Medizintechnik

Medizin in Zeiten des „Internet of Things“

| Redakteur: Ira Zahorsky

Security-Schwachstellen machen vernetzte Geräte, wie beispielsweise Infusionspumpen, angreifbar für Cyber-Attacken
Security-Schwachstellen machen vernetzte Geräte, wie beispielsweise Infusionspumpen, angreifbar für Cyber-Attacken (© chiew - stock.adobe.com)

Einige Hersteller von Medizingeräten haben ihre Geräte übereilt an das Internet of Things (IoT) angepasst, ohne die damit verbundenen Probleme rund um Cyber Security zu beachten.

Der sinnvolle Einsatz von IoT-Geräten und damit erhobenen Daten kann unseren Lebensstandard und die Produktivität der Herstellung verbessern. Mit den zahlreichen Möglichkeiten von Big-Data-Analysen – bei denen Daten gezielt auf nützliche Informationen untersucht werden – eröffnen sich neue und aufregende kommerzielle Möglichkeiten. Grundlage für diese neuen Geschäftsmodelle ist das Internet of Things (IoT) oder auch Internet der Dinge. Immer mehr Hersteller bieten Produkte oder Services, mit denen sich die Vorteile des Internets und des World Wide Webs umfassend nutzen lassen. Bis 2020 gehen die Marktforscher von Gartner von weltweit mehr als 20,4 Milliarden vernetzten Geräte aus.

Hersteller von Medizingeräten haben bereits früh erkannt, dass das Leben von Patienten und Ärzten durch die Ausstattung von Geräten mit IoT-Funktionalität verbessert werden kann. Gute Beispiele dafür sind die zahlreichen Blut­zucker-Messgeräte, die per Smartphone gesteuert werden und Daten via Internet übermitteln. Dadurch wird den Betroffenen der Umgang mit Diabetes etwas erleichtert. Allerdings hat so mancher Hersteller seine Geräte recht übereilt an das IoT angepasst, ohne die damit verbundenen Probleme rund um Cyber Security zu beachten. Schwachstellen wie

  • mangelhafte oder fehlerbehaf­tete Soft- bzw. Firmware, die die Sensibilität und Integrität medizinischer Daten bzw. Funktionen nicht adressiert,
  • falsch konfigurierte Netzwerkdienste mit unverschlüsselter Übertragung von Patientendaten,
  • Sicherheits- und Datenschutzprobleme wie die Verwendung schwacher Passwörter oder eine zu weitreichende Vergabe von Berechtigungen für nicht privilegierte Benutzer, die als ­Einfallstore für Hacker dienen können,

sind da nur die Spitze des Eisbergs. Eine der bekanntesten Vorfälle im Gesundheitswesen stammt aus dem Jahr 2015. Seinerzeit warnte die US-amerikanische Bundesbehörde für Arzneimittel und Medizinprodukte, Federal Drug Agency (FDA), vor dem „Hospira Symbiq Infusion Systems“. Über das Krankenhausnetzwerk hätte ein unautorisierter Dritter die Infusionspumpe unter seine Kontrolle bringen und die verabreichte Dosis verändern können. Konkrete Vorfälle waren nicht bekannt. Vom Markt genommen wurde das Symbiq Infusion System dennoch, weil auch noch andere Schwachstellen aufgetreten waren.

Ein schnelles Aus für ein Produkt gab es in der jüngsten Vergangenheit auch hier in Deutschland: 2017 wurde eine Spielzeugpuppe aufgrund von Sicherheitsbedenken verboten. Die „My Friend Cayla“-Puppe verwendete eine Sprach­erkennungstechnologie über einen Service mit Sitz in den USA. Die Daten aus den Tonaufnahmen erwiesen sich als ungesichert und konnten laut Endbenutzer-Lizenzvertrag an Dritte weitergeleitet werden. Das Produkt wurde auf Basis des US-amerikanischen Bundesgesetzes Espionage Act vom Markt genommen. Bei einem anderen Vorfall waren 2017 zwei Millionen Sprachaufzeichnungen von Kindern, die von CloudPet-Stofftieren aufgenommen wurden, aufgrund einer unsicheren Datenbank zeitweise online für jedermann ­zugänglich.

Unnötig zu erwähnen, dass es sich in allen Fällen mindestens um geschäftskritische Imageschäden handelte. Was ist Unternehmen zu raten, die solche Fälle vermeiden möchten?

Ein sinnvoller Schritt ist die Integration des IoT-Cyber-Risikos in das Risiko-Register des Unternehmens und die Durchführung einer Bewertung für alle geplanten Produkte und Services. Darüber hinaus können Prüfungen und Zertifizierung von IoT-Services einen qualifizierten Nachweis darüber leisten, dass Hersteller personenbezogene Daten ihrer Kunden gut schützen und für den Kunden transparent verarbeiten.

Compliance allein macht ein Produkt noch nicht sicher. Erst wenn Hersteller die mit Cyber-Sicherheit verbundenen Bedrohungen und Risiken monitoren und daraus entsprechende Konsequenzen ziehen, können sie sich auf ihre Produktinnovationen konzentrieren – in der Gewissheit, alle ­erforderlichen Maßnahmen ergriffen zu haben, die der dynamischen Entwicklung auch wirklich Rechnung tragen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45137083 / Internet of Things)