Cyberkriminalität 2: Sicherheitslücken in telemedizinischen Anwendungen

Gefahr der direkten Manipulation der Geräte durch unbefugte Personen
 

„Um mit der neuen Generation von Geräten, die am „Internet der Dinge" hängen, zu arbeiten, bedarf es neben der entsprechenden Ausbildung auch eines technischen Grundwissens und der notwendigen Ausstattung", erklärt IT-Experte Cornelius Granig. Aufgrund von Ressourcenbeschränkungen in Bezug auf Speicher, Batterie und Rechenleistung haben sich demnach gerade internetbasierte Geräte als schwieriger zu schützen herausgestellt. 

Neben dem Risiko des Datendiebstahls besteht durch Sicherheitslücken in telemedizinischen Anwendungen auch das Risiko von direkter Manipulation der Funktionsweise solcher Geräte durch unbefugte Personen. „Daraus können nicht nur Gesundheitsprobleme für die betroffenen Patienten resultieren, sondern auch Rechtsstreitigkeiten und finanzielle Sanktionen", warnt Granig.

Sicherheitsschwachstellen können gemäß Granig mannigfaltige Ursachen haben, die nicht nur in der Komplexität und Heterogenität derartiger Systeme liegen, sondern auch im unzureichenden Management von Software-Updates und dem Umgang mit bekannten Software-Schwachstellen, speziell für den Zeitraum zwischen deren Bekanntwerden und der Auslieferung der Fehlerbehebung.

Das gilt auch für komplexe medizinische Diagnosegeräte, wie Computer- oder Magnetresonanztomografen, deren Integrität innerhalb von Netzwerken ständig überprüft werden muss. „Wir haben dazu das Forschungsprojekt MedAI ins Leben gerufen, dessen Ziel die Entwicklung einer neuen Generation von Schutzsoftware für all diese Geräte ist, um deren Manipulierbarkeit und das illegale Entwenden von Daten zu verhindern", sagt Granig.

Sicherheitstipps für Ärzte

Um Ärztinnen und Ärzten, aber auch Patienten, im Umgang mit Gesundheitsdaten zu helfen, hat Granig ein Konzept mit zehn Sicherheitstipps entwickelt. Neben allgemein gültigen Regeln wie der Vorsicht beim Umgang mit persönlichen Daten und Fotos, der Verwendung sicherer Passwörter sowie dem regelmäßigen Einsatz von Schadsoftware-Scannern und Updates finden sich dabei auch Empfehlungen, die für Granig bereits eine „intensivere Beschäftigung mit der Materie" erfordern.

„Wichtig ist, dass ein einmal bekannt gewordenes Datenleck auch umgehend überprüft wird", empfiehlt Granig. Mit unentgeltlich im Internet verfügbaren Tools ist es einfach und schnell möglich abzufragen, ob eine E-Mail-Adresse schon einmal Teil eines Datenlecks war. In puncto Passwörter fordert Granig den Einsatz von Zwei-Faktor-Authentifizierungen, die bereits von vielen Anwendungen angeboten werden.

Auch sollten nur dem Arzt oder der Ärztin bekannte USB-Sticks an Arbeitscomputern verwendet werden, denn USB-Sticks würden sich, so Granig, „bestens eignen, um Computer mit Schadsoftware zu infizieren".

Schlussendlich empfiehlt Granig, Verschlüsselungstechnologien für Ordinationswebseiten sowie Arbeitsfestplatten und -USB-Sticks zu verwenden, um die Sicherheit zu erhöhen. Dasselbe gelte für das E-Mail-System, denn für Granig gilt hier der alte Spruch: „Jedes Schrifterl ist ein Gifterl" – besonders bei der Verwendung von nicht verschlüsselten E-Mails, die einfach von Unbefugten mitgelesen oder entwendet werden könnten.

Ordination top, Krankenhaus flop

„Unsere Ärztinnen und Ärzte in den Ordinationen sind immer besser ausgestattet, um in der digitalen Welt zu bestehen", ergänzt dazu Ärztekammerpräsident Thomas Szekeres. Allein um neue digitale Tools, wie die E-Medikation, die derzeit in Wien ausgerollt wird, sicher verwenden zu können, „wird in den Ordinationen derzeit technologisch entsprechend aufgerüstet".

Jedoch sei es bei diesen von der Sozialversicherung zur Verfügung gestellten Tools „nicht alleinige Aufgabe der Ärzteschaft, für Sicherheit zu sorgen, berichtet Szekeres. Beispielsweise würde es für Szekeres weiterhin Probleme mit dem elektronischen Kommunikationsservice eKOS geben. Szekeres: „Wir können derzeit den Einsatz von eKOS aufgrund zahlreicher Schwachstellen, die aus unserer Sicht umgehend behoben werden müssen, aktuell nicht empfehlen. Auch gibt es eine vollkommen unklare datenschutzrechtliche Dimension, die noch geklärt werden muss."

Während es in den Ordinationen besser aussieht, zeichnet sich derzeit eine schwierige Situation in Wiens Krankenhäusern ab. „Aufgrund der großen Dynamik der Digitalisierung müssen Unternehmen alle zehn bis 15 Jahre ihre wichtigen IT-Systeme modernisieren. Diese Projekte stehen derzeit in vielen österreichischen Krankenhäusern erst am Anfang. Bei diesen Projekten sollte gleich mehr Augenmerk auf die Cyber Security gelegt werden kann, sodass die neuen Programme nicht nur einfacher und schneller zu bedienen, sondern auch wesentlich sicherer im Betrieb sind", sagt Granig, der auch Krankenhäuser bei ihren Modernisierungsprojekten berät.

In einer von der Ärztekammer kürzlich geführten Umfrage zur Infrastruktur in den Wiener Spitälern zeigten sich 53 Prozent der Spitalsärzte, also mehr als die Hälfte, mit der IT-Ausstattung am Arbeitsplatz unzufrieden. „Das Ergebnis der Umfrage war eindeutig: 
Die Infrastruktur der in die Jahre gekommenen IT muss erneuert und anwenderfreundlich gemacht werden", fordert Szekeres und erneuert die Ärztekammerforderung nach einer Infrastrukturmilliarde für Wiens Spitäler, damit diese „sich am neuesten Stand der Technik wiederfinden und sowohl Ärztinnen und Ärzte als auch Patienten darauf sicher zugreifen können."

Ärztekammer warnt vor Cyberkriminalität in der Medizin