Cybersecurity für Patientendaten: Datensicherheit in der Medizin

| |
1 Star2 Stars3 Stars4 Stars5 Stars

Die Digitalisierung verändert das Gesundheitswesen nachhaltig. Sie verspricht bessere Patientenversorgung, erleichtert Ärzten die Arbeit und birgt Geschäftschancen für Hersteller von Medizinprodukten. Voraussetzung für die erfolgreiche Digitalisierung ist der Schutz der Patientendaten. Das stellt die Elektronikbranche und Gesundheitsdienstleister vor einige Herausforderungen.

Anders als zum Beispiel der Finanzsektor befindet sich das Gesundheitswesen erst am Anfang der digitalen Transformation. Doch die Entwicklung schreitet voran. Patientendaten und medizinische Befunde wie Röntgenbilder, EKGs und Laborwerte werden zunehmend elektronisch erfasst. Vernetzte Medizingeräte und Sensoren von Wearables oder Implantaten liefern immer mehr Daten. Dabei werden nicht nur Vitalwerte gespeichert, sondern auch Informationen zu Gesundheitszustand, Aktivität und Lebensstil.

Big Data und künstliche Intelligenz

Gleichzeitig wächst auch das medizinische Wissen exponentiell: Bis 2020 soll es sich alle 73 Tage verdoppeln. Kein Arzt kann damit Schritt halten. Im Klinikalltag werden sich die Datenmengen, die für Diagnose und Therapie zur Verfügung stehen, künftig nur mit Hilfe kognitiver Assistenzsysteme bewältigen lassen. Big Data und künstliche Intelligenz sollen zu schnelleren und exakteren Diagnosen führen. Sie versprechen eine bessere und personalisierte Therapie. Intelligente Algorithmen könnten helfen, Krankheiten früher zu erkennen, deren Verlauf vorherzusagen und zielsicher effektive Behandlungsmethoden zu wählen. Allerdings: Das mit der künstlichen Intelligenz klappt noch nicht immer. Das zeigte zum Beispiel das IBM-System Watson for Oncology, das Krebsärzten mitunter fragwürdige Therapievorschläge unterbreitete. Patienten könnten sterben, wenn man Watsons Tipps folgen würde, warnen Ärzte. Die Ursache für das Versagen: zu wenige und teils nicht valide Trainingsdaten. Die Leistung intelligenter Maschinen ist eben immer nur so gut wie die Daten, mit denen man sie füttert.

Ihr volles Potenzial können Big Data und künstliche Intelligenz erst dann entfalten, wenn Daten aus verschiedenen Quellen – etwa aus Forschung und Therapie – verknüpft werden. Auch hier sind noch viele Hausaufgaben zu machen. So impliziert Big Data große Datenmengen, was sich aber nur schwer mit dem Prinzip der Datensparsamkeit vereinbaren lässt. In jedem Fall muss der Patient Herr des Verfahrens sein und entscheiden, was mit seinen Daten passiert. Das Thema „Selbstbestimmung über medizinische Daten“ wird unter anderem auf der electronica Medical Electronics Conference im Fokus stehen. Welches Potenzial Patientendatenverknüpfung hat, wird vielerorts getestet: Mit 150 Millionen Euro fördert zum Beispiel das Bundesforschungsministerium die Initiative „Medizininformatik“. Sie will eine Brücke zwischen Gesundheitswesen und biomedizinischer Forschung schlagen, um neue Präventions-, Diagnose- und Therapieverfahren zu entwickeln.

Gesundheitswesen im Visier von Hackern

Mit dem medizinischen Internet der Dinge entwickelt sich auch eine steigende Bedrohung durch Cyber-Angriffe. Krankenhäuser werden häufiger angegriffen als der Finanzsektor – nicht weil die Daten interessanter wären, sondern weil es einfacher ist, an sie zu gelangen. Und: Gesundheitsdaten werden zu Höchstpreisen gehandelt.

Dass die IT-Infrastrukturen des Gesundheitswesens vielerorts unzureichend abgesichert sind, ist kein Geheimnis. Inaktuelle und nicht gepatchte Betriebssysteme und Geräte mit veralteter Firmware oder hartcodierten Passwörtern laden Hacker geradezu ein. Polymorphe Malware, die ständig ihren Code ändert, trifft auf teils jahrzehntealte Technologie. Hackern gelingt es so verhältnismäßig leicht, Malware einzuschleusen, sensible Daten zu kopieren, Gesundheitssysteme zu blockieren oder Geräte fernzusteuern. Bei Ransomware-Angriffen wie 2016 im Neusser Lukaskrankenhaus werden Daten verschlüsselt und dann hohe Geldbeträge gefordert, um sie zu entschlüsseln. Zwar sind keine Fälle bekannt, bei denen Patienten durch Datensabotage verletzt oder getötet wurden. Technisch möglich ist es aber. Dass sich Herzschrittmacher, Narkosegeräte und Insulinpumpen hacken und fernsteuern lassen, haben IT-Experten weltweit bewiesen.

Cybersecurity-Trends

Die Medizinelektronikbranche hält dagegen: Zunehmend werden Cybersecurity-Strategien bereits bei der Produktentwicklung mitgedacht und über den gesamten Lebenszyklus der Lösungen etabliert. Dabei rückt der Vernetzungsaspekt in den Vordergrund. So gilt etwa die Norm 80001 nicht bloß für einzelne Geräte, sondern fokussiert sich darauf, inwiefern ein Gerät ein vernetztes, IEC 80001-konformes Healthcare-System unterstützt und sich in dieses einbinden lässt.

IT-Sicherheitsstrategen setzen auf maschinelles Lernen und künstliche Intelligenz, denn die Technologien können Malware entdecken und abwehren, die es heute noch gar nicht gibt. Anders als bei Signatur- und Heuristik-basierten Antivirenlösungen, dienen hier mathematische Modelle als Grundlage. Das Problem: Kriminelle Angreifer wissen das auch und entwickeln eigene Machine-Learning- und KI-Tools, die in Zukunft für Attacken bisher nicht da gewesener Komplexität sorgen könnten.

Blockchains und Versionierung

Die Blockchain-Technologie könnte bis 2025 die Gesundheitsbranche revolutionieren, ergab eine Studie von Frost & Sullivan. Die aus der Finanzwirtschaft bekannte Technologie verwendet eine dezentrale Datenbank, die in identischen Kopien auf vernetzten Rechnern gespeichert ist. Neue Daten werden mit vorhandenen Daten so verknüpft, dass Manipulation unmöglich ist. Alle Aktionen werden aufgezeichnet und sind für sämtliche Mitglieder des Netzwerkes einsehbar. „Blockchain-Technologie mit ihrer umfassenden Sicherheitsinfrastruktur ist die Lösung für digitale Abläufe und fortschrittliche Interoperabilität im Gesundheitswesen“, erklärt Analyst Kamaljit Behera von Frost & Sullivan. Digitalisierungs- und E-Health-Vorreiter Estland setzt bereits auf diese Technologie. Das Thema „Standards und Protokolle für Blockchain-Technologien“ wir auch auf der electronica Medical Electronics Conference eine zentrale Rolle spielen.

Einen schnellen Austausch von Patientendaten machen Cloud-Speicher möglich. Außerdem stellen sie Ransomware kalt: Mit Versionierung beinahe in Echtzeit lassen sich frühere Versionen von Dateien wiederherstellen. So kann man im Fall eines Angriffs verschlüsselte oder gelöschte Dateien einfach und schnell wieder verfügbar machen – und Lösegeldforderungen laufen ins Leere.

Richtlinien, Gesetze, Normen

Die Informationssicherheit von Medizinprodukten wird weltweit in zahlreichen regulatorischen Vorgaben wie den Guidance-Bestimmungen der US-Behörde für Lebens- und Arzneimittel (FDA), der EU-Medizinprodukteverordnung (MDR) und der europäischen Datenschutz-Grundverordnung (DSGVO) gefordert. Hinzu kommen Normen. Wichtig für das Risikomanagement beim Betrieb von IT-Systemen im Gesundheitssektor, beispielsweise, ist die IEC 80001.

Konkreter und detaillierter als die MDR postuliert die FDA IT-Sicherheit auf neustem Stand der Technik. Von Medizinprodukteherstellern fordert sie, bei Sicherheitskonzepten auch die Systemumwelt wie Anmeldung, Authentifizierung und Nutzungshäufigkeit zu berücksichtigen. Hersteller sollen sich über den gesamten Lebenszyklus ihrer Produkte um die Sicherheit von Hard- und Software kümmern und Patches oder Updates zur Verfügung stellen. Nutzern muss es einfach gemacht werden, Fehler zu melden. Anwender sollen alle Updates einspielen, Firewalls richtig konfigurieren und aktuelle Antimalware einsetzen.

DSGVO: Welche Neuerungen bringt sie für die Medizin?

Für den Datenschutz in der EU sind die Europäische Grundrechte-Charta und die Datenschutz-Richtlinie relevant. Hinzu kommen nationale Vorschriften wie das BSI-Gesetz. Das Bundesamts für Sicherheit in der Informationstechnik hat Best-Practice-Empfehlungen zu „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ herausgebracht. Auch das IT-Sicherheitsgesetz für kritische Infrastrukturen schließt das Gesundheitswesen ein. Da Medizingeräte zudem immer häufiger in vernetzten Umgebungen zum Einsatz kommen, werden Hersteller zu Betreibern und dann gilt für sie auch die Medizinprodukte-Betreiberverordnung (MPBetreibV), die sicheren Betrieb fordert.

Durch die neue DSGVO der EU ändert sich in der Medizin nicht viel. Das Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt und das Gebot der Datensparsamkeit gelten auch künftig. Neuerungen betreffen Einwilligungen, Informationspflicht, Betroffenenrechte, Auftragsverarbeitung, Compliance, Rechenschafts- und Meldepflicht. Wie bisher ist der Patient über die Erhebung personenbezogener Daten zu informieren – künftig aber auch über die Dauer der Speicherung.

Premiere 2018: electronica Medical Electronics Conference

Am 15. November 2018 veranstalten die Messe München und Weka Fachmedien erstmals die electronica Medical Electronics Conference, kurz eMEC, im internationalen Congress Center München. Das Themenspektrum deckt Applikationen, Embedded-Technologien, Sicherheit und Usability ab. Die Veranstaltung richtet sich an Entwickler, Ingenieure, Entscheider, Wissenschaftler, Ärzte, Einkäufer und Krankenversicherungen.

Informationen zum Medical Electronics Forum finden Sie unter https://electronica.de/konferenzen/foren/medical-electronics-forum/index.html

 

 

 

 

Medical (Bild: electronica)

Mit dem gläsernen Patienten steigt auch auch die Bedrohung durch Cyber-Angriffe. (Bild: electronica).