Skip to main content

Sichere IoT-Lösungen für vernetzte medizinische Geräte

Secure IoT solutions for eHealth applications

Die Vernetzung im Gesundheitswesen hat das Potenzial, die Autonomie von Patienten zu erhöhen, Ärzte bei der besseren Versorgung zu unterstützen und den Druck auf das Gesundheitssystem zu verringern. Sie wird durch intelligente Geräte, welche mit Wearable‑Sensoren, die mit der Cloud verbunden sind, KI‑basierte Datenanalyse und andere smarte Geräte ermöglicht. Aber damit das Potenzial der vernetzten Gesundheitsversorgung voll ausgeschöpft werden kann, muss die Cybersicherheit im Gesundheitswesen zunächst als ein zentrales Anliegen der öffentlichen Gesundheit betrachtet werden, das höchste Aufmerksamkeit erfordert. Deshalb verschärfen Regierungsstellen und Regulierungsbehörden die Anforderungen an die Cybersicherheit von Medizinprodukten zunehmend.[1]  

Die Vernetzung im Gesundheitswesen ist verwundbar durch Angriffsflächen, die Hacker nutzen können. Sie befinden sich nicht nur in den Wearables der Patienten, die alles von Herzfrequenz, Körpertemperatur und Blutdruck bis hin zu Ihrem Blutsauerstoffgehalt, Stress Level und Blutzuckerspiegel messen, sondern auch in medizinischen Geräten, die im Krankenhaus verwendet werden. Und sie erstrecken sich in die Cloud, wo ein Grossteil der gesammelten Daten gespeichert und analysiert wird.

Kein Wunder also, dass sich medizinische Daten zu einer Goldmine für Hacker entwickelt haben – und zwar einer richtig kostbaren. Abgesehen von der Störung der Patientenversorgung können die Hacker die gesammelten Daten nutzen, um Identitätsdiebstahl zu begehen, Ransomware‑Angriffe einzurichten, Daten aus der F&E zu stehlen, Lieferketten zu stören und Aktienkurse zu manipulieren.[1] Laut einer Studie des Ponemon Institute liegen die Pro‑Kopf‑Kosten von Datenschutzverletzungen im Gesundheitswesen weit über denen anderer Branchen. Ganz zu schweigen vom potenziellen körperlichen Schaden, der durch Hacking in vernetzte, für die Gesundheit wichtige Geräte wie Herzschrittmacher oder Medikamenten‑Dispensern verursacht werden kann. Und vergessen wir nicht, dass Sicherheitsverletzungen zu Datenschutzverletzungen führen, wenn personenbezogene Daten preisgegeben werden.

Vom Gerät bis in die Cloud

Zumindest auf dem Papier haben wir dieses Problem so weit gelöst, dass wir uns nichts mehr dabei denken, unsere Finanzdaten einer E‑Banking‑Software anzuvertrauen. Ansätze wie die Verschlüsselung mit öffentlichem Schlüssel verhindern zuverlässig, dass Hacker abgefangene Daten interpretieren können. Ebenso können Public‑Key‑Zertifikate verwendet werden, um sicherzustellen, dass die auf Geräten laufende Software nicht manipuliert wurde. 

Aber Risse in der Rüstung der IoT‑Sicherheit treten in Anwendungen auf, die im Gegensatz zum Online‑Banking nicht vollständig von einem einzigen Hersteller kontrolliert werden können. Vernetzte Geräte im Gesundheitswesen gehören zu dieser Kategorie.

Wie kann also die Sicherheit in Anwendungen angegangen werden, die Hard- und Softwareelemente mehrerer Anbieter umfassen? Bei u‑blox argumentieren wir schon lange, dass es darum geht, einen sicheren Ausgangspunkt zu schaffen. Wir bezeichnen das als sicheren Vertrauensanker. Einmal eingerichtet, kann er die Grundlage für eine Vertrauenskette vom Gerät durchgängig bis zum Ende der Anwendung bilden.

Die fünf Säulen der IoT‑Sicherheit

Bei u‑blox haben wir einen fünfstufigen Ansatz für die IoT‑Sicherheit entwickelt, die sogenannten fünf Säulen der IoT‑Sicherheit, die wir in unserem Technologieportfolio von Wireless‑Modulen einsetzen. Es beginnt damit, dass nur authentifizierte Firmware auf unseren Modulen laufen kann. Das nennen wir „Secure Boot“. Sichere Firmware‑Updates (FOTA) sorgen dann dafür, dass nur authentifizierte und validierte Updates auf die Hardware geladen werden können.

Die dritte Säule der Sicherheit wird auf der Ebene der physischen Schnittstellen und APIs angewendet. Dort erhalten nur autorisierte Benutzer einen eindeutigen Zugriff für die Konfiguration von u‑blox Modulen in den Medizinprodukten. Die Sicherheit auf der Ebene der Transportschicht sorgt dafür, dass die Kommunikation mit dem Server verschlüsselt ist, um Man‑in‑the‑Middle Angriffe zu vermeiden. Und die letzte, fünfte Säule der Sicherheit bietet Robustheit gegen Softwareangriffe und erkennt mögliche Angriffe auf Funkschnittstellen

Eine konzertierte Aktion

Bis heute überlegen sich zu viele Akteure im Bereich Vernetzung im Gesundheitswesen erst im Nachhinein, dass sie ihre Anwendungen gegen bösartige Angriffe absichern sollten. Es ist verständlich, dass mehr Ressourcen für die Entwicklung der Hauptfunktionen ihrer Anwendungen aufgewendet werden. Gleichzeitig gilt es aber zu erkennen, dass suboptimale Sicherheit letztendlich die Bemühungen untergräbt, die öffentliche Akzeptanz und Unterstützung für Vernetzung im Gesundheitswesen zu stärken, da jeder neue Datenverstoss das schwer verdiente Vertrauen in Internet of Things und seine Anwendungen beeinträchtigt.

Die Entwicklung sicherer Lösungen für die Vernetzung im Gesundheitswesen erfordert ein gemeinsames Vorgehen aller an der IoT‑Kette Beteiligten: eine konzertierte Aktion. Da es sowohl um die Vorteile der Vernetzung im Gesundheitswesen für die Patienten als auch um das Wachstum des vernetzten Gesundheitssektors geht, engagieren wir bei u‑blox stark bei Aktivitäten, die dafür sorgen, dass die Sicherheit bei der Entwicklung unserer neuen Geräte im Mittelpunkt steht und höchste Aufmerksamkeit erfährt.

Unsere fünf Säulen der Sicherheit sind ein Element in diesem Bestreben. Ein weiterer Punkt ist die enge Zusammenarbeit mit unseren Kunden, um sicherzustellen, dass sie die richtigen Fragen stellen, die richtigen Werkzeuge einsetzen und die richtigen Massnahmen ergreifen, um gefährdete Angriffsflächen abzusichern. Und wenn sich neue Schwachstellen entwickeln, was unweigerlich der Fall sein wird, setzen wir uns dafür ein, Sicherheitspatches zu liefern, die für die durchgängige Sicherheit unserer Funkmodule sorgen.

Unter der Voraussetzung, dass die zukünftige Vernetzung im Gesundheitswesen einen starken Schutzpanzer hat, werden wir alle davon profitieren. Wir alle, das heisst, ausser den Hackern. 

 

[1] Report on improving cybersecurity in the health care industry, Health care industry cybersecurity task force, May 2017