Sicherheitsrisiken bei vernetzten Medizinprodukten – Forescout-Analyse

Im geplanten neuen § 4 Abs. 6 Satz 4 MPBetreibV wird geregelt, dass vor Benutzung eines vernetzten Medizinproduktes bei der Verbindung mit einem Netzwerk die Anforderungen des Herstellers hinsichtlich der digitalen Infrastruktur in Bezug auf die Informationssicherheit seiner Produkte zu beachten sind. Damit ist auch der Betreiber gefordert, den Stand der Technik auch bei vernetzten Medizinprodukten zu beachten, § 391 SGB V. Das ist in dem Fall insbesondere die EN 80001-1: 2011 „Risikomanagement für IT-Netzwerke, die Medizinprodukte enthalten“ umzusetzen. Das geschieht keineswegs überall und die Mitarbeiter haben darüber kaum Kenntnisse.

Eine Untersuchung von Forescout zeigt das Risiko auf, das von vernetzten medizinischen Geräten im Internet of Medical Things (IoMT) ausgeht. IoMT-Geräte verbinden Patienten, Ärzte und medizinische Geräte miteinander – einschließlich Krankenhaus-Equipment, Diagnoseausrüstung und tragbarer Technologie –, indem sie Informationen über ein sicheres Netzwerk übertragen. Im Schnitt betreibt jede Einrichtung 2.500 solcher Geräte, nur jedes zehnte wird aktiv vor Malware-Angriffen geschützt.

Über zwei Millionen Geräte in 45 Gesundheitseinrichtungen hat Forescout in der letzten Maiwoche auf Sicherheitsrisiken untersucht. Etwas mehr als die Hälfte davon ließ sich den klassischen IT-Komponenten zuordnen, wozu beispielsweise allgemein nutzbare Workstation-Rechner gehören. Knapp ein Drittel der Geräte verortete der Sicherheitsanbieter im Bereich Internet of Things (IoT), elf Prozent fielen in die Kategorie der Netzwerkgeräte. Fünf Prozent oder in absoluten Zahlen ausgedrückt rund 115.000 Geräte gehörten zu den vernetzten Medizingeräten (IoMT).

Als besonders problematisch stellte sich dabei heraus, dass 52 Prozent der IoMT-Geräte über mit Windows-Betriebssystemen ausgestattet sind, jedoch nur zehn Prozent aktiv durch Anti-Malware-Systeme geschützt werden. Dies ist insofern bedenklich, als sich fünf der zehn häufigsten Sicherheitslücken in Windows-Diensten fanden. Insgesamt zählte Forescout seinem Bericht zufolge 162 Schwachstellen auf IoMT-Geräten, viele davon wurden eigentlich bereits nach 2017 behoben.
Forescout empfiehlt, alle vernetzten Geräte genau zu erfassen und zu klassifizieren, externe Verbindungen sicher zu beschränken und das Netzwerk entsprechend der Geräterisiken zu segmentieren. So könnten Angriffe besser abgewehrt und die Daten der Patienten geschützt werden.¹

Diese Nachricht stammt aus dem Healthcare & Hospital Law Newsletter. Abonnieren Sie hier kostenlos und verpassen Sie keine wichtigen News aus der Branche!

¹ Augsten, Forescout-Analyse Sicherheitsrisiken bei vernetzten Medizingeräten, in: Healthcare digital, im Internet abgerufen am 09.11.2024 unter Sicherheitsrisiken bei vernetzten Medizingeräten.