Suchen

Wenn die Software entscheidet Medizinische Geräte gefahrlos im Internet der Dinge

| Autor / Redakteur: Sebastian Seifert und Lars Hemmann * / Ira Zahorsky

Gesundheitsdaten und medizinische Geräte bedürfen eines besonderen Schutzes im Internet der Dinge. Die Qualität der Software spielt dabei eine entscheidende Rolle.

Firmen zum Thema

Vernetzte Medizingeräte: Mit der richtigen Software lassen sich Gesundheitsdaten und medizinische Geräte vor einen Angriff schützen.
Vernetzte Medizingeräte: Mit der richtigen Software lassen sich Gesundheitsdaten und medizinische Geräte vor einen Angriff schützen.
(Bild: Method Park)

Der feindliche Agent sitzt im Café nahe der Botschaft, neben dem Cappuccino steht sein Laptop. Eine schwarze Limousine verlässt das Botschaftstor Richtung Flughafen, an Bord: ein ausreisewilliger Dissident. Der Agent scheint zu arbeiten, während die Limousine vorbeirollt.

Eine halbe Stunde später muss der Wagen stoppen, ein Rettungswagen übernimmt den ins Koma gefallenen Passagier. Die Diagnose: eine lebensgefährliche Unterzuckerung des an Diabetes leidenden Funktionärs. Die Flucht ist gescheitert.

Bildergalerie

Der Datenschutz spielt eine wichtige Rolle

Wie könnte unser Agentenkrimi das Rätsel dieses Attentats auflösen? Vielleicht ist eine portable Insulinpumpe (Bild 1) im Spiel, und der Angreifer hat per Funk eine Fehldosierung ausgelöst. Wer meint, die Story sei spannend, aber weit hergeholt, irrt sich. Schon 2011 hat der Security Researcher Jay Radcliffe realistische, funkbasierte Angriffsszenarien auf bestimmte Insulinpumpen öffentlich gemacht [2].

Ähnliche, das Herstelleransehen schädigende Vorfälle bei der Datensicherheit und Verlässlichkeit von Medizingeräten häufen sich. Kein Wunder: Wir erleben unter dem Schlagwort Internet of Things eine Explosion von neuen Produkten, die durch Sammlung und Verwertung von Daten sowie durch Vernetzung und Austausch dieser Daten Mehrwert schaffen. Damit werden aber auch Themen wie Datenschutz, Datensicherheit und die Entwicklung komplexerer Software in Bereichen hochaktuell, in denen sie bisher vielleicht von geringerer Bedeutung waren. Das fehlende Know-how muss schnell aufgebaut werden.

Beginnen wir bei den gesammelten Informationen. Alle gesundheitsbezogenen Daten sind generell Teil der persönlichen Sphäre und unterliegen der Datenschutz-Gesetzgebung. Hinzu kommen spezielle Rechtsvorschriften im Gesundheitsbereich, wie etwa die ärztliche Schweigepflicht. Selbst in den ansonsten nicht besonders datenschutzfreudigen USA sind Gesundheitsdaten durch scharfe Regelungen abgesichert.

Ergänzendes zum Thema
Umfassendes Wissen bei vernetzten Geräten

Wer medizinische Produkte auf den europäischen oder US-Markt bringt, muss die entsprechenden Richtlinien kennen. Auch vernetzte Geräte im medizinischen Umfeld, die ihre Daten untereinander sicher austauschen, machen keine Ausnahme. Im IoT brauchen Unternehmen allerdings zusätzlich einen Software-Entwicklungsprozess. Hier ist der Aufbau von Know-how gefragt. Schulungen spielen dabei ebenso eine wichtige Rolle wie auch eine externe Beratung oder das Auslagern bestimmter Software-Teilprojekte an einen Dienstleister.

Das Datenschutzrecht stellt einige typische Anforderungen. In Deutschland gelten etwa die Prinzipien der Erforderlichkeit, der Datensparsamkeit und der Datenvermeidung. Nur die für den Anwendungszweck notwendigen Daten sollen erhoben werden. Die gesammelten Daten sind konsequenterweise zweckgebunden; nicht mehr notwendige Daten sind zu löschen. Die Erhebung der Daten bedarf einer rechtlichen Grundlage, typischerweise der Einwilligung des Betroffenen. Diese sollte dokumentiert werden.

Werden die Daten gespeichert und übertragen, dann muss die Vertraulichkeit der Daten sichergestellt sein. Das kann etwa durch sichere Verschlüsselungsverfahren erfolgen. Der Zugang zu den Daten soll auf die notwendigen Nutzerkreise beschränkt sein; Abruf und Nutzung der Daten müssen gegebenenfalls nachvollziehbar sein, etwa durch Protokollierung.

Erschwert wird die korrekte Umsetzung der Vorschriften, wenn ein Produkt international vertrieben wird. Einerseits gelten in den verschiedenen Ländern natürlich unterschiedliche Bestimmungen. Andererseits kommunizieren in vielen IoT-Szenarien die Geräte mit einem zentralen Dienst, der beispielsweise vom Hersteller betrieben wird und die gesammelten Daten speichert und aufbereitet. Der Datenaustausch zwischen verschiedenen Rechtssystemen ist aber problematisch. Gegebenenfalls muss der zentrale Dienst in separierten, lokalen Ausprägungen realisiert werden.

(ID:43700643)