblen Gesundheitsdaten schon seit langem ein Ziel von Cyberangriffen - doch nun hat sich die Angriffsfläche für Cyberkriminelle, die auf der Suche nach profitableren Lösegeldern die Patientenversorgung stören wollen, durch die Hinzunahme von hochgradig vernetzten medizinischen Geräten vergrößert. 

Warum ist Cybersicherheit für medizinische Geräte wichtig?

Hunderttausende von lebenserhaltenden oder lebensunterstützenden medizinischen Geräten wie Patientenmonitore, Infusionspumpen, Beatmungsgeräte und bildgebende Verfahren befinden sich in Krankenhäusern in den Vereinigten Staaten - und sind oft über drahtlose Technologien zugänglich. Die digitale Transformation und die zunehmende Interkonnektivität dieser Geräte haben das Gesundheitswesen verändert, aber sie haben auch dazu geführt, dass HDOs dem Risiko ausgesetzt sind, gehackt zu werden. Ein erfolgreicher Angriff auf ein medizinisches Gerät könnte den Patienten ernsthaften Schaden zufügen, einschließlich des unbefugten Zugriffs auf ihre persönlichen Daten, der Änderung von Behandlungsplänen oder sogar körperlichen Schaden. Diese Ponemon-Forschungsstudie über Cybersicherheit im Gesundheitswesen untermauert dieses wachsende Problem und zeigt die Kosten und Auswirkungen auf die Patientensicherheit und -versorgung auf. Fünfzig Prozent der Befragten gaben an, dass ihre Organisation von einem Angriff auf ihre Lieferkette betroffen war. Siebzig Prozent dieser Befragten gaben an, dass dadurch die Patientenversorgung unterbrochen wurde. Zu den Folgen gehörten die Verzögerung von Verfahren und Tests, die zu schlechten Ergebnissen führten, wie z. B. eine Erhöhung des Schweregrads einer Krankheit (54 Prozent). Eine weitere Folge war eine längere Aufenthaltsdauer (51 Prozent), und dreiundzwanzig Prozent der Befragten gaben an, dass die Sterblichkeitsrate gestiegen sei. Obwohl Cyberangriffe in der Vergangenheit in finanzieller Hinsicht gemessen wurden, zeigt dieser Bericht, dass finanzielle Verluste nicht mehr die einzige Auswirkung dieser gezielten Angriffe sind. Die Unternehmen müssen nun ihren Fokus vom Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten auf die Cyber-Patientensicherheit ausweiten. 

Vorschriften und Normen zur Cybersicherheit sind auch für den Schutz von Medizinprodukten unerlässlich geworden. Wie wir bereits festgestellt haben, sind medizinische Geräte lebenswichtige Instrumente im Gesundheitswesen, die den Patienten mitunter lebensrettende Maßnahmen bieten. Durch die Einhaltung der Branchenvorschriften und -normen können HDOs und Hersteller medizinischer Geräte eine ununterbrochene Versorgung der Patienten sicherstellen. Hier sind einige der wichtigsten Vorschriften und Normen für Medizinprodukte in der Branche:

1. HHS-Abschnitt 405(d): Das Department of Health and Human Services hat einen Cybersecurity Framework Implementation Guide veröffentlicht, um einen risikobasierten Rahmen für einen systematischen Ansatz zur Risikominderung zu schaffen. 405(d) enthält eine Reihe von Überlegungen zur Cybersicherheit von Medizinprodukten, zusätzlich zu dem bestehenden Schwerpunkt auf konsensbasierten und branchengeführten Richtlinien, bewährten Praktiken, Methoden, Verfahren und Prozessen, die zur Verringerung des Cybersicherheitsrisikos im Gesundheitswesen dienen

2. HIPAA: Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Bundesgesetz, das strenge Standards für die Sicherheit und den Datenschutz von Gesundheitsinformationen von Patienten festlegt. Obwohl sich der HIPAA nicht ausdrücklich auf die Sicherheit von Medizinprodukten bezieht, betrifft er alle Medizinprodukte, die PHI verarbeiten oder übertragen. Es legt Anforderungen für die Umsetzung angemessener administrativer, physischer und technischer Schutzmaßnahmen zum Schutz der auf medizinischen Geräten gespeicherten oder verarbeiteten Daten fest.  

3. GDPR: Ähnlich wie der HIPAA ist die Allgemeine Datenschutzverordnung (GDPR) ein umfassendes Gesetz zum Schutz der Privatsphäre und des Datenschutzes in der Europäischen Union (EU). Diese Verordnung hat erhebliche Auswirkungen auf die Sicherheits- und Datenschutzpraktiken im Zusammenhang mit medizinischen Geräten, die personenbezogene Daten verarbeiten. Die Einhaltung der GDPR-Anforderungen trägt zum Schutz der Privatsphäre der Patienten bei, fördert die Transparenz und erhöht die Sicherheit. 

4. NIS2: Die Richtlinie über die Netz- und Informationssicherheit (NIS) hat die NIS2-Konformität eingeführt, um die Einschränkungen der NIS1 zu beheben, indem sie rechtliche Maßnahmen zur Verbesserung der Cyber-Resilienz und der Reaktionsfähigkeit von in der EU tätigen Unternehmen vorsieht. Die NIS2 betrifft Hersteller von Medizinprodukten, da sie ein Verfahren für das Management von Cybersicherheitsrisiken, ein Meldeverfahren und ein Verfahren für den Informationsaustausch einführen müssen, um ihre allgemeine Cybersicherheitslage zu verbessern.  

5. SOCI: Das Gesetz über die Sicherheit kritischer Infrastrukturen (Security of Critical Infrastructure (SOCI) Act ) schafft einen Rahmen für die Regulierung und den Schutz der kritischen Infrastrukturen Australiens. Ziel ist es, sicherzustellen, dass HDOs und andere Organisationen für kritische Infrastrukturen einen ganzheitlichen und proaktiven Ansatz verfolgen, um Risiken aller Art zu erkennen, zu verhindern und zu mindern. Zu den Anforderungen gehören die Registrierung kritischer Anlagen, die obligatorische Meldung von Cybersicherheitsvorfällen und die Umsetzung eines Risikomanagementprogramms, um die jüngste Zunahme von Cyberangriffen zu bekämpfen und die Integrität der wesentlichen australischen Dienste zu schützen.  

Branchenvorschriften und -normen spielen eine entscheidende Rolle bei der Gewährleistung der Sicherheit von Medizinprodukten. Ohne angemessene Sicherheitsmaßnahmen sind Unternehmen anfälliger für Angriffe, unbefugten Zugriff und Datenverluste, was zu einer Beeinträchtigung der Patientensicherheit, einer Verletzung des Datenschutzes oder sogar zu einer möglichen Schädigung derjenigen führen kann, die sich bei der Versorgung auf diese Geräte verlassen. Obwohl Normen und Vorschriften komplex sein können und häufigen Aktualisierungen unterliegen, sind sie für die Gewährleistung der Sicherheit, Integrität und Unversehrtheit medizinischer Geräte unerlässlich. 

Im nächsten Abschnitt werden wir anhand von Beispielen erläutern, wie ein Angriff medizinische Geräte kompromittieren könnte, um die oben beschriebene Art von Schaden zu verursachen. Diese Beispiele verdeutlichen, dass Gesundheitsdienstleister eine solide Sicherheitsstrategie für Medizinprodukte und die Einhaltung von Industriestandards und -vorschriften benötigen, um Cybersicherheitsrisiken zu antizipieren und zu bewältigen und um Patienten und ihre persönlichen Daten zu schützen. 

Was sind Beispiele für Cyberangriffe auf medizinische Geräte?

In diesem Videodemonstriert das Team82 von Clarotyeinen Angriff auf ein Überwachungssystem im Gesundheitswesen. Während der Demonstration zeigt Team82, wie ein Hacker sich Zugang zu einem Patientenmonitor verschaffen konnte, um Vitaldaten zu fälschen. Durch den Fernzugriff auf den Patientenmonitor und die Einspeisung von Code in die Gerätelogik war das Team in der Lage, die Vitalwerte des Geräts zu verändern. Diese Art von Angriff und die anschließende Veränderung würde die Fähigkeit eines Arztes beeinträchtigen, eine Diagnose zu stellen und einen Patienten zu behandeln. Obwohl dieser Angriff simuliert wurde, zeigt er die Auswirkungen, die ein Ransomware-Angriff auf ein eingebettetes Gerät haben kann, und was nötig ist, um sich von einem solchen Angriff zu erholen. Wie das Team betont, ist das Gesundheitswesen eine der am stärksten angegriffenen Branchen innerhalb der kritischen Infrastrukturen, und eine starke Sicherheitsstrategie für medizinische Geräte ist für den Schutz dieser Infrastrukturen von größter Bedeutung. 

Ein Beispiel aus der Praxis, das sich leider mit der Demonstration von Team82 deckt, ereignete sich in Des Moines, Iowa, und betraf das Gesundheitssystem MercyOne. Dieser Ransomware-Angriff verursachte krankenhausweite Ausfälle in mehreren Gesundheitssystemen und betraf vor allem einen Dreijährigen, der nach einer Mandeloperation behandelt wurde. Diesem NBC-Artikel zufolge funktionierte das Computersystem von MercyOne, das automatisch die Medikamentendosierung berechnete, nicht mehr, so dass der behandelnde Arzt dem Kind fälschlicherweise die fünffache Menge an Schmerzmitteln verabreichte, die verschrieben worden war. Glücklicherweise erholte sich das Kind vollständig, aber die Auswirkungen dieses Angriffs sollten Gesundheitsdienstleistern als Warnung dienen, wie wichtig der Schutz ihrer medizinischen Geräte ist. Wie diese Beispiele zeigen, nehmen die Cyber-Risiken für die Gesundheitssysteme beträchtlich zu, und die Gesundheitsdienstleister benötigen einen proaktiven Ansatz für die Cybersicherheit im Gesundheitswesen, um die Sicherheit der Patienten und die Wirksamkeit der medizinischen Geräte zu gewährleisten. 

Wie man die Herausforderung der Sicherheit medizinischer Geräte löst 

Wie wir inzwischen wissen, geht eine Verletzung der Sicherheit medizinischer Geräte weit über Datenschutzbedenken hinaus und kann zu körperlichen Schäden bei Patienten, zur Unterbrechung der medizinischen Versorgung und zu einer Beeinträchtigung des Gesundheitszustands führen. Aufgrund der Schwere der Sicherheitsbedenken gab es einige vielversprechende Fortschritte bei den staatlichen Vorschriften für vernetzte medizinische Geräte. Jüngste Bestimmungen wurden von den Haushaltsausschüssen des Repräsentantenhauses und des Senats im Rahmen der Omnibus Appropriations Bill verabschiedet. Danach müssen Hersteller, die medizinische Geräte bei der Food and Drug Administration (FDA) einreichen, eine Reihe von Sicherheitsanforderungen erfüllen. Dazu gehören ein Verfahren zur Behebung von Schwachstellen nach der Markteinführung innerhalb von 90 Tagen sowie Out-of-Band-Korrekturen für kritische Bugs. Mit dieser Gesetzgebung wird anerkannt, dass die Sicherheit der Patienten von der Sicherheit vernetzter medizinischer Geräte abhängen kann, und sie ist ein Schritt in die richtige Richtung, um das Problem der Sicherheit medizinischer Geräte zu lösen. 

Um die gesetzlichen Vorschriften und Richtlinien einzuhalten und das Problem der Sicherheit medizinischer Geräte anzugehen, können sich HDOs mit einem Anbieter von Sicherheitssystemen für cyber-physische Systeme wie Claroty zusammenschließen, um Einblick in ihr IoMT-Ökosystem zu erhalten, Risiken zu bewerten und zu mindern, Bedrohungen zu erkennen und auf sie zu reagieren sowie zukünftige Verstöße zu verhindern. Medigate by Claroty verfügt über ein tiefes Verständnis proprietärer Gerätekommunikationsprotokolle und klinischer Arbeitsabläufe bei verschiedenen Anbietern und Modellen medizinischer Geräte, was HDOs eine unübertroffene Transparenz bietet. Darüber hinaus verfügen wir über klinisches Fachwissen, das Aktivitäten außerhalb des klinischen Bereichs des vorgesehenen Workflows erkennt, nicht-generische Warnungen erzeugt und falsch-positive Ergebnisse minimiert. Dank der fortschrittlichen Erkennungsfunktionen wissen HDOs genau, was und mit wem ihre Geräte unter welchen Bedingungen kommunizieren können und was nicht - das Rätselraten bei der Risikobewertung entfällt. Schließlich unterstützt Medigate die Sicherheitsstrategie von HDOs für medizinische Geräte mit Präventionstechniken, die auf einer genauen Geräteidentifizierung mit klinischem Kontext basieren und eine erfolgreiche Mikrosegmentierung, Sicherheitsrichtlinien und VLAN-Zuweisungen ermöglichen. 

Letztlich sind die Auswirkungen von Cyberangriffen auf medizinische Geräte anders als in den meisten anderen Branchen. Wie wir in diesem Artikel herausgefunden haben, sind die Auswirkungen eines Angriffs im Gesundheitswesen weitaus gravierender als der finanzielle Schaden für eine Organisation - und werden zunehmend an erhöhten Sterblichkeitsraten, gesundheitlichen Komplikationen und einer geringeren Lebensqualität gemessen. Glücklicherweise gibt es eine Antwort auf die Frage: Wie können wir unsere zunehmend vernetzte Welt vor Cyberangriffen schützen? Indem wir bei der Annahme von Gesetzen und Vorschriften im Zusammenhang mit der Cybersicherheit von Medizinprodukten wachsam sind und mit einem Anbieter zusammenarbeiten, der sich auf Cybersicherheit im Gesundheitswesen spezialisiert hat und weiß, dass die Sicherheit von Medizinprodukten klinisches Fachwissen erfordert.