Remote Patient Monitoring (RPM) bietet einmalige Möglichkeiten im Gesundheitswesen, wie im Referat der CyOne Security an der IoT Security for Healthcare Conference deutlich wurde. Die Verschmelzung von physischer und digitaler Welt hat gerade in diesem vermehrt technisierten Bereich enormes Potenzial. Sei es für die dezentrale Überwachung von Krankheitsverläufen oder klinische Studien – die vernetzte Medizintechnik und RPM sind zunehmend im Behandlungsalltag verankert. Erfahren Sie im Blogpost mehr über die damit verbundenen Cyber-Risiken.
Bereits zum 8. Mal fand am 31. Mai 2022 in Cham die Information Security in Healthcare Conference statt. Hersteller und Betreiber von Medtech-Anwendungen konnten sich bei dieser Gelegenheit über die aktuellen Herausforderungen rund um die Informationssicherheit im Gesundheitswesen austauschen.
Der Fokus des Referats von Reto Amstad, Senior Security Consultant bei der CyOne Security, lag auf den Chancen und Risiken des Remote Patient Monitorings (RPM), der Fernüberwachung von Patientinnen und Patienten. Hierzu erfassen und übermitteln vernetzte Medtech-Produkte, medizinische Wearables und Sensoren kontinuierlich relevante Gesundheitsparameter wie die Herzfrequenz, den Blutdruck, Blutwerte, das Körpergewicht oder die Körpertemperatur. Werden die im Voraus definierten Grenzwerte erreicht oder überschritten, erhält das medizinische Personal eine Alarmmeldung.
Gerade die Corona-Pandemie hat den Trend bestärkt, dass im Gesundheitswesen vermehrt RPM-Technologien eingesetzt werden, um beispielsweise hochinfektiöse Patientinnen und Patienten auf der Intensivstation in Echtzeit von der Ferne aus zu überwachen und so u.a. den Schutz des medizinischen Personals vor einer Ansteckung zu erhöhen. Das Potenzial von RPM-Lösungen wurde vor diesem Hintergrund noch besser erkannt. Auch für Patientinnen und Patienten mit eingeschränkter Mobilität, akuten oder chronischen Erkrankungen haben sich diese als praktikabel erwiesen, da ihr Zustand zu Hause überwacht werden kann.
Das oberste Ziel der innovativen Remote Patient Monitoring-Ansätze besteht somit in der allgemeinen Verbesserung der Patientenversorgung sowie in der Unterstützung des medizinischen Personals bei der Arbeit. Die zahlreichen Vorteile von RPM für alle Beteiligten, vom Betreiber der vernetzten Medizintechnik bis zu den Patientinnen und Patienten, liegen auf der Hand:
Die für RPM notwendige Vernetzung und die daraus resultierenden Datenflüsse sind allerdings mit hohen Cyber-Risiken verbunden: Einerseits stellen die vernetzten Medtech-Geräte selber als häufig schwächstes Glied im Gesamtsystem attraktive Angriffsziele dar, weshalb sie oft Einfallstor für kriminelle Aktivitäten sind. Sie sind üblicherweise dauernd eingeschaltet, immer online, erfüllen geringe Security Standards, sind leicht ausnutzbar, schlecht gewartet / ungepatched, selten überwacht und schlecht gehärtet und ermöglichen schliesslich eine laterale und vertikale Infiltration.
Andererseits weist das komplexe IoT-Ökosystem der RPM-Leistungserbringung zahlreiche Stakeholder und damit auch Schnittstellen und Zonenübergänge auf. Die vernetzten Medtech-Produkte senden Daten teilweise direkt über Mobilfunk an ein Übertragungsgerät mit entsprechender Software (z.B. Smartphone), einen RPM-Platform Provider oder ein dezidiertes Gateway als Übertragungsmedium. Meistens basieren RPM-Lösungen auf der Cloud-Technologie. Somit müssen die Daten schliesslich von der Cloud des RPM-Platform Providers sicher in das System der entsprechenden Gesundheitseinrichtung, also die zentrale Datenbank, übertragen werden.
Komplexes IoT-Ökosystem: zahlreiche Schnittstellen und Zonenübergänge
Ein potenzieller Angreifer wird sich den schwächsten Punkt im Gesamtsystem aussuchen. Daher müssen die Schnittstellen und Zonenübergänge sicher authentifiziert, gemanaged und überwacht werden. Gleichzeitig ist es zentral für die Sicherheit, dass die involvierten Medtech-Geräte sicher mit sicherheitsrelevanten Updates, Patches oder neuer Firmware ausgestattet werden können. Eine resistente Verschlüsselung ist die Grundvoraussetzung für die Sicherstellung des Datenschutzes sowie der Integrität der übertragenen Daten.
Die komplexen datenschutzrechtlichen Fragen rund um die Datenhoheit und Data Ownership erhöhen die Wichtigkeit und Dringlichkeit einer durchgängigen IoT Security. Es muss klar geregelt werden, welcher Leistungserbringer zu welchem Zeitpunkt für die Sicherheit der Daten in Transit und at Rest verantwortlich ist.
Laden Sie sich jetzt das Referat herunter und erfahren Sie mehr über Remote Patient Monitoring.
Um die Cyber-Risiken wirksam und nachhaltig zu mitigieren, sind bereits bei der Entwicklung von RPM-(Sicherheits-)Architekturen bestimmte Massnahmen notwendig. Denn neben der sicheren Integration und dem sicheren Betrieb ist die Product Cyber Security ein entscheidender Faktor im Gesamtsystem. Daher ist es erfolgsentscheidend, dass diesen Sicherheitsaspekten bereits in einer frühen Phase des Produktlebenszyklus Rechnung getragen wird.
Zentral ist das «Security by Design»-Prinzip: Der Ansatz verfolgt die Prämisse, dass die notwendigen Sicherheitsmassnahmen nicht nur an der Peripherie, sondern vor allem innerhalb eines medizintechnischen Produkts, insbesondere in dessen Hard- und Software, umgesetzt werden. Diese Cyber Security-Aspekte wie zum Beispiel eine sichere Identifikation des Geräts, unveränderbare Log-Informationen, sichere und rasche Update-Prozesse sowie die Möglichkeit zur zentralen Überwachung der Geräte durch ein Security Operation Center oder Cyber Defence Center manifestieren sich auch in der Weiterentwicklung der entsprechenden Normen der Regulatoren.
Durchgängige IoT Security im RPM-Gesamtsystem
Die zunehmend höhere Komplexität von IoMT-Ökosystemen erschwert die Gewährleistung der Sicherheit, wenn das dafür notwendige spezifische Fachwissen fehlt. Für Hersteller lohnt es sich, projektspezifische IoT Security-Expertise einzuholen, um eine ganzheitliche und nachhaltige Cyber-Security zu erreichen. Die CyOne Security unterstützt Schweizer Medtech-Hersteller mit ihrem fundierten Fachwissen, ihre Produkte von Anfang an umfassend gegen Cyber-Bedrohungen zu schützen und die immer höher werdenden regulatorischen Cyber-Sicherheitsanforderungen mit Blick auf den gesamten Produktlebenszyklus zu erfüllen.
Die CyOne Security unterstützt Sie als Medtech-Hersteller beim anspruchsvollen Thema «Product Cyber Security» und bietet den spezifisch auf Ihr Unternehmen konzipierten Einführungsworkshop «Cyber Security für vernetzte Medizinprodukte» an.