Medizintechnologie.de IT und Medizintechnik im Krankenhaus Sicherheit mitdenken Moderne OP-Verfahren zielen zunehmend darauf ab, Patienteninformationen, Diagnostik und Assistenztechnologien bei Operationen konsequent miteinander zu verknüpfen. Quelle: Fotolia 21.07.2016 Vor einem Jahr ist das IT-Sicherheitsgesetz in Kraft getreten. Das Ziel: Informationstechnische Systeme sollen hierzulande besser geschützt werden. Kriminelle Hacker scheinen jedoch auf der Suche nach digitalen Schlupfwinkeln immer wieder einen Schritt voraus zu sein. Was dann passieren kann, zeigen die jüngsten Cyber-Angriffe auf Krankenhäuser. Experten sehen IT-Sicherheit heute als einen dynamischen Prozess, der sich in Echtzeit an neue Bedrohungen anpassen oder diese sogar vorhersehen kann. Hersteller sollten sich deshalb bei der Entwicklung ihrer elektronischen Geräte für Klinken und Arztpraxen frühzeitig mit dem Thema IT-Sicherheit beschäftigen. Denn die Klinken werden künftig ihre Sicherheitskonzepte anpassen und dementsprechend einkaufen. Aber auch Regierungen der Zielmärkte werden künftig bei der Zulassung genauer hinschauen, wie sicher die Geräte sind. von Lisa Kempe 1 Cyber-Attacke: Im Ausnahmezustand Die zuständigen Sicherheitsbehörden verzeichnen seit 2015 verstärkte Angriffe von Cyber-Kriminellen auf deutsche Krankenhäuser. Mit Schadprogrammen legen sie für den Klinikbetrieb wichtige Computeranwendungen lahm. Ein Ausfall der Systeme bedeutet eine erhebliche Beeinträchtigung für den Klinikbetrieb und die Patientenversorgung. „Bis zum 12. Februar 2016 waren alle in der Klinik davon überzeugt, dass unsere IT-Systeme sicher sind. Das war eine Fehleinschätzung. Nun arbeiten wir an einem völlig neuen Sicherheitskonzept. Die IT-Sicherheit bekommt nach der Cyber-Attacke einen viel größeren Stellenwert in unserer Klinik“, sagt Werner Kemper, Sprecher der Geschäftsführung des Klinikums Arnsberg. Was war geschehen? An jenem besagten Freitag entdeckten IT-Mitarbeiter eine Schadsoftware in einem Verzeichnis des Kliniknetzwerks. „Unser IT-Chef kam um 16.30 Uhr zu mir und war der Meinung, dass wir einen Virus haben, wichtige IT-Ressourcen waren nicht verfügbar. Damit war klar, dass wir einen Notfall haben. Wir haben sofort das Landeskriminalamt informiert und den Notfallplan in Kraft gesetzt“, sagt Kemper. Offline: Was nun? Viel Zeit blieb der Klinik nicht: Um Schäden und eine Ausbreitung des Virus zu vermeiden, fuhr die Notfall-Einsatzleitung sofort das komplette IT-System mit über 200 Servern "kontrolliert" herunter. Der komplette medizinische Betrieb musste gleichzeitig auf Handbetrieb und konventionelle Kommunikation umgestellt werden. Die besondere Herausforderung dabei: Das Klinikum Arnsberg ist ein Zusammenschluss aus drei Krankenhäusern an unterschiedlichen Standorten. „Da keinerlei Informationen mehr verfügbar waren, was jeweils an den anderen Standorten passiert, mussten wir alternative Kommunikationsstrukturen aufbauen. Also haben wir sämtliche verfügbaren Mitarbeiter von den Technikern bis zu den leitenden „Zuerst kam es zu Verzögerungen in der Angestellten in die Klinik gerufen.“ Die Radiologie, die Systeme wurden langsamer." Das größte Sorge war: Kann die Klinik ohne Lukaskrankenhaus in Neuss wurde Anfang des funktionierende IT die Jahres von Cyberkriminellen attackiert. Patientensicherheit gewährleisten? Denn die digitale Kommunikation mit Kernanwendungen wie dem Krankenhausinformationssystem (KIS), speziellen Anwendungen wie Labor-und RadiologieInformationssystemen, OP-Managementsystemen oder Bildarchivierungssystemen (PACS) hat sich in den vergangenen Jahren zu einer tragenden Säule des Klinikalltags entwickelt. Ein Krankenhaus im Handbetrieb Die Arnsberger improvisierten. Sie mobilisierten alte Faxgeräte, erstellten Listen für die Befunderhebung und Laufzettel am heimischen PC und nutzten ihre eigenen Mobiltelefone für die Kommunikation. Die Patienten mussten nicht evakuiert werden. Die Versorgung konnte sichergestellt werden, da alle wichtigen medizinischen Geräte ohne IT-Netzwerk funktionierten. Allerdings mussten die Klinken ihre Notaufnahmen schließen und konnten keine neuen Patienten aufnehmen. Am Ende dauerte es fast zwei Tage, bis alle Informationssysteme wieder bereit waren und alle Klinik-Standorte an der Notfallversorgung angemeldet werden konnten. Ein System nach dem anderen wurde in einer abgesicherten Umgebung geprüft, bereinigt und schließlich wieder in Betrieb genommen. Das Klinikum Arnsberg war zu diesem Zeitpunkt nicht das einzige Opfer dieser Art von CyberAttacke, bei der eine erpresserische Software, sogenannte Ransomware, das ganze Computersystem einfriert. Im selben Zeitraum hatten weitere Kliniken in Nordrhein-Westfalen, aber auch Industrieunternehmen ähnlich gelagerte Probleme. Meist gelangen die digitalen Viren über E-Mail-Anhänge ins System. Sobald auf einem Computer ein infizierter Anhang geöffnet wird, nimmt das Unheil seinen Lauf: Der Zugriff auf das Computersystem, Netzwerke und Dateien wird gesperrt, der Inhalt ganzer Festplatten verschlüsselt. Cyberkriminelle, die solche Schadsoftware versenden, haben meist nur eines im Sinn – sie fordern Geld. Verstärkter Angriff auf Kliniken Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet seit Mitte September 2015 deutlich mehr Fälle, bei denen Ransomware eine Rolle spielt. Offenbar funktioniert das erpresserische Geschäftsmodell gut. Das Risiko für die Erpresser scheint gering zu sein, da der Geldtransfer direkt über anonyme Zahlungsmittel wie zum Beispiel den digitalen Bitcoins eingefordert wird. Das BSI rät allen, keinesfalls auf diese Lösegeldforderungen einzugehen. „Zuerst kam es zu Verzögerungen in der Radiologie, die Systeme wurden langsamer. Schon nach dem Auftreten der ersten Symptome haben wir den Krisenstab gebildet und uns entschieden, alle Systeme sicherheitshalber herunterzufahren", sagt Nicolas Krämer, Kaufmännischer Geschäftsführer des Lukaskrankenhaus in Neuss. Auch dieses Krankenhaus wurde von Cyberkriminellen attackiert. "Wir Dr. Nicolas Krämer ist Kaufmännischer mussten die gesamte Klinik auf Geschäftsführer des Lukaskrankenhaus in Neuss. Handbetrieb umstellen, weil wir Quelle: Lukaskrankenhaus Neuss keinen Zugang mehr zu unserem KIS hatten. Gleichzeitig gab es kein SAP mehr, keine elektronische Befundübermittlung, kein Internet, keine E-Mails. Der Zugriff auf Kontaktdaten, OP-Pläne und Terminkalender war nicht mehr möglich. Auch die Systeme für die Strahlentherapie waren betroffen.“ Faktor Mensch Bereits Tage vorher gingen im Krankenhaus verstärkt E-Mails mit unbekannten Absendern ein. Aus diesem Grund erhielten alle Mitarbeiter noch kurz zuvor eine Virenwarnung, mit dem Hinweis, dass E-Mails von unbekannten Absendern oder mit verdächtigen Anhängen wie „Rechnung“ oder „Mahnung“, potenzielle Quellen für Viren sein können. Dennoch konnte es zu einem Angriff über den E-Mail-Server kommen. „Das beste Sicherheitssystem hilft nichts, wenn der Faktor Mensch ins Spiel kommt“, sagt Krämer. Doch nicht nur E-Mail-Anhänge können Viren enthalten, immer öfter erfolgt der Angriff über sogenannte Drive-By-Exploits, die auf infizierten Webseiten oder Werbebannern im Internet lauern. Diese gut versteckten Anwendungen nutzen Sicherheitslücken in Webbrowsern, in deren Plug-ins oder im Betriebssystem. Die Schadsoftware installiert sich unbemerkt auf dem Computer, während der Nutzer die Webseite betrachtet – ganz ohne aktive Interaktion. Mehr im Internet: Themenpapier des BSI zu Ransomware: Informationen für Opfer von Cyber-Kriminalität 2 Kliniken im Dauerfeuer Neue Konzepte sind dringend gefragt. Denn in Sachen IT-Sicherheit haben Krankenhäuser hierzulande Nachholbedarf. Obwohl die Angriffe zunehmen, scheinen Kliniken noch nicht mit dieser ständigen Bedrohungslage umgehen zu können. Die Zahlen sind beeindruckend: Die Experten des BSI schätzen die Gesamtzahl der Schadprogrammvarianten auf über 439 Millionen im Jahr 2015. Die Tendenz ist steigend, denn neue Varianten werden automatisch generiert und verbreitet. Die Cyber-Angriffe auf die Krankenhäuser in Neuss und Arnsberg waren keine gezielten Attacken. Für eine Schadsoftware stehen Tür und Tor offen, wenn IT-Systeme ungenügend gepflegt, Administrator-Passworte lax gehandhabt oder Netzwerke nicht segmentiert werden. Es ist fatal, wenn dann Software-Backups fehlen oder veraltet sind. Doch selbst wenn alle technischen Sicherheitstools auf dem neusten Stand sind – meist spielt der Faktor Mensch eine entscheidende Rolle. Den Nutzern der Computer fehlt oft das Problembewusstsein. IT-Sicherheit permanent weiterentwickeln Die Geschäftsführung vom Klinikum Arnsberg glaubte vor der Cyber-Attacke über ein leistungsfähiges IT-Sicherheitskonzept zu verfügen. Es beinhaltete eine zweistufige AntivirenLösung, Firewalls, geteilte IT-Systeme in sichere und offene Bereiche sowie eine gut strukturierte IT-Landschaft. „Umso besorgniserregender war es, dass weder die eingesetzten Antiviren- noch Reputations-Lösungen in der Lage waren, die Bedrohung zu erkennen oder abzuwehren", sagt Kemper. und er fügt hinzu: "Um weitere Angriffe künftig bestmöglich ausschließen zu können, verschärfen wir nun unser Sicherheitskonzept. In die Risikoanalyse und Neuorganisation der Netze haben wir nun weitere spezialisierte Dienstleister mit eingebunden.“ Das neue Sicherheitskonzept in Arnsberg basiert auf vier Sicherheitsebenen und sieht sowohl präventive als auch reaktive Maßnahmen vor. Die Ebene Organisation beinhaltet rein präventive Maßnahmen, die sich mit den Nutzungsbedingungen und dem Problembewusstsein der Mitarbeiter befassen. Die Mitarbeiter werden besser informiert und für das Thema IT-Sicherheit sensibilisiert. Keinerlei private Nutzung der EDV-Systeme wird in der Klinik mehr möglich sein. Werner Kemper ist Sprecher der Geschäftsführung Neue Dienstvereinbarungen und des Klinikums Arnsberg. Verpflichtungserklärungen regeln die Quelle: Klinikum Arnsberg Nutzung elektronischer Kommunikationssysteme mit den Mitarbeitern. Weniger Angriffsfläche Die zweite Sicherheitsebene widmet sich der Verkleinerung der Angriffsoberfläche und beinhaltet technische Maßnahmen, die den Datenaustausch nur auf eng begrenzten Wegen freigeben: Das Versenden von E-Mails sowie der Internet-Zugang kann nur noch über den zentral zur Verfügung gestellten und gesicherten Klinik-Desktop erfolgen. Ein Dateiaustausch wird nur an festgelegten Endgeräten unter Nutzung freigegebener Datenträger möglich sein. Der Zugriff auf soziale Netzwerke über das Internet, Webmaildienste oder andere für private Belange genutzte Seiten wird technisch unterbunden. Es findet ein Whitelisting für Programme und Anwendungen statt: Diese können nur gestartet werden, wenn sie zugelassen sind. Die dritte Sicherheitsebene basiert auf Filtern, die den Datenfluss besser überwachen und verdächtiges Verhalten blockieren. E-Mails mit Anhängen werden restriktiv gehandhabt, bestimmte Dateitypen werden komplett gesperrt, alle anderen werden dreistufig auf Viren getestet und zusätzlich automatisiert auf unzulässiges Verhalten geprüft. Gleiches gilt für Downloads. Sobald ein Sicherheitsvorfall registriert wird, kommt das betroffene System automatisch in Quarantäne. Die vierte Sicherheitsebene dient der Überwachung in Echtzeit. Das als SIEM (Security Incident and Event Management) bezeichnete System wird Daten aus allen IT-Systemen registrieren und analysieren. Bei sicherheitsrelevanten Vorgängen reagiert es automatisch, indem es beispielweise Benutzer sperrt oder verdächtige Prozesse beendet. „Die dynamische Gefährdungslage mit immer häufiger und zunehmend professioneller ausgeführten Angriffen erfordert eine permanente Aktualisierung des IT-Sicherheitskonzeptes. Anders lässt sich ITSicherheit nicht aufrechterhalten“, sagt Kemper. Mehr im Internet: Lagebericht des BSI zur It-Sicherheit in Deutschland 2015 3 IT-Sicherheit ausbauen Ransomeware war gestern. Advanced Persistent Threats gehören zu den jüngsten Bedrohungen. Im Interview erläutert Sicherheitsexperte Timo Baumann von der Telekom Healthcare Solutions, warum IT-Sicherheit in Kliniken neu gedacht und entsprechend aufgestellt werden muss. Wo sehen Sie im Krankenhaus die größte Gefahr durch Cyber-Angriffe? Timo Baumann: Die größten technischen Schwachstellen liegen dort, wo wir sie gar nicht sehen: Sogenannte Zero-Day-Exploits nutzen unbekannte Sicherheitslücken in Webbrowsern und Betriebssystemen, um Schadsoftware unbemerkt zu installieren. Was können Unternehmen dagegen tun? Sie müssen die Muster zu erkennen, die bei Cyber-Angriffen zum Einsatz kommen. Organisatorisch liegt die Schwachstelle oft darin, dass ITSicherheit nicht gesamthaft und systematisch angegangen wird. Das bedeutet, es geht um Mitarbeiter, aber auch Arbeitsabläufe und die eingesetzten Werkzeuge. IT-Sicherheit ist kein Tool, sondern ein andauernder Prozess, und der muss dauerhaft im Unternehmen verankert sein. Denn Timo Baumann ist für das Business Development Cyber-Angriffe bedrohen letztlich die bei Telekom Healthcare Solutions verantwortlich. Erlöse und die Arbeitsabläufe. Im schlimmsten Fall muss sich ein Krankenhaus von der Notfallversorgung abmelden und geplante Eingriffe verschieben. Advanced Persistent Threats (APT) nutzen eine perfekte Tarnung um sich unbemerkt und dauerhaft in IT-Systemen einzunisten. Die Angreifer haben viel Zeit, sich im Netzwerk Rechte anzueignen und Daten auszuspionieren. Welches Handwerkszeug ist notwendig, um diese gezielten Angriffe abzuwehren? Das Prinzip besteht darin, mögliche Gefahren zu erkennen, indem man Abweichungen von einem Normalzustand identifiziert und analysiert. Das ist die Funktionsweise eines Sicherheitsinformations- und Ereignis-Managements, kurz SIEM. Wie funktioniert so ein SIEM? Wenn etwa im Active Directory ein neuer Admin-User angelegt wird und gleichzeitig der Netzwerkverkehr zunimmt, könnte dies ein Indiz für das Vorhandensein eines Advanced Persistent Threats sein. Eine SIEM-Lösung muss nicht vollständig im Krankenhaus installiert werden. Dort werden nur Sensoren implementiert. Diese lauschen beispielsweise an den Logdateien des Virenscanners oder der Firewall. Die Auswertung dieser Sensoren kann in einem entfernten Rechenzentrum stattfinden. Das klingt nach hohem Mehraufwand und viel Geld. Wie können sich Kliniken so etwas überhaupt leisten? Die Telekom bietet beispielsweise kundenspezifische Cyber Defense Server auf einer MultiMandanten-Umgebung, die sich mehrere Kunden teilen. Dieses Vorgehen bietet zwei große Vorteile: Die Technologie ist kostengünstig und das Wissen um aktuelle Sicherheitsbedrohungen steht rasch zur Verfügung, da die Muster aktueller Bedrohungen in einer Art Community unternehmensübergreifend ausgetauscht werden. Durch diesen Ansatz wird eine Vielzahl von IT-Sicherheitstools auch für die Krankenhäuser erschwinglich. Bisher war das Kliniken oft verwehrt, da die IT-Budgets in der Gesundheitsbranche deutlich geringer ausfallen als beispielsweise im Automobilbau oder bei Banken. Vielen Dank für das Interview 4 Regulierung für IT-Sicherheit im Gesundheitswesen in Sicht Vergangenes Jahr trat das IT-Sicherheitsgesetz in Kraft. Das hat auch Auswirkungen auf das Gesundheitswesen. Im kommenden Jahr soll eine Verordnung erlassen werden, wonach auch Kliniken ihre IT und Medizintechnik stärker als bislang absichern müssen. Ein Vorreiter der Digitalisierung in deutschen Kliniken erfüllt bereits heute diese Sicherheitsstandards. Bestimmte Bereiche wie etwa in der Energie- und Wasserversorgung, in der Informationstechnik und Telekommunikation sowie im Gesundheitswesen können aufgrund ihrer herausragenden Bedeutung für das Wohlergehen der Bevölkerung als Kritische Infrastrukturen (KRITIS) angesehen werden. Damit sind Unternehmen, Organisationen und Einrichtungen gemeint, bei deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe oder andere dramatische Folgen eintreten würden. Seit vergangenem Jahr sind diese aufgrund des Gesetzes zur Erhöhung der Sicherheit Informationstechnischer Systeme (IT-Sicherheitsgesetz, IT-SiG) verpflichtet, die Verfügbarkeit ihrer Dienste sicherzustellen. Demnach müssen Betreiber kritischer Anlagen künftig einen Mindeststandard für die IT-Sicherheit einhalten. Und: Vorfälle, bei dem ihre IT-Sicherheit gefährdet wurde, müssen sie dem BSI melden. Verordnung für Gesundheitswesen kommt 2017 Im April ist die erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes erlassen worden. Sie definiert bislang nur die Kritischen Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Für den Bereich Gesundheit sind die Verhandlungen über die Schwellenwerte noch nicht abgeschlossen. Hier wird die entsprechende Verordnung vermutlich Ende 2017 erwartet. Aber dann ist damit zu rechnen, dass die betroffenen Unternehmen und Organisationen Sicherheitskonzepte nach dem Stand der Technik umsetzen müssen. Der IT-Grundschutz muss alle zwei Jahre auditiert und das Ergebnis dem BSI gemeldet werden. Der Informationssicherheits-Standard ISO 27001 gibt hier den Weg vor und regelt die Planung, Einrichtung, Aufrechterhaltung und ständige Verbesserung eines Information Security Management Systems (ISMS). Um der im IT-SiG vorgeschriebenen Meldepflicht für Sicherheitsvorfälle nachzukommen, muss ein Warn- und Alarmierungskonzept für Betriebsstörungen ausgearbeitet werden. Darüber hinaus muss ein Business Continuity Plan für die kritischen Infrastruktur erstellt werden, der die Weiterführung des Betriebs im Störungsfall sicherstellt, ebenso ein DisasterRecovery-Konzept. Sobald die branchenspezifischen IT-Sicherheitsverordnungen in Kraft treten wird, haben die betroffenen KRITIS-Betreiber sechs Monate Zeit, die Meldepflicht beim BSI zu realisieren. Für die Umsetzung der Sicherheitsrichtlinien nach dem aktuellen Stand der Technik bleiben weitere zwei Jahre Zeit. Digitalisierung ist große Baustelle in Kliniken Die Digitalisierung ist eine sehr große Baustelle in deutschen Kliniken. Laut HIMMS Europe investieren die Krankenhäuser durchschnittlich 1,7 Prozent ihrer jährlichen Betriebsausgaben in IT. Zum Vergleich: Die Dänen kommen auf 2,9 Prozent und die Niederländer auf 3,8 Prozent. Vergleicht man den Reifegrad der elektronischen Patientenakten, ist Deutschland mit einem EMRAM-Score von 1,7 weit abgeschlagen, auch hier sind die Niederländer (4,6) und Dänen (5,7) führend. Das erste Krankenhaus in Deutschland, das entsprechend der ISO 27001 ein ITSicherheitszertifikat auf Basis des IT-Grundschutz vom BSI erhalten hat, ist das Universitätsklinikum Hamburg Eppendorf (UKE). Hier stehen für die rund 6.000 Mitarbeiter 1.200 Server sowie 18.000 Netzgeräte mit 150 produktiven Anwendungen zur Verfügung. Vier Millionen Patientenakten mit 30 Millionen Dokumenten werden damit verwaltet. Aufrüstung der IT lohnt sich Seit dem Jahr 2009 arbeitet das UKE mit der elektronischen Patientenakte komplett papierlos. Zwei Jahre hat es danach gedauert, bis die Hamburger ihr IT-System mit drei unterschiedlichen Sicherheitszonen für die erfolgreiche Zertifizierung fit gemacht hatten. Drei Millionen Euro wurden investiert. Der Großversorger profitiert nicht nur in puncto Sicherheit von seiner IT-Aufrüstung. Denn es werden keine Patientenakten mehr gesucht. Die Daten sind immer aktuell und vollständig. Die Datensicherheit hat ebenso gewonnen wie die Prozess- Steuerung, die Effizienz und die Patientensicherheit, sagt Henning Schneider, Leiter des Geschäftsbereichs IT am UKE. Das Lukaskrankenhaus in Neuss strebt nun ebenfalls eine Zertifizierung nach BSI-Standard an. „Ein halbes Jahr nach dem Sicherheitsvorfall ist die vollständige Revitalisierung der ITSysteme immer noch nicht abgeschlossen. Ein Problem ist die hohe Komplexität unserer ITLandschaft“, sagt Krämer. Rund eine Million Euro betragen die Kosten, die dem Lukaskrankenhaus durch den Ransomware-Angriff entstanden sind - vor allem durch die Honorare für externe IT-Dienstleiter und Beratungsunternehmen. „Wir begreifen die Krise als Chance, und wir werden die Digitalisierung in unserem Krankenhaus weiter vorantreiben“, sagt Krämer. Mehr im Internet: Internetplattform zum Schutz Kritischer Infrastrukturen IT-Sicherheitsgesetz Risikoanalyse Krankenhaus-IT EMRAM-Evaluation für Krankenhäuser 5 Medizintechnik und IT – zwei schwierige Partner Vernetzte Medizintechnik ist anfällig für Cyber-Angriffe. Der Experte Frederik HumpertVrielink rät Herstellern, frühzeitig ihre Produkte IT-sicher zu machen. Denn erste Regierungen schauen bei der Zulassung bereits genauer hin. Wo sehen Sie bei Medizintechnik im Krankenhaus die größte Gefahr für Cyber-Angriffe? Frederik Humpert-Vrielink: Es handelt sich nicht um einzelne Gerätegruppen, sondern das ist ein systemisches Problem. Sicherheitslücken in Medizingeräten müssen oft über Jahre durchgeschleift werden, da die Entwicklungs- und Produktlebenszyklen in der Medizintechnik sehr lang sind. So sind heute noch Geräte mit alten System-Versionen oder ohne Virenschutz im Einsatz, die oft große Sicherheitsgefahren bergen. Vor allem bei denjenigen Geräten, die erst in den letzten Jahren netzwerkfähig gemacht wurden. Hier sind große Schwachstellen zu finden. Möglicherweise hilft hier die Post-Market Cyber-Security Guidance der FDA, mit der die Amerikaner versuchen, mehr Sicherheit in vernetzte Geräte zu bekommen. Stichwort Risikomanagement: Wo hapert es in den Krankenhäusern in Bezug auf IT und Medizintechnik besonders? Überall. Die wenigsten Krankenhäuser verfügen über ein kontrolliertes und strukturiertes Risikomanagement für Medizingeräte, die in Netzwerke integriert werden. Hier muss dringend etwas geschehen, aber solange der Gesetzgeber Medizingeräte nicht als Frederik Humpert-Vrielink ist Geschäftsführer der Cetus Consulting GmbH. Quelle: Cetus Consulting GmbH IT, sondern als etwas anderes einstuft, besteht hier eine große Grauzone. Eine rechtliche Verpflichtung, die nicht nur über Umwege, sondern direkt gilt, wäre hilfreich, ebenso wie eine bessere Ausbildung der Risikomanager. Es wäre sehr gut, wenn Medizintechnikhersteller Sicherheit bereits beim Produktdesign, im Produktrisikomanagement und in der Zweckbestimmung berücksichtigen würden. Damit wäre viel gewonnen. Zwischen Medizintechnik und IT müssen noch viele kulturelle und strukturelle Gräben überwunden werden. Was haben Medizintechnik-Hersteller von neuen nationalen und internationalen Sicherheitsstandards zu erwarten? Das IT-Sicherheitsgesetz verpflichtet Betreiber, Sicherheitskonzepte für kritische Infrastrukturen vorzulegen. Damit sind die Hersteller zukünftig im Einkaufsprozess der Betreiber gefragt, tragfähige Sicherheitskonzepte vorzulegen. Eine direkte Auswirkung auf die Hersteller ist aber aktuell nicht vorgesehen. Anders ist dies in den USA. Die FDA verpflichtet zukünftig Hersteller, ihre Geräte im Markt auf Cyber-Risiken kontinuierlich zu prüfen. Damit könnte im amerikanischen Markt mangelnde IT-Sicherheit das Aus für Geräte bedeuten. Ich würde es begrüßen, wenn Hersteller ihre Geräte aufgrund mangelnder Sicherheit auch in Deutschland zurückziehen müssten. Dann würde der Druck steigen und ein Umdenken einsetzen. Mehr dazu im Internet: Leitlinien-Entwurf der FDA „Cybersecurity in Medical Devices“: Veröffentlichungen der Cetus Consulting © Medizintechnologie.de