IT-Sicherheit in der Schweizer Medizintechnik: Leider nicht beschwerdefrei
Die Gesundheitsbranche entwickelt sich rasant weiter und der Nachholbedarf an IT-Sicherheit ist gross. Viele Risiken, die im aktuellen Cyber Security Threat Radar aufgelistet sind, betreffen auch die Medizintechnik. Swisscom Security Experte Martin Lechmann beschreibt, wie die Verantwortlichen darauf reagieren sollten.
Text: Andreas Kunkel, Martin Lechmann, Bilder: Unsplash, 01. Juni 2021 4 Min.
Im Cyber Security Threat Radar 2020/2021 ist ein ermutigendes Fazit zu lesen: «Signifikante Anstiege der Gefahren in der digitalen Welt konnten unsere Experten des Security Operation Center von Swisscom nicht feststellen.» Gleichzeitig betont der Report aber auch, dass die Bedrohungslage nach wie vor gegeben und der Handlungsbedarf weiterhin hoch ist. Meiner Ansicht nach gilt das insbesondere für die Medizintechnikbranche. Auch wenn hier die Anzahl und Qualität der Angriffe und anderer Cyberrisiken mit der Gesamtsituation in der Schweiz vergleichbar ist: Die Medizintechnik lebt von und mit einigen Merkmalen, die in Bezug auf Cyber Security ein besonderes Gewicht haben. Dazu gehört nicht nur die wirtschaftliche Relevanz der Branche (fast 60‘000 Menschen erwirtschaften einen Umsatz von mehr als 15 Milliarden Schweizer Franken) sowie die aktuell rasante (und notwendige) Weiterentwicklung der Vernetzung in der Gesundheitsbranche an sich. Dazu gehört vor allem die grundlegende Bedeutung für die Lebensqualität aller Personen in der Schweiz. Neben Funktionalität und Zuverlässigkeit haben deshalb auch absolute Sensibilität und bedingungslose Sicherheit im Umgang mit den Patientendaten höchste Priorität.
Neue Medizinprodukteverordnung
Umso problematischer ist die Tatsache, dass eine grosse Anzahl medizintechnischer Geräte vieler Gesundheitseinrichtungen in der Schweiz noch nicht ausreichend ausgestattet sind, um eine angemessene Sicherheit zu bieten. Viele wurden noch als stand-alone Geräte in Betrieb genommen. Für die Vernetzung zur IT-Infrastruktur fehlen sichere Schnittstellen und ein effizientes Monitoring. Auch deshalb müssen ab 26. Mai 2021, mit dem Inkrafttreten der neuen Medizinprodukteverordnung, alle Schweizer Hersteller die Cybersicherheit der von ihnen in Verkehr gebrachten Geräte gewährleisten ‒ähnlich wie das im EU-Raum bereits Vorschrift ist. Doch ohne die Mitarbeitenden im sicheren Umgang mit Informatikmitteln zu sensibilisieren und über aktuelle Cyberbedrohungen aufzuklären, wird das kaum reichen. Denn erst dann werden beispielsweise der via Mail oder USB übertragenen Ransomware oder Phishing-Attacken die Grundlage entzogen. Angriffe wie auf eine grosse Schweizer Privatklinikgruppe im vergangenen Jahr sind dann zumindest deutlich erschwert.
Besondere Zeiten – besondere Massnahmen?
Dass sich – wie vielerorts kolportiert – die Covid-19-Pandemie signifikant auf das Sicherheitsniveau im Bereich MedTech auswirkt, ist derzeit nicht zu belegen. Der Cyber Security Threat Radar von Swisscom weist allerdings zu Recht darauf hin, dass gerade durch das vermehrte Arbeiten im Homeoffice zwar nicht unbedingt neue, aber vermehrte Risiken bei der IT-Sicherheit entstanden sind. Ausgangspunkte dafür sind unter anderem die rapide Zunahme bei der Nutzung von kollaborativen Programmen wie Microsoft Office 365 und anderen cloudgetriebenen Anwendungen zur externen Datennutzung sowie die verstärkte Kommunikation etwa via Webex, Teams oder Zoom.
Der generelle Trend zur Cloudnutzung ist auch im medizintechnischen Bereich angekommen. Und das mit einschneidenderen Konsequenzen: Denn wenn hier patientenidentifizierbare Informationen weitergegeben werden oder spezielle Cloud-Interfaces den automatisierten Datenaustausch von Herzschrittmachern mit behandelnden Ärzten oder Spitälern möglich machen, wird das Augenmerk künftig auch darauf liegen müssen, wie Daten und Datenfluss zuverlässig kontrolliert werden können und manipulationsfrei bleiben. Es gibt zwar bereits heute einige Indikatoren, dass entsprechende Projekte in der Schweiz aufgegleist werden. Noch aber ist die Medizinbranche von dem Sicherheitsniveau entfernt, auf dem sich beispielsweise die Überwachungsfunktionalität auf dem Finanzsektor bewegt. Spezifische Monitoring Funktionen wie z.B. die Inbetriebnahme eines Security Operation Center (SOC) befinden sich erst im Aufbau.
Zusätzlich spielen Fragen etwa nach der zunehmenden Dominanz einzelner Hersteller und Dienste eine Rolle. Oder auch, welche Auswirkungen Angriffe auf die kritische Infrastruktur (z.B. Strom- und Übertragungsnetze) oder auf eher klassische Bereiche wie Schwachstellen in der Organisation oder das Nutzen von Zugangsknoten etwa in Arztpraxen oder den Spitälern haben. Der Cyber Security Threat Radar zählt hier eine ganze Reihe auf, die natürlich auch den medizintechnischen Sektor in der Schweiz betreffen. Weil es sich unter Umständen aber um frei zugängliche Gebäude handelt, in denen Personal, Hilfesuchende und Besucher ein- und ausgehen, öffnet sich hier – in Bezug auf die IT-Sicherheit - eine «natürliche Schwachstelle». Andere Bedrohungen, etwa durch technische Neuerungen wie 5G oder durch künstliche Intelligenz verursachte spezifische Versuche der Manipulation, spielen dagegen aktuell eine noch geringe Rolle.