Digitalisierung im Gesundheitswesen Chancen und Fallstricke des IoT im Gesundheitswesen

Ein Bericht von Vodafone mit dem Titel „Better Health, Connected Health: How 5G and IoT Technology can Transform Health and Social Care“ nannte eine überwältigende Unterstützung für die Einführung und den Ausbau digitaler Technologie im nationalen Gesundheitswesen. 5G-Funkstandard und das Internet der Dinge (IoT) werden als Möglichkeit gesehen, die Gesundheitsversorgung zu rationalisieren und erschwinglicher zu machen.

Das IoT wird dabei als ein Netzwerk physischer Geräte beschrieben, um den Austausch von Daten zu ermöglichen. Im Kontext des Gesundheitswesens kann es, unterstützt von aufkommenden 5G-Netzen, viele Vorteile eröffnen. Dazu gehört, dass Ärzte datenintensive Augmented-Reality- oder Virtual-Reality-Visualisierungen nutzen, um Patienten zu helfen, eine Diagnose oder Behandlung besser zu verstehen, sowie Techniken, die einem Spezialisten helfen können, den Zustand eines Patienten genauer zu analysieren.

Der Einsatz des IoT im Gesundheitswesen ist jedoch nicht frei von Tücken: IoT-Geräte können nicht zentral verwaltet, aktualisiert oder gesichert werden. Sie sind außerdem zwar einfach zu handhaben, aber das macht sie oft anfällig für den Missbrauch durch Cyber-Kriminelle. Wer sie einsetzen will, sollte sich also der Gelegenheiten und Fallstricke bewusst sein.

Vorteile der Nutzung des IoT im Gesundheitswesen

Zu den Vorteilen der Nutzung des IoT im Gesundheitswesen gehören geringere Betriebskosten (durch den Einsatz von IoT-Medizinprodukten), mehr Wohlgefühl der Patienten und weniger Fehler bei der Behandlung. IoT-Anwendungen im Gesundheitswesen ermöglichen zudem eine Fernüberwachung und -behandlung.

Mit Echtzeitdaten und der Möglichkeit, frühere Behandlungen und Diagnosen eines Patienten zu analysieren, können intelligente IoT-Gesundheitssysteme dazu beitragen, Fehler zu reduzieren. Auch die Behandlungsergebnisse können verbessert werden, da die von IoT-Gesundheitsgeräten gesammelten Daten sehr genau sind und dem medizinischen Personal helfen, fundierte Entscheidungen zu treffen. In ähnlicher Weise können IoT-Gesundheitsanwendungen, die allgegenwärtige Überwachungssysteme bieten, auch für die Überwachung des Krankheitsverlaufes genutzt werden.

Nachteile der Nutzung des IoT im Gesundheitswesen

Krankenhäuser haben bei der Sicherung ihrer IoT-Geräte mit einzigartigen Angriffswegen zu kämpfen. Im Durchschnitt gibt es 10 bis 15 medizinische Geräte je Bett, wie Infusionspumpen und Beatmungsgeräte, aber viele dieser Geräte wurden mit wenigen oder gar keinem Gedanken an deren Sicherheit entwickelt. Außerdem läuft fast die Hälfte der angeschlossenen medizinischen Geräte auf besonderen Betriebssystemen (oder alten Betriebssystemen), die keine Sicherheitsupdates (mehr) erhalten. Dazu gehören Ultraschallgeräte oder Kernspintomographen, was sie zu einer leichten Beute für virtuelle Attacken und Malware, wie Ransomware, macht.

Dabei ist das Geschäft für die Kriminellen lukrativ und für Krankenhäuser teuer. Kompromittierte elektronische Gesundheitsdaten (ePHI) werden am Schwarzmarkt für bis zu 1.000 US-Dollar (890 Euro) je Datensatz verkauft. Krankenhäuser dagegen geben durchschnittlich 430 US-Dollar (380 Euro) aus, um eine gestohlene medizinische Identität zu entschärfen. Wenn Krankenhäuser doch die Betriebssysteme ihrer medizinischen Geräte aktualisieren möchten, die dann gestoppt werden müssen, erweist sich dies aufgrund betrieblicher Erwägungen und der Notwendigkeit, die Geräte erneut zu testen und für die Verwendung zu zertifizieren, als schwierig.

Schließlich sind nicht nur medizinische Geräte anfällig für Attacken, sondern auch intelligente Büro- und Gebäude-Management-Systeme (BMS), die entweder als Einfallstor in das Krankenhausnetzwerk oder als Ziel von Manipulationen und Übernahmen dienen können.

Überwachung und Sicherung von IoT-Geräten, älteren Betriebssystemen und Gesundheitsdaten

Im Folgenden einige Vorschläge zur Sicherung und Überwachung von IoT-Geräten, älteren Betriebssystemen und elektronischen Gesundheitsakten. Es ist wichtig, eine vollständige Kenntnis aller IoT-Geräte im Netzwerk zu haben und Risikoanalyse, Schwachstellenminderung sowie Zero-Day-Bedrohungsabwehr auch auf nicht aktualisierbaren Geräten möglich zu machen. Außerdem braucht es eine intuitive Zero-Trust-Netzwerksegmentierung und -verwaltung, um das Netzwerk in isolierte Zonen zu teilen, was Angreifer und Ransomware einsperrt.

IoT-Geräte sollten darüber hinaus virtuell aktualisiert werden, um Sicherheitslücken zu schließen. Das funktioniert auch mit jenen Geräten, deren Firmware oder Betriebssysteme keine Updates mehr erhalten, denn gerade veraltete Firmware und damit verbundene bekannte Schwachstellen bergen ein enormes Gefahrenpotential. Als letztes ist es von entscheidender Bedeutung, unbefugten Zugriff und Datenverkehr von und zu Geräten und Servern zu erkennen und zu unterbinden sowie gezielte IoT-Malware-Angriffe zu verhindern.

Die Anwendung und Durchsetzung granularer Sicherheitsregeln im gesamten IoT-Netzwerk auf der Grundlage von Geräte-Attributen, Risiko und Protokollen trägt dazu bei, eine intuitive Zero-Trust-Netzwerksegmentierung und -verwaltung zu gewährleisten. Außerdem ist es wichtig, eine ganzheitliche Verwaltung der Sicherheitsrichtlinien in einem einzigen Fenster für IT- und IoT-Netzwerke zu unterstützen. Dabei sollten auch vermeintliche Kleinigkeiten wie zu schwache Passwörter bei der Betrachtung nicht zu kurz kommen.

Wichtige Schutzmaßnahmen

Nach Erkenntnissen der Internationalen Kriminalpolizeilichen Organisation INTERPOL haben Hacker ihre Versuche verstärkt, die IT-Netzwerke von Krankenhäusern mit Ransomware zu verseuchen, obwohl die COVID-19-Pandemie anhält. Die nachteiligen Folgen eines solchen Angriffs beschränken sich nicht nur auf die Beschädigung von Daten oder den finanziellen Schaden der Einrichtungen. Er behindert eine schnelle medizinische Reaktion und kann das körperliche Wohlbefinden der Patienten beeinträchtigen, was die Situation buchstäblich zu einer Frage von Leben und Tod macht.

Aus diesem Grund sollten Krankenhäuser auf einige Dinge achten, um ihre Angriffsfläche zu schrumpfen. Dazu gehört:

• die Wissensvermittlung durch die Schulung der Angestellten gegen IT-Bedrohungen, wie Phishing-Mails

• eine kontinuierliche Datensicherungen, um Datenverluste zu vermeiden und sie im Falle einer Beschädigung, eines Diebstahls, einer Verschlüsselung oder eines Hardware-Fehlers wiederherstellen zu können

• die regelmäßige Aktualisierung aller Geräte, auch virtuell, um die jüngsten Patches gegen Sicherheitslücken zu berücksichtigen

• der Schutz der Endgeräte durch herkömmlichen signaturbasierten oder auch verhaltensbasierten Virenschutz als eine starke Abwehr bekannter und unbekannter Angriffe und Malware

• der Schutz des Netzwerks durch fortschrittliche Maßnahmen, wie Intrusion Prevention System (IPS), Network Anti-Virus, Anti-Bot und Sandboxing, um neue, noch unbekannte Malware zu analysieren und in Echtzeit in einer geschützten Umgebung auszuführen

Auf diese Weise lassen sich bereits sehr viele Angriffsarten abwehren, die in Krankenhäusern verheerende Wirkung erzielen könnten.

(ID:47997176)