Internet der medizinischen Dinge Wie das IoMT die Patientenversorgung verändert

Mehr Vernetzung – mehr Verantwortung. Das Internet der Dinge (IoT) verbindet längst nicht mehr nur Geräte und Ausstattung im Smart Home, sondern hat auch in Krankenhäusern Einzug gehalten. Doch für einen sicheren Umgang mit dem sogenannten IoMT müssen zahlreiche sicherheitsrelevante Faktoren beachtet werden.

Das IoT, also das Internet of Things, sollte den meisten bekannt sein. Auf Deutsch nennen wir dieses Netzwerk das Internet der Dinge und diese Dinge wiederum IoT-Geräte. Es schließt alle Maschinen und Apparate ein, die mit dem Internet verbunden werden können und somit vernetzt sind. Geht man hier ins Detail, so kann man einen Spezial-Bereich definieren: Das Internet der medizinischen Dinge (Internet of Medical Things, IoMT). Es hat das Gesundheitswesen mittlerweile revolutioniert, denn durch die Verbindung von medizinischen Geräten, Sensoren und anderer Ausrüstung mit dem Internet können Krankenhäuser die Patientenversorgung verbessern, beschleunigen und zugleich Kosten senken, sowie dem Arbeitskraftmangel durch Automatisierung entgegenwirken.

Technisch möglich sind, unter anderem, Dienstleistungen, die von Robotern durchgeführt werden, wie die Entnahme von Blutproben, die automatisierte Desinfektion von Krankenhauszimmern, die Lieferung von Medikamenten und der schnelle Austausch von Diagnose-Daten, um die Medikation zu präzisieren und den Gesundheitszustand von Patienten laufend zu überwachen. Auch Krankenhausbetten können auf diese Weise vernetzt werden, oder Systeme, die Faktoren wie die Medikamentenausgabe, den Herz-Kreislauf und Alarm-Zeichen prüfen. Auch sogenannte „intelligente Betten“, die das Gewicht, die Körpertemperatur und den Herzschlag des Patienten messen, sowie das Blut und die Sauerstoffsättigung überwachen, sind nicht mehr reine Zukunftsmusik. Das hilft den Ärzten, Risiken wie etwa für das Wundliegen zu minimieren oder gar zu verhindern. Das Ziel ist dabei stets die schnelle Genesung des Patienten.

Herausforderungen des IoMT

Im Bereich der IoMT ist die Anzahl der Betten in einem Krankenhaus eine entscheidende Kennzahl, denn jedes Bett umfasst in der Regel mindestens 20 vernetzte Geräte, die sich im allgemeinen Netzwerk der Krankeneinrichtung befinden. Dieser Zustand schreit nach einer Segmentierung des Netzwerks, um die verschiedenen Dateien und Geräte zu trennen und Malware so an der schnellen seitlichen Ausbreitung zu hindern. Zwar ist eine solche Segmentierung oft vorhanden, jedoch stellen die Einhaltung von Vorschriften und die Vorweisung von Zertifizierungen dabei nicht selten eine große Herausforderung dar. Ein Beispiel sind die Patientendaten, die strengen Regularien unterliegen, da es sich hierbei um sehr intime und personenbezogene Daten handelt.

Trotz dieser zunehmenden Komplexität von IoMT-Umgebungen hinken die meisten IT-Sicherheitslösungen hinterher und bieten nur begrenzte Kontrolle über die IoT-Geräte und die damit einhergehenden Gefahren. Die Sicherung dieser Geräte ist eine Herausforderung, weil sie eine Vielzahl zu verwaltender Kommunikationsprotokolle verwenden und inhärente Schwachstellen ab Werk aufweisen. Diese können etwa aus veralteten Betriebssystemen, fest kodierten oder schwachen Passwörtern, durch Patching-Schwierigkeiten, oder physische Zugänglichkeit als Notwendigkeit entstehen. Fehlkonfigurationen des Betriebssystems, fehlende integrierte Sicherheitsmaßnahmen sowie ungesicherte Kommunikationsprotokolle sind weitere Risikofaktoren.

Datengetriebene Gesundheitsversorgung

Interoperabilität als Schlüsselfaktor

So läuft beispielsweise eine beträchtliche Anzahl von IoMT-Geräten weiterhin auf der äußerst anfälligen Windows-7-Plattform – oder schlimmer: auf dem eingebetteten Windows XP. Microsoft hat den Support für diese Betriebssysteme schon vor langer Zeit eingestellt. Ein einfaches Upgrade dieser OEM-Geräte mit Windows 7 an Bord ist jedoch, aufgrund der hohen Kosten von bis zu Tausenden Euro pro Gerät, nicht machbar. Das Gleiche gilt für das eingebettete Windows XP. Beispiele für solche Geräte sind bildgebende Systeme, Magnetresonanztomographen (MRT) und Computertomographen (CT), Blutdruckmessgeräte und Defibrillatoren. Grobe Schätzungen besagen, dass bereits rund 70 Prozent aller medizinischen Geräte nicht mehr unterstützt werden.

Hacker nutzen diese Schwachstellen aus, um Geräte anzugreifen. Eine umfassende Liste der gemeinsamen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs), steht frei zur Verfügung, um sie beheben zu können.

Die Herausforderung der Zertifizierung überwinden

Die Zertifizierung der Maschinen ist unerlässlich, um sicherzustellen, dass medizinische IoT-Geräte die erforderlichen regulatorischen Standards erfüllen und den Anforderungen an das Gesundheitswesen entsprechen. Sie soll gewährleisten, dass diese Geräte nach Richtlinien entworfen sowie mit angemessenen Qualitätskontrollen hergestellt werden und zuverlässig arbeiten. Der Zertifizierungsprozess umfasst in der Regel eine Reihe von Tests, Bewertungen und Audits, die von spezialisierten Zertifizierungsstellen oder Aufsichtsbehörden durchgeführt werden:

• Sicherheit: Produkte sollten auf ihre elektrische sowie Software- und mechanische Sicherheit geprüft werden, um sicherzustellen, dass sie keine Gefahr für Patienten oder Personal darstellen.

• Leistung: Die Geräte müssen Genauigkeit, Präzision und Zuverlässigkeit bei ihren Messungen oder Überwachungsfunktionen nachweisen.

• Datensicherheit und Datenschutz: Der Schutz von Patientendaten ist von entscheidender Bedeutung. Die Geräte müssen einer Bewertung unterzogen werden, um sicherzustellen, dass sie über geeignete Maßnahmen zum Schutz und zur Sicherung der Daten sowie zur Verhinderung unbefugten Zugriffs und zur Wahrung der Datenintegrität verfügen.

• Einhaltung von Vorschriften: Medizinische IoT-Geräte müssen den geltenden Vorschriften und Normen entsprechen, wie ISO 13485 (Qualitätsmanagementsystem für Medizinprodukte) und IEC 60601 (Sicherheit und Leistung von medizinischen elektrischen Geräten).

• Interoperabilität: Die Geräte müssen die Kompatibilität mit den als relevant eingestuften Kommunikationsprotokollen und Informationssystemen im Gesundheitswesen nachweisen.

Eine große Schwierigkeit besteht darin, dass ein IoMT-Gerät bei jeder Programm-, Firmware- oder Patch-Änderung möglicherweise erneut zertifiziert werden muss. Dies einzuhalten ist aber nahezu unmöglich, sehr kostspielig und kritisch. Das Ergebnis sind daher veraltete IoMT-Systeme.

Die Rolle von SCADA-Geräten in Krankenhäusern

Im Gesundheitswesen sind SCADA-Maschinen (Supervisory Control and Data Acquisition) nicht selten. Bei diesen ist die Verfügbarkeit entscheidend. Dazu zählen einfache Aufzüge, aber auch Systeme zur Patientenversorgung und -sicherheit, wie diese:

• Energiesysteme: Geräte zur Überwachung und Steuerung der Stromverteilungsinfrastruktur in Krankenhäusern, die eine unterbrechungsfreie Stromversorgung kritischer Bereiche, wie Operationssäle und Intensivstationen, gewährleisten sollen.

• Physische Zugangskontrollsysteme: Verwaltung und Überwachung von Ein- und Ausgängen in Krankenhäusern zur Durchsetzung angemessener Sicherheitsmaßnahmen.

• Operationssaal-Kontrollsysteme: Geräte zur Aufrechterhaltung und Überwachung der erforderlichen Parameter während der Operation, wie Temperatur, Luftfeuchtigkeit und Luftdruck.

• Feuermeldesysteme: Verwaltung von Feuermeldesystemen in Krankenhäusern, die eine Benachrichtigung in Notfallsituationen ermöglichen.

• HVAC-Systeme: Systeme zur Regelung von Heizung, Belüftung und Klimatisierung.

Zusätzliche Herausforderungen ergeben sich außerdem, da eine beträchtliche Anzahl von SCADA-Maschinen immer noch mit Standard- oder leicht zu erratenden Passwörtern ausgestattet wurde. Für Hacker ein gefundenes Fressen.

Die Schnittstelle von 5G und IoMT im Gesundheitswesen

Der neue Funkstandard 5G und die damit verbundene Umgestaltung des gesamten IoT kann zur nächsten Herausforderung für die IT-Sicherheit in Krankenhäusern werden. Oft wird das Beispiel einer vollständig ferngesteuerten Operation über 5G angeführt, um die Möglichkeiten zu beschreiben. Bereits im Jahr 2019 wurde eine solche mit orthopädischen Operationsrobotern durchgeführt. Während der Corona-Krise wurden dann große Investitionen in die Robotik getätigt, um den Personalmangel, gesetzliche Vorschriften (Distanz) und Lieferkettenunterbrechungen auszugleichen. In Verbindung mit Maschinellem Lernen (ML) und Künstlicher Intelligenz (KI) entstanden sogar kollaborative Roboter, die präzise arbeiten.

Fazit

Das IoMT ist einerseits ein großer Schritt hin zu einer besseren Patientenversorgung, darf andererseits jedoch nicht blauäugig benutzt werden, ohne die IT-sicherheitsrelevanten Faktoren zu beachten. Diese spielen eine entscheidende Rolle, da Hacker und Ransomware vermehrt Krankenhäusern ins Visier nehmen, wie die zahlreichen Fälle der vergangenen Jahre und Monate gezeigt haben.

Die ordnungsgemäße Sicherung von IoMT-Geräten ist daher von großer Bedeutung, insbesondere wenn es um Patientendaten geht. IT-Entscheider und Führungskräfte im Gesundheitswesen müssen deshalb zwei Dinge begreifen: Es bedarf einer zeitgemäßen, am besten konsolidierten, IT-Sicherheitsarchitektur, die alle möglichen Angriffsarten abdeckt und deren Komponenten aus einer Hand stammen, damit sie gut zusammenarbeiten. Außerdem muss ein solches Produkt in der Lage sein, die veralteten medizinischen Geräte zu schützen, ohne dass deren Betrieb unterbrochen werden muss.

Mit Blick auf die elektronische Patientenakte als nächsten, staatlich angeordneten Schritt auf dem Weg zum vollständig digitalisierten Gesundheitswesen, sollte mit der Umstellung der eigenen Einrichtung besser früher als später begonnen werden. So kann das Vertrauen der Patienten in medizinische Einrichtungen gewahrt werden.

Die Autorinnen

Melanie Eschbach

Sales Team Manager Public, Healthcare & Education
Check Point Software Technologies GmbH

Ulrike Scharf

Manager Security Consulting, Public Sector
Check Point Software Technologies GmbH

Bildquelle: Check Point Software Technologies GmbH

(ID:49872490)