Patientensicherheit und Schutz von Medizingeräten Herausforderung medizinisches XIoT

In den letzten zehn Jahren haben sich Medizintechniker und IT-Sicherheitsexperten im Bereich der Healthcare-Security vor allem auf die Sicherheit und den Schutz von Patientendaten konzentriert. Dabei standen insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten im Vordergrund. Gleichzeitig sehen sich Gesundheitseinrichtungen immer stärker einer wachsenden Anzahl von Ransomware-Angriffen gegenüber, die nicht nur ihr finanzielles Risiko erhöht, sondern auch den Datenschutz und die Sicherheit der Patienten gefährdet.

Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) und anderer cyber-physischer Systeme im Gesundheitswesen haben Cyberbedrohungen das Potenzial, die Patientenversorgung zu stören, indem sie zu Geräteausfällen oder Fehlfunktionen führen. Das medizinische Personal erkennt zunehmend die Bedeutung der Cybersicherheit und setzt sie immer enger mit der Behandlung in Beziehung. So bemerkt der Medical Director of Cybersecurity der University of California San Diego, Dr. Christian Dameff, treffend: „Wir sind an einem Punkt angelangt, an dem Bits und Bytes auf Menschen aus Fleisch und Blut treffen.“

Die cyber-physische Welt der vernetzten Geräte in einem Krankenhausnetzwerk erhöht das Risiko für die Patienten in einzigartiger Weise. Die medizinischen Geräte, von denen das Leben der Patienten abhängt, können mit herkömmlichen IT-Sicherheitstools nicht adäquat verwaltet oder geschützt werden, so dass sie zu leichten Einstiegspunkten in das Netzwerk werden, wenn keine speziellen Sicherheitskontrollen implementiert werden.

So deutet ein Report der US-Behörde für Cybersicherheitsinfrastruktur und -sicherheit (CISA) vom September 2021 auf eine starke Korrelation zwischen Cybersicherheitsangriffen, der Belastung von Krankenhäusern und letztlich einer verminderten Funktionalität hin. In einer neueren Ponemon-Studie über die Auswirkungen von Sicherheitsverletzungen gaben 70 Prozent der Befragten an, dass sich die Verweildauer der Patienten verlängert hat, 69 Prozent berichteten von Verzögerungen bei den Behandlungen, 63 Prozent von einer verstärkten Verlegung der Patienten, 37 Prozent von vermehrten Komplikationen und 23 Prozent von einer erhöhten Sterblichkeit. Auch wenn diese Zahlen nicht repräsentativ sind, kann man davon ausgehen, dass es sich negativ auf die Patienten auswirkt, wenn durch Ransomware Technologien im Gesundheitswesen ausfallen.

Die Hauptfehler beim Schutz von medizinischen Geräten

Die hohen Anforderungen an die Sicherheit vernetzter medizinischer Geräte und anderer cyber-physischer Systeme im Gesundheitswesen sind hinreichend bekannt. Dennoch machen viele Einrichtungen immer noch einen der folgenden Kardinalfehler:

• Die Verwendung von IT-Sicherheitstools zur Sicherung medizinischer Geräte: IT-Sicherheitstools sind nicht mit den von medizinischen Geräten verwendeten Protokollen kompatibel. In den meisten Fällen richtet der Versuch, sie trotzdem zu verwenden, mehr Schaden als Nutzen an.

• Separates Management der Sicherheit medizinischer Geräte und der IT: Wenn sich innerhalb einer Gesundheitseinrichtung Cybersicherheitssilos bilden, sind die isolierten Teams nicht in der Lage, sich koordiniert gegen Cyberbedrohungen zu verteidigen. Um eine einheitliche Front gegen Bedrohungen der Patientendaten und -sicherheit zu bilden, müssen die Einrichtungen einen konvergenten Ansatz für die Cybersicherheit verfolgen.

Um diese Fehler zu vermeiden, sollten sich Sicherheitsverantwortliche stattdessen folgende Punkte stets vor Augen führen:

• Im Gegensatz zur IT interagieren Geräte des erweiterten Internet der Dinge (XIoT) mit der physischen Welt. Dies erhöht die potenziellen Risiken, insbesondere im Gesundheitswesen, wo das Leben der Patienten von der zuverlässigen Leistung der Geräte abhängen kann.

• Die gängigen Regeln zur IT-Sicherheit gelten nicht für das XIoT. Selbst die erfahrensten IT-Sicherheitsexperten sollten das XIoT aus einer Anfängerperspektive angehen.

• Herkömmliche IT-Sicherheitstools sind nicht mit dem XIoT kompatibel. Um ihre vernetzten Geräte angemessen zu schützen, benötigen Gesundheitseinrichtungen speziell entwickelte cyber-physische Sicherheitstechnologien.

Die Vorteile eines einheitlichen Security-Ansatzes

Hieraus ergibt sich, dass Sicherheitsverantwortliche eine neue Strategie für die Absicherung dieses sich ständig erweiternden XIoT-Universums benötigen. Aus der Konvergenz der Systeme muss ein wirklich einheitlicher Ansatz folgen. Dabei muss dieser die Systeme und Arbeitsabläufe, die den einzelnen vertikalen Bereichen und Umgebungen im Netzwerk des Unternehmens zugrunde liegen, kennen und einbeziehen können. Wesentlich ist zudem eine tiefe Transparenz über das gesamte Spektrum der eingesetzten Geräte, Risiko- und Schwachstellenmanagement, Bedrohungserkennung und sichere Fernzugriffskontrollen, die sich nahtlos in das bestehende Technologiepaket integrieren lassen sollten.

Es gibt (noch) keine einfache Lösung für die Gewährleistung einer zuverlässigen Patientenversorgung inmitten von Sicherheitsherausforderungen, die durch die digitale Transformation und sich entwickelnde Cyberbedrohungen entstehen. Aber wenn die Cybersicherheitsteams im Gesundheitswesen verstehen, dass externes Fachwissen und spezialisierte Tools erforderlich sind, um das XIoT richtig zu schützen, kommen sie in die Lage, diese kritische Aufgabe zu meistern.

(ID:49190248)