IT-Sicherheit verhindert Manipulation und unberechtigten Zugriff
Insgesamt gilt IT dann als sicher, wenn Unberechtigte Patienten keinen Schaden zufügen können und auch eine Manipulation ausgeschlossen ist. Das beinhalltet auch die fehlerhafte Nutzung, wenn Fachpersonal aus Versehen einen falschen Knopf drückt, die IT den Fehler erkennt und nachhakt. Der Ansatz-“secure by design“ kann das leisten: Die Geräte sind in sich sicher und werden nur bei der bewussten Öffnung oder Veränderung angreifbar, was über definierte Einsatzumgebungen verringert werden kann. Ein weiteres Prinzip der IT-Sicherheit ist die Segmentierung. Werden Funktionsnetze getrennt – Adminbereich von Geschäftsprozessen, Verwaltung vom Medizinbereich – haben zum Beispiel Hacker weniger leichtes Spiel und Schadsoftware breitet sich nicht einfach aus, da innerhalb der IT zusätzliche Sicherheitshürden überwunden werden müssen.
Eine zielgerichtete Regulierung fehlt
Ein zentrales Problem für die IT im Gesundheitswesen liegt in der fehlenden Regulierung und den nicht vorhandenen konkreten Vorgaben zur IT-Sicherheit. Das Thema ist seit etwa zwei bis drei Jahren im Umbruch und rückt seitens der Regulierung verstärkt in den Fokus.
Eine Regulierung muss sich auf Produkte konzentrieren, die direkt mit dem Menschen in Kontakt kommen und deren Missbrauch ihm schaden kann. Auch Krankenhausinformationssysteme besitzen als zentrales Tool Schnittstellen zu Medizinprodukten und müssen sicher sein. Allerdings muss mit Augenmaß reguliert werden: Die IT darf nicht für den Mediziner entscheiden, dieser kann sogar Fehler der Technik mit seinem Wissen kompensieren. Es muss also eine Risikoabwägung erfolgen.
In Deutschland sind drei Behörden für die IT-Sicherheit im Gesundheitswesen zuständig:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Hoheit über IT-Sicherheit und formulierte bereits in einer technischen Richtlinie konkrete Anforderungen an digitale Gesundheitsanwendungen. Zudem wurde die Studie Cybersicherheitsbetrachtung vernetzter Medizinprodukte mit Status Quo und Herstellerempfehlungen herausgegeben. Das BSI ist aktiv, allerdings dauert eine Regulatorik über Gesetzgebung oft mehrere Jahre.
Die Regulierung von Geräten erfolgt durch die Bundesanstalt für Arzneimittel und Medizintechnik (BfArM) in Bonn, die Medizinprodukte wie Skalpell, Betten oder eben den Computertomographen zulässt. Zudem gibt es Prüflabore, die Zulassungen ausstellen. Die Schwierigkeit dabei: Auch hier existieren noch keine verbindlichen Vorgaben für IT-Sicherheit, nur ein Fragenkatalog, den eine Interessensgemeinschaft entwickelt hat.
Die gematik in Berlin ist verantwortlich für die Telematik-Infrastruktur (TI), um zum Beispiel die elektronische Gesundheitskarte zu nutzen. Die Organisation besitzt ein eigenes Kriterienwerk, in dem niedergelegt ist, wann Dienste Bestandteil der Telematik-Infrastruktur sein dürfen. Die gematik hat die elektronische Patientenakte (ePA) Anfang 2021 eingeführt, Mitte des Jahres soll das e-Rezept folgen. Auch dieses kann ein Sicherheitsrisiko darstellen: Als digitales Rezept enthält es Medikamente und Dosierung. Würde es auf dem Weg zur Apotheke verändert, kann der Patient Schaden nehmen. Die gematik steuert hier mit den definierten (Sicherheits-)Kriterien gegen.
Um ein gleichmäßig hohes Schutzniveau in der IT-Sicherheit zu schaffen, müssen gleiche Wettbewerbsbedingungen für alle Hersteller und Beteiligten erreicht werden. Das gelingt mit konkreten Vorgaben und seitens der Regulatorik definierten Zielen. Dabei gilt es verschiedene Interessenslagen zu vereinen. Ist ein Produkt wegen seiner Authentifizierung und den Sicherheits-Procederes nicht schnell nutzbar, kann dies dem Patienten genauso wie mangelnde IT-Sicherheit schaden: Defibrillatoren – die über ihre Sensorik viel IT beinhalten – benötigen zum Beispiel keine Authentifizierung, da diese im Ernstfall zu viel Zeit kosten würde.
Fazit
BSI, BfArM und die gematik sind die zuständigen Stellen für IT-Sicherheit von Medizinprodukten in Deutschland. Es muss sichergestellt werden, dass Unberechtigte die IT in medizinischen Geräten und Systemen nicht gegen den Patienten nutzen können und Komponenten und System nur Berechtigten offen stehen. Hier können auf IT-Sicherheit spezialisierte Unternehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicherheitsstandards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überregulierung kann Schaden bringen.
Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC GmbH
www.src-gmbh.de