Wenn die Software entscheidet Medizinische Geräte gefahrlos im Internet der Dinge

Anbieter zum Thema

MicroConsult Microelectronics Consulting & Training GmbH

NetModule AG

TASKING GERMANY GmbH

Method Park Software AG

Gesundheitsdaten und medizinische Geräte bedürfen eines besonderen Schutzes im Internet der Dinge. Die Qualität der Software spielt dabei eine entscheidende Rolle.

Der feindliche Agent sitzt im Café nahe der Botschaft, neben dem Cappuccino steht sein Laptop. Eine schwarze Limousine verlässt das Botschaftstor Richtung Flughafen, an Bord: ein ausreisewilliger Dissident. Der Agent scheint zu arbeiten, während die Limousine vorbeirollt. Eine halbe Stunde später muss der Wagen stoppen, ein Rettungswagen übernimmt den ins Koma gefallenen Passagier. Die Diagnose: eine lebensgefährliche Unterzuckerung des an Diabetes leidenden Funktionärs. Die Flucht ist gescheitert.

Bildergalerie

Der Datenschutz spielt eine wichtige Rolle

Wie könnte unser Agentenkrimi das Rätsel dieses Attentats auflösen? Vielleicht ist eine portable Insulinpumpe (Bild 1) im Spiel, und der Angreifer hat per Funk eine Fehldosierung ausgelöst. Wer meint, die Story sei spannend, aber weit hergeholt, irrt sich. Schon 2011 hat der Security Researcher Jay Radcliffe realistische, funkbasierte Angriffsszenarien auf bestimmte Insulinpumpen öffentlich gemacht [2].

Ähnliche, das Herstelleransehen schädigende Vorfälle bei der Datensicherheit und Verlässlichkeit von Medizingeräten häufen sich. Kein Wunder: Wir erleben unter dem Schlagwort Internet of Things eine Explosion von neuen Produkten, die durch Sammlung und Verwertung von Daten sowie durch Vernetzung und Austausch dieser Daten Mehrwert schaffen. Damit werden aber auch Themen wie Datenschutz, Datensicherheit und die Entwicklung komplexerer Software in Bereichen hochaktuell, in denen sie bisher vielleicht von geringerer Bedeutung waren. Das fehlende Know-how muss schnell aufgebaut werden.

Beginnen wir bei den gesammelten Informationen. Alle gesundheitsbezogenen Daten sind generell Teil der persönlichen Sphäre und unterliegen der Datenschutz-Gesetzgebung. Hinzu kommen spezielle Rechtsvorschriften im Gesundheitsbereich, wie etwa die ärztliche Schweigepflicht. Selbst in den ansonsten nicht besonders datenschutzfreudigen USA sind Gesundheitsdaten durch scharfe Regelungen abgesichert.

Das Datenschutzrecht stellt einige typische Anforderungen. In Deutschland gelten etwa die Prinzipien der Erforderlichkeit, der Datensparsamkeit und der Datenvermeidung. Nur die für den Anwendungszweck notwendigen Daten sollen erhoben werden. Die gesammelten Daten sind konsequenterweise zweckgebunden; nicht mehr notwendige Daten sind zu löschen. Die Erhebung der Daten bedarf einer rechtlichen Grundlage, typischerweise der Einwilligung des Betroffenen. Diese sollte dokumentiert werden.

Werden die Daten gespeichert und übertragen, dann muss die Vertraulichkeit der Daten sichergestellt sein. Das kann etwa durch sichere Verschlüsselungsverfahren erfolgen. Der Zugang zu den Daten soll auf die notwendigen Nutzerkreise beschränkt sein; Abruf und Nutzung der Daten müssen gegebenenfalls nachvollziehbar sein, etwa durch Protokollierung.

Erschwert wird die korrekte Umsetzung der Vorschriften, wenn ein Produkt international vertrieben wird. Einerseits gelten in den verschiedenen Ländern natürlich unterschiedliche Bestimmungen. Andererseits kommunizieren in vielen IoT-Szenarien die Geräte mit einem zentralen Dienst, der beispielsweise vom Hersteller betrieben wird und die gesammelten Daten speichert und aufbereitet. Der Datenaustausch zwischen verschiedenen Rechtssystemen ist aber problematisch. Gegebenenfalls muss der zentrale Dienst in separierten, lokalen Ausprägungen realisiert werden.

(ID:43626360)