Was mit Fitness-Armbändern begonnen hat, entwickelte sich schnell zu einem großen Markt für gesundheitsbezogene Smartphone-Apps und vernetzte tragbare Medizingeräte. Allein im vergangenen Jahr wurden laut Research2Guidance weltweit 103.000 neue Gesundheitsanwendungen in den einschlägigen App-Stores veröffentlicht und dabei rund drei Milliarden Mal heruntergeladen. Immerhin knapp 30 Prozent der 18- bis 45-jährigen nutzen heute mobile Applikationen, um z.B. eine Medikamentendosis zu berechnen oder Gesundheitsdaten an den behandelnden Arzt zu übermitteln. Doch wie so oft hat auch diese Entwicklung eine dunkle Seite: Ungeschützte Apps, manipulierbare Medizingeräte und nicht zuletzt ein unsachgemäßer Umgang mit sensiblen Daten bedrohen die Privatsphäre und gesundheitliche Unversehrtheit der Patienten.

In Sachen Datenschutz und IT-Sicherheit sieht sich die Medizingeräteindus-trie seit jeher mit hohen Anforderungen konfrontiert. Die zunehmende Vernetzung und Mobilität hat die Situation allerdings weiter verschärft und stellt Medizingerätehersteller, Software-Entwickler und Klinikmanagement vor neue Herausforderungen. Denn je mehr vernetzte Geräte und WLAN-Schnittstellen existieren, desto mehr Angriffsflächen bieten sich Cyber-Angreifern. Hinzu kommt, dass mobile Anwendungen in verteilten, weitgehend nicht regulierten Umgebungen laufen und deshalb für Hacker besonders attraktiv sind. Zwar setzen Kliniken und Gesundheitsunternehmen auf Mobile-Device-Management-Lösungen, um mobile Apps und Mobilgeräte, die sensible Patientendaten speichern, vor Exploits zu schützen – allerdings nur mit mäßigem Erfolg.

Unbekannte Sicherheitsrisiken

Das Ausmaß an Angriffspunkten, Schwachstellen und Sicherheitslücken der mobilen Informations- und Kommunikationstechnologien im Gesundheitswesen ist vielen IT-Verantwortlichen nicht bewusst. Anders scheint es da versierten Hackern zu gehen, denn der il-legale Handel mit gestohlenen Patientendaten auf dem Schwarzmarkt boomt wie nie zuvor. Dass die Medizingeräteindustrie an einem kritischen Punkt angelangt ist, zeigen die Ergebnisse verschiedener Studien. In seinem „State of Application Security Report“ untersuchte Arxan 71 der beliebtesten mobilen Gesundheitsapplikationen aus Deutschland, den USA, UK und Japan und musste dabei feststellen, dass 86 Prozent der analysierten Apps mindestens zwei kritische Schwachstellen aufweisen, die es Hackern ermöglichen, die App zu manipulieren und sensible Daten zu stehlen. Dem Großteil der Gesundheits-Apps fehlten dabei ein wirksamer Binärcodeschutz sowie eine ausreichende Sicherung der Transportschicht. Erschreckend ist, dass auch staatliche Prüfsiegel keine Sicherheit garantieren. So erwiesen sich Apps, die von der amerikanischen Food and Drug Administration (FDA) oder dem britischen National Health Service (NHS) zu-gelassen wurden, als genau-so gefährdet.

Wenn es um Leben und Tod geht

Der Diebstahl und Missbrauch personenbezogener Gesundheitsdaten ist ein ernstzunehmendes Problem. Doch weitaus gefährlicher sind Hacker-Angriffe, die auf die Funktion von medizinischen Applikationen oder Geräten abzielen, um diese gezielt zu stören, zu manipulieren oder ausfallen zu lassen. Dabei gilt es, sich bewusst zu machen, wie stark Mobile Computing, Digitalisierung und Vernetzung das Gesundheitswesen bereits beherrschen. Lebenswichtige Medizingeräte wie Herzschrittmacher, Dialysegeräte oder Insulinpumpen sind immer häufiger mit dem Internet vernetzt, um aus der Ferne überwacht und gewartet zu werden. Und dank innovativer Apps inklusive spezieller Hardware-Erweiterungen können Smartphones bereits Körpertemperatur, Herzschlag oder etwa Blutzuckerwerte messen, dokumentieren, auswerten und an den behandelnden Arzt übermitteln. In diesen Fällen eröffnen Sicherheitslücken nicht nur Datendiebstahl die Tür. Denn sind Anwendungen nicht wirksam geschützt, können Hacker z.B. einen schadhaften Code ablegen, der das Verhalten der App fremdsteuert. Auf diese Weise könnte man etwa eine Infusionspumpe dazu bringen, eine tödliche Medikamentendosis abzugeben. Aber auch Reverse Engineering, d.h. der illegale Nachbau einer Anwendung, stellt eine enorme Gefahr dar. Denn gefälschte Medizingeräte bedeuten für die betroffenen Unternehmen nicht nur finanzielle Schäden und Imageverluste, Plagiate minderer Qualität können im schlimmsten Fall ernsthafte gesundheitliche Probleme verursachen.

Sicherheit beginnt bei der Entwicklung

Investitionen in Netzwerk- und Infrastruktursicherheit sind wichtig. Doch in Zeiten von Mobile Computing sind sie längst nicht mehr ausreichend, um sich vor Hacker-Angriffen und dem Eindringen von Malware zu schützen. Da sowohl Smartphone-Anwendungen als auch tragbare Medizingeräte sichere Umgebungen und überwachte Kliniknetzwerke verlassen, bedarf ihre Software eines besonderen Selbstschutzes. Dazu sollten Hersteller und Entwickler ihre Anwendungen bereits vor deren Veröffentlichung mit speziellen Applikations-Härtungs-Technologien sowie Laufzeitselbstschutz ausstatten, die insbesondere den sensiblen Binärcode gegen Manipulationen immunisieren. Zusätzlichen Schutz bietet zudem die Whitebox-Kryptografie-Methode, die eine Verschlüsselung sensibler Informationen gewährleistet.

Dass viele Gesundheits-Apps und Medizingeräte ungeschützt auf den Markt kommen und daher angreifbar im Einsatz sind, ist neben Unwissenheit auch auf finanzielle Aspekte zurückzuführen. Wirksame Sicherheit hat ihren Preis, die Budgets für notwendige Software-Sicherheit sind in der Regel knapp bemessen. Auch hier muss ein Umdenken einsetzen, denn wer in die richtigen Sicherheitslösungen investiert, schützt sein Unternehmen und seine Kunden vor unautorisierten Zugriffen, schadhaften Manipulationen, dem unkontrollierten Ausfall wichtiger Geräte, dem Verlust und Missbrauch sensibler Gesundheitsdaten, Reputationsverlusten und finanziellen Schäden.

Längst überfällig sind zudem strengere Regularien und Vorschriften seitens der Politik und Behörden. So sollten Medizingeräte und gesundheitsbezogenen, Applikationen nur dann zugelassen werden, wenn sie nachweislich mit

verlässlichen Sicherheitsmaßnahmen ausgestattet wurden und Datenschutzvorschriften einhalten. Das neue IT-Sicherheitsgesetz ist hier der erste Schritt in die richtige Richtung, da es die Betreiber kritischer Infrastrukturen zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie zur Meldung von Cyber-Angriffen verpflichtet. Allerdings gibt es hier noch Spielraum für Verbesserungen.





