IT-Sicherheit

Unbefugte müssen draußen bleiben

Die schwarze Silhouette eines Mannes. Auf dem Rücken trägt er die Aufschritf "Hacker". Mit der rechten Hand zeigt er auf ein großes, rotleuchtendes Herz, durch das eine Herzlinie läuft. Im Hintergrund des Bildes laufen wie im Film "Matrix" Zahlrenreihen über das Bild.

Medizinprodukte sind oft unzureichend vor Hackerangriffen geschützt.

Quelle: fotohansel / Fotolia

Nichts scheint vor Hackern sicher zu sein – auch Medizinprodukte nicht. Besonders heikel wird dies bei Implantaten, die lebenswichtige Körperfunktionen steuern. Ein Beispiel, das jüngst Aufsehen erregt hat, waren Sicherheitslücken bei Herzschrittmachern mit Fernüberwachungsfunktion. IT-Sicherheitsspezialisten der US- Beratungsfirma MedSec hatten diese bereits 2016 aufgedeckt: Demnach könnten Angreifer in der Nähe eines Patienten sich via Funk Zugang zur Gerätesoftware des Implantats verschaffen. von Lisa Kempe

MedSec hatte in seinem Labor die potenziellen Hackerattacken nachgestellt und dabei zwei wesentliche Angriffsmöglichkeiten gefunden: Hacker könnten eine Fehlfunktion auslösen und zum Beispiel das Tempo des Schrittmachers verändern, oder sie könnten die Batterien des Implantats gezielt entleeren. Die US-Aufsichtsbehörde Food and Drug Administration (FDA) ging dem nach und bestätigte, dass Schwachstellen in der Software bestimmter Herzschrittmachermodelle aus dem Hause St. Jude Medical vorhanden sind. In den USA wurden etwa 465.000 Patienten mit einem solchen Herzschrittmacher versorgt. In Deutschland sind es rund 12.500 Patienten.

Im August dann hat die FDA ein Update für die Firmware der Herzschrittmacher zugelassen, das deren Sicherheitslücken schließen soll. Die US-Behörde deklarierte diesen Vorgang als Rückrufaktion bzw. als Korrekturmaßnahme. Anlässlich der Update-Zulassung veröffentlichte das US-Ministerium für Innere Sicherheit (Department of Homeland Security, DHS) eine ausführliche Empfehlung. Daraus geht hervor, dass bestimmte Herzschrittmacher auf verschiedenen Ebenen angreifbar sind. Zum einen könnten die Authentifizierungsschlüssel umgangen werden, sodass ein unberechtigter Zugriff auf die Geräteeinstellungen des Implantates über eine Funkverbindung möglich wird. Eine weitere Schwachstelle sei die unzureichende Begrenzung des Energieverbrauchs: Durch einen mehrfach per Funk abgesetzten „Weckruf“ könne so die Batterieleistung der Geräte verringert werden. Bei zwei Schrittmachermodellen bemängelt die DHS, dass vertrauliche Patientendaten, die das Implantat speichert und per Funkverbindung an das Programmiergerät oder die patienteneigene Telemetrie-Einheit übermitteln kann, nicht verschlüsselt werden können.

Hersteller informiert alle Ärzte über Cybersicherheits-Update

Ein rotes Herz, von einer gezackten Linie durchbrochen. Über den dunkelblauen Hintergrund laufen Zahlenreihen.

Nach dem Sicherheitsupdate ist es möglich, die Netzwerkkonnektivität der Herzschrittmacher auszuschalten.

Quelle: fotohansel / Fotolia

Die Herstellerfirma Abbott, die St. Jude Medical im Januar 2017 übernommen hat, informierte Ende August auch die Ärzte in Deutschland über die neuen Sicherheits-Updates. Das Update der Firmware im Herzschrittmacher erfolgt per Funk. Die Prozedur, die unter ärztlicher Überwachung stattfindet, dauert für den Patienten rund drei Minuten. Die neue Softwareversion verfügt nun über eine zusätzliche Sicherheitsebene zur Datenverschlüsselung, die den unbefugten Zugriff auf den Herzschrittmacher verhindern soll. Zusätzlich beinhaltet das Update Verbesserungen im Betriebssystem und die Möglichkeit, die Netzwerkkonnektivität abzuschalten, wenn die telemedizinische Anwendung nicht erwünscht ist.

Die Programmiergeräte der Ärzte, mit denen die Updates auf die Herzschrittmacher der Patienten übertragen werden, sind inzwischen mit der entsprechenden Softwareversion aktualisiert worden. Die betroffenen Patienten werden nun bei den routinemäßigen Kontrolluntersuchungen von ihrem Kardiologen über das neue Firmware-Update aufgeklärt. Dabei sollen Arzt und Patient gemeinsam erörtern, ob das Update im individuellen Fall sinnvoll ist. Denn dem Nutzen der telemedizinischen Anwendung steht ein gewisses Update-Risiko gegenüber: Wie bei jedem Software-Update können Daten verloren gehen. Laut der bisherigen Erfahrungen von Abbott sei der Prozentsatz der durch ein Update der Herzschrittmacher-Software ausgelösten Probleme jedoch äußerst niedrig. Zu einem erneuten Laden der vorherigen Firmware-Version wegen Unvollständigkeit des Updates kommt es in 0,16 Prozent der Fälle, ein Verlust der aktuell programmierten Geräteeinstellungen tritt bei 0,02 Prozent auf. Ein vollständiger Verlust der Gerätefunktion liege im Promille-Bereich. Patienten, die auf die Schrittmacherfunktion angewiesen sind, sollten deswegen das Firmware-Update besser in einer Einrichtung durchführen lassen, in welcher der Schrittmacher umgehend ausgetauscht werden kann.

Ein Arzt und ein älterer Mann stehen vor einem Computerbildschrim. Der Mann hält einen kleinen silbrigen Gegenstand in der Hand.

Bei Kardiologen ist das Telemonitoring beliebt: Mit der Übertragung wichtiger „Herzdaten“ an den Arzt wird die räumliche Distanz zwischen Arzt und Patient überbrückt, die Therapie für die Patienten optimiert.

Quelle: BVMed

Sicherheits-Update auch für die Fernüberwachungsfunktion

Die kardialen Implantate von Abbott lassen sich in ein Online-Patientenmanagementsystem einbinden. Von einem Transmitter kann der Patient zuhause die Daten aus seinem Implantat auslesen lassen und über das Internet an seinen Kardiologen übertragen. Für die Cybersecurity-Aktualisierung des Merlin@home-Transmitters sowie für das Patientennetzwerk Merlin.net hat Abbott im April die CE-Zertifizierung für die Länder der Europäischen Union erhalten.

„Die Cybersecurity-Updates hatten wir bereits im Januar 2017 geplant und angekündigt. Sie dienen der weiteren Absicherung unserer mit Datenschnittstellen ausgestatteten Implantate aus dem Geschäftsbereich Cardiac Rhythm Management wie zum Beispiel die Herzschrittmacher. Sie sollen auch die dazugehörigen Verwaltungstools robuster machen“, erklärt Astrid Tinnemans, die für Deutschland zuständige Unternehmenssprecherin von Abbott.

Schlupflöcher bislang nicht ausgenutzt  

„Es kann sich jeder vorstellen, was passiert, wenn ein Herzschrittmacher gehackt wird. Die Schweregrade potenzieller Schäden sind sehr hoch, nämlich tödlich. Allerdings ist die Wahrscheinlichkeit, dass ein Herzschrittmacher angegriffen wird, eher niedrig, und damit auch das Risiko“, erläutert Professor Christian Johner, Leiter des Johner Instituts für IT im Gesundheitswesen. So gebe es in der täglichen Praxis Probleme, die viel gravierender seien. Diese entstünden beispielsweise dadurch, dass Software nicht rechtzeitig gepatched würde – das heißt so viel wie ausgebessert –, Netzwerke nicht getrennt oder Nutzerrechte nicht konsequent vergeben würden, so Johner.

„Bisher gibt es keinerlei Meldungen über unbefugte Zugriffe auf Implantate. Denn es erfordert einen versierten Hacker, entsprechendes Equipment und eine hochkomplexe Verknüpfung von Umständen, um einen Angriff auf die Sicherheit der Geräte zu starten“, erklärt Tinnemans. Maik Pommer, Sprecher des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM), kann dies bestätigen: „Auch uns sind bisher keine Fälle bekannt, in denen die Funktion von Herzschrittmachern der Firma Abbott durch Schwachstellen in der IT-Sicherheit beziehungsweise durch Hacker-Angriffe beeinträchtigt wurde oder Patienten gefährdet wurden. Für Deutschland sind dem BfArM bisher keine diesbezüglichen Vorkommnisse gemeldet worden, auch nicht bei Herzschrittmachern anderer Hersteller.“

Telemedizin bei Kardiologen beliebt

„Mich hat es nicht überrascht, davon zu hören, dass medizintechnische Geräte, auch kardiale Implantate, prinzipiell gehackt werden können. Aber das ist nicht so trivial, wie es auf den ersten Blick aussehen mag“, sagt Thomas M. Helms, Sprecher der Arbeitsgruppe 33 Telemonitoring der Deutschen Gesellschaft für Kardiologie, Herz- und Kreislaufforschung e.V. (DGK). „In der Taskforce E-Health der DGK versuchen wir unter anderem, die IT-Sicherheit und auch das Risikomanagement von kardialen telemedizinfähigen Implantaten (CIEDS) nachhaltig zu diskutieren und Sicherheitslösungen gegenüber den Herstellern einzufordern, um eine Überprüfbarkeit zu realisieren. Dafür sind wir mit der Industrie in einem engen, konstruktiven Gedankenaustausch. Sowohl die Hersteller als auch wir wollen zusammen für und mit den Patienten auf der sicheren Seite stehen.“

In der Kardiologie gehören aktive kardiale Implantate, die den Herzrhythmus analysieren, therapieren und überwachen, zur routinemäßigen Versorgung von Patienten mit Herzrhythmusstörungen, Herzinsuffizienz oder einer Kombination von beidem. Fast alle kardialen Implantate wie Herzschrittmacher, Defibrillatoren (Implantierbarer Kardioverter/Defibrillator, ICD) und kardiale Resynchronisationssysteme (CRT/CRT-D) verfügen heute über die Möglichkeit zum Telemonitoring. In einer Umfrage der DGK gaben bereits vor drei Jahren fast 90 Prozent der stationär oder ambulant tätigen Kardiologen an, telemedizinische Verfahren im Routinealltag zu nutzen. „Der Vorteil für die Patienten und für die behandelnden Ärzte ist immens. Wir können durch Telemonitoring relevante Veränderungen wie Dekompensationstendenzen oder Herz-Rhythmus-Störungen frühzeitig erfassen. Dadurch können wir zu einem früheren Zeitpunkt zum Beispiel mit Medikamenten oder gegebenenfalls invasiven Verfahren gegensteuern. Ohne kontinuierliche Überwachung agieren wir oft erst zeitverzögert und möglicherweise zu spät“, berichtet Helms.

Auch wenn der Einsatz von Telemedizin seit Jahren kontrovers diskutiert wird und die Kostenerstattung weiterhin problematisch ist, favorisieren laut DGK viele Kardiologen den Einsatz von Telemedizin bei Patienten mit diesen Implantaten. „Wir sind absolut daran interessiert, dass die Digitalisierung und damit auch Telemonitoring Einzug hält in das Gesundheitswesen. Es wäre tragisch, wenn wir das nicht nutzen würden. Gerade durch den drohenden Wegfall von niedergelassenen Ärzten auf dem Land wird dem Telemonitoring eine wachsende Bedeutung für die qualitativ hochwertige Versorgung von insbesondere chronisch Kranken zukommen“, resümiert Helms.

Dem Risiko durch Hacker-Angriffe vorbeugen

Ein rotes und ein grünes Schloss. Das grüne Schloss ist geschlossen, das rote geöffnet. Über den dunkelblauen Hintergrund laufen Zahlenreihen.

Schon im vergangenen Jahr hat das BfArM in seinen Empfehlungen auf das Risiko durch ungenügend abgesicherte Netzwerkschnittstellen bei Medizinprodukten hingewiesen. Das Bundesinstitut nennt zwei Normen, die die Hersteller in diesem Zusammenhang berücksichtigen sollten: Medizinprodukte, die über eine Schnittstelle mit einem IT-Netzwerk verbunden werden können, sollten in Sachen Risikomanagement nach EN 14971 überprüft werden. Außerdem sollten Betreiber und Anwender die EN 80001 beachten, wenn sie Medizinprodukte in IT-Netzwerke einbinden.

„Wie bei allen anderen Medizinprodukten auch, sind Hersteller von Herzschrittmachern verpflichtet, diese und andere potenzielle Risiken bereits im Rahmen des Konformitätsbewertungsverfahrens zu berücksichtigen, also bei der Zertifizierung der Medizinprodukte durch die Benannten Stellen. Bei Medizinprodukten, die in IT-Netze eingebunden werden sollen, muss dies im Rahmen der Risikoanalyse vom Hersteller betrachtet und gegebenenfalls müssen risikominimierende Maßnahmen ergriffen werden“, erläutert Pommer. Hersteller seien auch bei bereits zertifizierten und in Verkehr gebrachten Medizinprodukten dazu verpflichtet, neue Erkenntnisse über Risiken kontinuierlich zu analysieren und gegebenenfalls eigenverantwortlich die gebotenen korrektiven Maßnahmen zu ergreifen.

Mit FDA-Guidance-Dokumenten vertraut machen

Hersteller von Medizinprodukten mit telemedizinischen Anwendungen, die eine FDA-Zulassung anstreben, sollten sich beim Thema Cybersecurity mit den Guidance-Dokumenten der US-Regulierungsbehörde vertraut machen. Dazu gehören die beiden Dokumente „Postmarket Management of Cybersecurity in Medical Devices“ und „Content of Premarket Submissions for Management of Cybersecurity in Medical Devices“. Nach Johners Erfahrung wird die FDA bei der Einreichung der Zulassungsdokumente, also „Pre-Market“, untersuchen, ob die Risiken durch Cybersecurity adressiert und beherrscht werden. Zudem verlangt die US-Behörde, dass der Hersteller eine wirksame Marktüberwachung etabliert – „Post-Market“, was beispielsweise bei Inspektionen geprüft wird. „Weder die FDA noch die europäischen Behörden und Benannten Stellen nennen sehr konkrete Anforderungen an die Umsetzung der IT-Security. Das ergibt Sinn, weil die technische Weiterentwicklung sehr rasch erfolgt. Daher sollten Hersteller auch Normen und Best Practices wie die IEC 15408, UL 2900 oder den AAMI TIR 57 beachten“, empfiehlt Johner.

 

„Absolute IT-Sicherheit gibt es nicht.“

 

„Für alle Industriezweige – nicht nur die Medizintechnik – ist heute eine ständige Wachsamkeit zur Abwehr unbefugter Zugriffe oberstes Gebot. Das ist kein statischer Prozess. Deshalb arbeiten wir mit anderen Unternehmen im Gesundheitssektor zusammen, um die für alle Beteiligten wichtigen Themen rund um den fortlaufenden Schutz unserer Geräte und Systeme gemeinsam anzugehen“, lautet das Fazit Tinnemans. Wichtig sei die enge Kooperation mit Regulierungsbehörden überall auf der Welt ebenso wie die Zusammenarbeit mit unabhängigen Sicherheitsexperten, um die Cybersecurity von Implantaten weiter zu stärken. Johner sagt mit Blick auf die Zukunft: „Wir müssen lernen, dass es keine absolute IT-Sicherheit gibt und dass uns das Thema in den nächsten Jahren vermutlich erst richtig einholen wird. Das Fallbeispiel der Herzschrittmacher ist ein sehr kleiner Vorbote von dem, was auf uns noch zukommen wird.“

Mehr im Internet:

© Medizintechnologie.de