Cybercrime

Der echte Life-Hack

Mehr Digitalisierung bedeutet auch mehr Angriffsmöglichkeiten für Hacker. Ein Problem: Der chronische Geldmangel der Kliniken.

Von Andrea Barthélémy Veröffentlicht:
Sicherheitslücken in der Software in medizinischen Geräten bieten Angriffspunkte für Hacker.

Sicherheitslücken in der Software in medizinischen Geräten bieten Angriffspunkte für Hacker.

© REDPIXEL / stock.adobe.com

WASHINGTON. Ein Herzschrittmacher, der einen zu starken Stromstoß verabreicht. Eine Insulinpumpe, die plötzlich zu viel Insulin pumpt. Für Menschen, die mit einem medizinischen Hilfsmittel leben, ist die Vorstellung, dass das Gerät gehackt und manipuliert werden könnte, ein Horror. Wie angreifbar ist Medizintechnik? Und wie groß ist die Gefahr für Betroffene?

Mit Blick auf Implantate wie Herzschrittmacher und Defibrillatoren sei das Risiko derzeit für den einzelnen Patienten nicht übermäßig groß, befanden kürzlich US-Kardiologen. Zwar bestehe die Möglichkeit. Aber: "Die Wahrscheinlichkeit, dass ein Hacker ein implantierbares elektronisches Herz-Kreislauf-Gerät erfolgreich beeinflusst oder einen spezifischen Patienten angreifen kann, ist sehr gering", sagt die Medizinerin Dhanunjaya Lakkireddy vom Klinikum der University of Kansas. Sie ist Mitglied der Amerikanischen Kardiologen-Vereinigung, die eine Risikoeinschätzung dazu veröffentlicht hat.

Ebenso wie in den USA wurde auch in Deutschland bislang kein einziger Fall einer derartigen Hacker-Attacke bekannt. "Uns wurden keine Vorkommnisse gemeldet", teilt das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) mit.

Anbieter mussten nachbessern

Allerdings hatte die Behörde Hersteller und Anwender schon vor zwei Jahren vor möglichen Schwachstellen in vernetzten IT-Systemen gewarnt: "Bei Tests konnten Angreifer in Einzelfällen zum Beispiel den nur ungenügend abgesicherten WLAN-Schlüssel auf dem Gerät im Klartext auslesen und infolge dessen die Produkte bis hin zur falschen Abgabe von Medikamenten manipulieren."

Vorsichtshalber musste der Hersteller Johnson & Johnson 2016 mehr als 11.000 Besitzer von vernetzten Insulinpumpen anschreiben, weil es Software-Sicherheitslücken gab. 2017 galt es für die Firma Smith Medical bei ihren Insulinpumpen nachzubessern. Und der Anbieter St. Jude Medical rief 2017 fast eine halbe Million Träger von Herzschrittmachern oder Defibrillatoren in die Kliniken, um ihre Geräte dort mit sicheren Updates zu versorgen.

"Wirkliche Cyber-Sicherheit beginnt mit dem Design geschützter Software von Anfang an", betont Lakkireddy. Das gilt auch für größere, im Krankenhaus genutzte und vernetzte Medizintechnik, wie etwa Intensivbeatmungs- oder Anästhesiegeräte. Hannes Molsen, Sicherheitsmanager beim Medizintechnikhersteller Dräger, betont: "Geräte in Krankenhäusern müssen systematisch gegen potenzielles Manipulieren ihrer Funktionen geschützt werden."

Das könne durch das Härten von Betriebssystemen geschehen und durch das Weglassen ungenutzter Funktionen. Außerdem sollten Sicherheits-Patches (Flicken) und Software-Updates nachträglich möglich sein, um bei Bedarf schnell auf Bedrohungen zu reagieren. Und: Auch bei einem Ausfall oder einer Störung des Netzwerks müssten die Geräte arbeitsfähig sein, sagt Molsen.

Die Krux ist jedoch: Große Medizingeräte sind teuer, oft viele Jahre lang im Einsatz und deshalb nicht zwingend auf dem neuesten - oder einem nachrüstbaren - Stand.

Klar ist: Die drahtlose Vernetzung von Geräten und die Möglichkeit, berührungsfrei auf sie einzuwirken, bringt therapeutisch viele Vorteile. Nicht nur bei Implantaten, die ohne weitere Operation beeinflusst werden können. Auch um einen Intensivpatienten herum blinkt und piept es ständig.

Es wird beatmet, Vitaldaten werden gemessen, Medizin verabreicht. Oft sind es ein Dutzend Geräte, die den labilen Gesundheitszustand des Patienten überwachen und ihn therapieren. Im Notfall senden sie Alarm in den Überwachungsraum. Medizinisch ein Riesenplus, sicherheitstechnisch eine potenziell offene Flanke.

Auch die Klinik-EDV bietet Angriffsfläche – wie die Attacke auf die zentrale IT des Lukaskrankenhauses in Neuss vor zwei Jahren zeigte. Ebenso wie in einigen anderen Kliniken in Nordrhein-Westfalen war dort ein Virus über einen geöffneten Mailanhang eingedrungen.

Um Patientendaten zu schützen, wurde das komplette System heruntergefahren. Krankenhausmitarbeiter waren von jetzt auf gleich gezwungen, statt E-Mails Briefe zu verschicken, zu telefonieren, zu faxen, Befunde auf Papier zu schreiben.

Kein Geld für mehr IT-Sicherheit

Der Medizin-Wirtschaftsinformatiker Professor Thomas Jäschke vom Institut für Sicherheit und Datenschutz im Gesundheitswesen ergänzt, in vielen Kliniken gebe es Geldmangel im IT-Bereich. Teils seien noch veraltete Betriebssysteme im Einsatz, für die es gar keine "Flicken" oder Updates mehr gibt.

Erhöhte Sicherheitsanforderungen müssen laut Gesetz (KRITIS) nur rund 90 von 2000 Krankenhäusern erfüllen – weil sie mehr als 30.000 vollstationäre Fälle haben. Dabei könne der Ausfall eines kleineren Krankenhauses in ländlicher Umgebung – ohne Alternativen im näheren Umkreis – schwerwiegender sein als der eines großen in einem Ballungsgebiet, argumentiert Jäschke.

Klar ist auf jeden Fall: Der Schutz vor Hackern und Datenklau wird für Patienten und Anbieter ein Thema bleiben. Die nächste Generation digitalisierter Gesundheitsvorsorge und Therapie rollt vor allem in den USA schon heran – in Form neuer Apps, die etwa entwickelt werden, um Blutzucker zu messen, beim Management chronischer Krankheiten zu helfen, um Gehirnerschütterungen, Herzrhythmusstörungen oder Hautkrebs zu erkennen.

Was passiert mit all diesen Daten? Jäschke: "Die IT-Sicherheit muss von Anfang an Teil des Gesamtsystems sein." (dpa)

Mehr zum Thema
Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Ambulantisierung

90 zusätzliche OPS-Codes für Hybrid-DRG vereinbart

Doppel-Interview

BVKJ-Spitze Hubmann und Radau: „Erst einmal die Kinder-AU abschaffen!“

Interview

Diakonie-Präsident Schuch: Ohne Pflege zu Hause kollabiert das System

Lesetipps
Der Patient wird auf eine C287Y-Mutation im HFE-Gen untersucht. Das Ergebnis, eine homozygote Mutation, bestätigt die Verdachtsdiagnose: Der Patient leidet an einer Hämochromatose.

© hh5800 / Getty Images / iStock

Häufige Erbkrankheit übersehen

Bei dieser „rheumatoiden Arthritis“ mussten DMARD versagen