Medizintechnik-Branche vor grossen Veränderungen

Warum eHealth nur mit starker Informationssicherheit funktioniert

22 Oktober 2018
| |

Es ist nicht nur alles hackbar, es wird auch alles gehackt. Es ist nur eine Frage der Zeit, bis Cyber-Kriminelle vermehrt kritische Systeme manipulieren und lahmlegen. Davon ist die Pharma- und MedTech-Branche nicht ausgenommen. Da es dort um Menschenleben geht, kommt der Informationssicherheit ein umso höherer Stellenwert zu.

Die Kosten für Datenschutzverletzungen betragen für ein Unternehmen durchschnittlich 3.86 Millionen Dollar pro Angriff. Ein gestohlenes Dossier kostet im Durchschnitt 148 Dollar. Der Gesundheitssektor schwingt dabei oben heraus: Hier liegen die Kosten rund 2.8 Mal höher – bei 408 Dollar pro Dossier. Dies macht die Branche zu einem überdurchschnittlich attraktiven Ziel für Angreifer.

Ein Angriff auf Pharma- oder MedTech-Unternehmen trifft diese jedoch nicht nur aufgrund des finanziellen Aspekts. Der Kontrollverlust über die Datenhoheit oder verwendete Machine-Learning-Algorithmen gefährdet im Extremfall Menschenleben. Wird ein Hersteller von Herzschrittmachern Opfer eines Cyber-Angriffs, obliegt den Angreifern schnell die Kontrolle über den Herzschlag und damit über das Leben der Patienten. Gleiches gilt, wenn Hersteller grundlegende Sicherheitsmassnahmen nicht einhalten.

Digitalisiertes Gesundheitswesen

In den aufkommenden Ökosystemen des Gesundheitswesens spielen intelligente Medizinprodukte eine immer wichtigere Rolle. Die Produkte zeichnen sich unter anderem durch ihre hohe Konnektivität aus. Sie verbinden den Patienten direkt mit Krankenhäusern, Ärzten, Krankenpflegern, Versicherungen, Gesundheitsämtern, Zentrallaboren und Forschungseinrichtungen. Das Schmiermittel dieser Ökosysteme ist eine gigantische Menge an teils hochsensiblen Daten, die heute wertvoller sind als Kreditkartennummern.

Intelligent vernetzte Ökosysteme bringen nichtsdestotrotz auch im Gesundheitswesen eine Reihe von Vorteilen mit sich:

  • Bessere Analyse-Qualität durch neuartige Messverfahren im Bereich Big Data und Machine Learning, sowohl in grossen Zentrallaboren als auch am Patienten selbst, etwa durch digitale Biomarkers
  • Direkt verfügbare Resultate, unabhängig von Ort und Zeitzone
  • Folglich höhere Behandlungsqualität der Patienten durch intensivierten Kontakt, bessere Begleitung bei der Kontrolle und schliesslich durch personalisierte Medizin dank Big-Data-getriebenem Machine Learning
  • Kostenersparnisse durch neuartige Business-Modelle
  • Höhere Benutzerfreundlichkeit und verbessertes Kundenerlebnis etwa durch den Einsatz von Chatbots und Kollaborationsplattformen

Allerdings gelten diese Vorteile nur solange das System nicht durch eine Schadsoftware verletzt wird oder Daten daraus gestohlen werden. So gross die Vorteile, so gross das Risiko: Eine einzige Schwachstelle im Gesamt-Ökosystem kann die Vorteile innert kürzester Zeit zunichte machen.

Systeme sichern, innovativ bleiben

Wie sollten sich Pharma- und MedTech-Unternehmen vor Angriffen und externen Bedrohungen schützen? Blockchain, die scheinbare Lösung für alles, wird auch im medizintechnischen Sektor oft als solche genannt. Daten werden miteinander verbunden, was deren Unveränderlichkeit garantiert. Jedoch sind dabei Herkunft und Authentizität oft nicht berücksichtigt.

Zertifizierungen sind eine zweite, oft gebrauchte Lösung. Für Safety, also den Schutz vor unsachgemässem Gebrauch und Fehlern, sind Zertifizierungen hilfreich. Für Security, also den Schutz vor böswilliger Manipulation und gezielten Angriffen, helfen Zertifizierungen hingegen bislang nicht. Einer der Hauptgründe dafür ist, dass es bei Security entscheidend ist, auf veränderte Umgebungen adäquat zu reagieren. Wird etwa eine Schwachstelle im unterliegenden Betriebssystem oder Treiber bekannt, so muss das System möglichst schnell gepatcht, also ausgebessert, werden.

Broken confidentiality vs. broken humans

Für die Medizin ist dies besonders wichtig. Denn: Der Diebstahl von persönlichen Daten, geistigem Eigentum, firmeneigener Software oder Business-Strategien führt zwar zu einem Vertrauensbruch. Das Hacken von Autos, Sensoren in Kernkraftwerken, Flugzeug-Cockpits oder eben von Medizinprodukten führt jedoch zu Gefährdungen von Menschenleben.

Cyber-Resilienz-Strategien für die digitale Souveränität sind für Pharma- und MedTech-Unternehmen der Schlüssel. Diese Strategien bestehen einerseits aus Massnahmen für sichere Geschäftsprozesse und andererseits aus dem Einsatz undurchlässiger Sicherheitstechnologie.

Für sichere Geschäftsprozesse ist es wichtig, adäquate Mechanismen zur Sicherung der Datenhaltung zu implementieren:

  • Backup- und Restore-Lösungen
  • Multi-Faktor-Authentifizierung
  • Passwortrichtlinien
  • Patch- und Update-Management
  • Einrichtung geringster Privilegien
  • Eine Strategie minimaler Offenlegung

Zu der Sicherheitstechnologie gehören vor allem moderne kryptografische Massnahmen wie:

  • Anonymisierung und Pseudonymisierung
  • Agilität und Austauschbarkeit der verwendeten Algorithmen
  • Standardmässiger Datenschutz (Ende-zu-Ende-Verschlüsselung, Secret Sharing, digitale Signaturen, moderne Hashing-Verfahren)
  • Präzis auf das Unternehmen ausgearbeiteter Datenschutz
  • Patchbarkeit und Authentifizierung von Patches für alle Softwarekomponenten
  • Innovative kryptographische Primitive (homomorphe Verschlüsselung, Garbled Circuits, etc.)

 

Zum ersten Teil der Serie zu Veränderungen in der Pharma- und MedTech-Branche:

Senior Information Security Consultant

Raphael Reischuk

Wissenschaftler und Consultant in Information-Security, IoT-Security, Cyber-Security, Web-Security und Network-Security.

Kommentare (0)

×

Updates

Schreiben Sie sich jetzt ein für unsere zwei-wöchentlichen Updates per E-Mail.

This field is required
This field is required
This field is required

Mich interessiert

Select at least one category
You were signed up successfully.