0
DE | EN |
Suche
Bild einer Produktionsstraße mit Mitarbeiterin
Zurück zum Newsroom

Veröffentlicht am 08.11.2021

Sichere Digitalisierung in der Medizintechnik

Beitrag jetzt teilen

Die technische (R)Evolution in Labors und Krankenhäusern und ihre Ansprüche an Sicherheit und Datenschutz

Die Digitalisierung ist auf dem Vormarsch. Nachdem die Industrie mit Schlagbegriffen wie „Industrie 4.0“, „IoT“und der „digital Factory“ schon weit fortgeschrittene Prozesse und Erfolge vorweisen kann, steht der Heilsektor noch am Anfang eines ähnlichen Werdegangs.

Portrait Dillinger Markus

Markus Dillinger, General Manager – Technology der System Industrie Electronic GmbH, einem Entwicklungs- und Fertigungsspezialisten der Medical & IVD-Branche meint dazu: „Eine vollständige Digitalisierung und weitgehende Automatisierung des Gesundheitsbereichs mit dem Fokus auf Fehlerfreiheit, Konnektivität und Sicherheit ist unausweichlich. Anders als in der Industrie sehen wir aber im Medical-Sektor deutlich sensiblere Einsatzgebiete und Datenschutzbedürfnisse. Entsprechend muss die Entwicklung von fortschrittlichen Medizingeräten immer Hand in Hand mit vollumfänglichen Security-Konzepten geschehen. Zusätzlich ist auch die grundsätzliche Risikobewertung beider Branchen deutlich unterschiedlich. Während die Business-IT grundsätzlich mit klarem Fokus auf Sicherheit vor Funktion konzipiert wurde und wird, gilt bei Medical Devices wie auch in der Industrie meistens der Grundsatz Funktion vor Sicherheit.“ Diese unumgängliche Priorisierung des HealthSektors müssen moderne Entwicklungs- und Fertigungsspezialisten schon in der Konzeption neuer Gerätschaften mit in entsprechende Planspiele einbauen.

Die drei Standbeine der Security

Moderne Sicherheitskonzepte basieren auf den klassischen „drei Standbeinen der Security“. Vertraulichkeit – Integrität – Verfügbarkeit. Für jedes dieser Standbeine sind im Rahmen eines vollständig digitalisierten Medizinwesens entsprechende hard- und softwareseitige Vorkehrungen zu treffen. Am Beginn eines zu erstellenden Schutzkonzepts steht die Schutzzieldefinition.ImRahmendieserDefinitionsindproduktindividuell folgende Fragen zu beantworten: Was soll geschützt werden? Warum soll es geschützt werden? Wer ist der potentielle Angreifer? Im Falle digitaler Medizinprodukte ist hierbei eine dezidierte Betrachtungsweise empfehlenswert. „Volldigitale Medizinprodukte sind auf mehreren Ebenen manipulier- und angreifbar;“ meint Markus Dillinger. „Auf der jeweiligen Hardware Plattform setzen Bootloader, das Betriebssystem und gerätespezifische Applikations-Software auf. Jede dieser Ebenen ist angreifbar und muss entsprechend geschützt werden.“

Schutz auf allen Ebenen

Vollständige Schutzkonzepte setzen demzufolge schon auf der Hardwareebene ein um die dauerhafte Verfügbarkeit (siehe oben: „drei Standbeine der Security“) entwickelter Geräte zu garantieren. So kann zum Beispiel robustes ESD-gerechtes Schaltungsdesign über die Normvorgaben hinaus und Ableitmaßnahmen für potentielle Überspannung im Gehäuse Gerätschaften vor USB-Hochspannungsgeneratoren schützen. Diese relativ einfach zu erwerbenden Sticks könnten ohne entsprechenden Schutz Gerätschaften schnell und effektiv außer Betrieb setzen. Besonders im Health-Sektor wäre dies fatal. „Während zunehmende Vernetzung und Schnittstellen die Arbeitsabläufe künftig einfacher und angenehmer gestalten können, muss klar sein, dass jede zusätzliche Eingriffsmöglichkeit die Systeme auch verletzlicher macht. Das Augenmerk muss dazu schon in der Produktentwicklungsphase auf besonders sicheres Produktdesign gelegt werden.“ so Dillinger.

Im Bereich der Systemintegrität wird im Anschluss festgelegt wer, wie Daten verändern kann und eine entsprechende Nachverfolgbarkeit gewährleistet. Neben der klassischen Verschlüsselung sensibler Daten sind hier besonders Secure Boot Systeme, welche Zugriff und Manipulation während der Bootphase unterbinden, wirkungsvolle Hilfen. Secure Boots zwingen alle im Betrieb befindlichen Hard- und Softwarebausteine beim Systemstart sich zu authentifizieren. Scheitert diese Authentifizierung verhindert das System den Zugriff. Auch Hardwaretools wie z.B. ein Gehäuse-Eindringschutz oder -erkennung im Verbund mit entsprechend reagierenden Automatiken wie z.B. Datenlöschung oder Geräteabschaltung können hier wertvolle Maßnahmen zum Schutz sensibler Daten sein.

Selbstverständlich findet auch das Thema Vertraulichkeit Berücksichtigung in modernen Sicherheitskonzepten. Ganz unabhängig von der Vernetzung über das Internet oder Intranet ist die USB-Schnittstelle hier als weitere große Schwachstelle ungesicherter Geräte auszumachen.

Der o.g. Secure Boot oder aber auch eine entsprechende USBDevice Authentifizierung schaffen hier schnell und einfach Abhilfe. Markus Dillinger meint ergänzend: „Jedoch muss insbesondere auf Endkundenebene Awareness geschaffen werden. Wer kommt wann und wie an ein Gerät? Gibt es kommunizierte und bekannte Updatekonzepte? Wie werden Geräte vor Fremdzugriff geschützt? In Zusammenarbeit mit Partnerunternehmen erkennen wir immer wieder, dass die ausführliche Schulung von Servicepersonal und das Definieren einheitlicher Serviceabläufe extrem wichtige Schritte hin zu einem ausgereiften Sicherheitskonzept sind. Wichtig ist sich selbst und Partnern bewusst zu machen, dass der Systemschutz nicht erst beim Thema Software oder Virenschutz beginnt, sondern schon deutlich früher.“

Betrachtet man diese Ansätze und Konzeptstrukturen wird relativ schnell deutlich, warum der Health-Sektor beim Thema Digitalisierung noch hinter der Industrie oder der IT Branche zurückbleibt. Weit sensiblere Daten, eine deutlich mehr im Mittelpunkt stehende Ausfallsicherheit und entsprechend benötigte komplexe Security-Konzepte machen die Aufgaben für Entwickler, Hersteller und Endanwender nicht schwerer – jedoch deutlich komplexer. Klar ist jedoch: Entwickler, Dienstleister und ihre Partnernetzwerke arbeiten mit Hochdruck an neuen Lösungen – die (R)Evolution auch im Medical-Sektor hin zu einem voll vernetzten, automatisierten und digitalisierten Heilwesen steht unmittelbar bevor.

 

MEDengineering 5/2017

    S.I.E. Rückrufservice

    *Pflichtfelder

    Sie haben Fragen zu einem bestimmten Produkt oder wollen eine erste Beratung? Wir rufen Sie zu Ihrem Wunschtermin gerne zurück. Füllen Sie einfach die unten stehende Felder aus. Unser Rückrufservice ist Montag bis Freitag (außer an Feiertagen) von 8:00 bis 17:00 Uhr für Sie da.


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

      S.I.E. Rückrufservice

      *Pflichtfelder

      Sie haben Fragen zu einem bestimmten Produkt oder wollen eine erste Beratung? Wir rufen Sie zu Ihrem Wunschtermin gerne zurück. Füllen Sie einfach die unten stehende Felder aus. Unser Rückrufservice ist Montag bis Freitag (außer an Feiertagen) von 8:00 bis 17:00 Uhr für Sie da.


      Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
      Google reCAPTCHA Datenschutzerklärung

      Google reCAPTCHA laden

        S.I.E. Rückrufservice

        *Pflichtfelder

        Sie haben Fragen zu einem bestimmten Produkt oder wollen eine erste Beratung? Ich rufe Sie zu Ihrem Wunschtermin gerne zurück. Füllen Sie einfach die unten stehende Felder aus und ich werde mich bei Ihnen melden. Unser Rückrufservice ist Montag bis Freitag (außer an Feiertagen) von 8:00 bis 17:00 Uhr für Sie da.


        Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
        Google reCAPTCHA Datenschutzerklärung

        Google reCAPTCHA laden

          S.I.E. Rückrufservice

          *Pflichtfelder

          Sie haben Fragen zu einem bestimmten Produkt oder wollen eine erste Beratung? Ich rufe Sie zu Ihrem Wunschtermin gerne zurück. Füllen Sie einfach die unten stehende Felder aus und ich werde mich bei Ihnen melden. Unser Rückrufservice ist Montag bis Freitag (außer an Feiertagen) von 8:00 bis 17:00 Uhr für Sie da.


          Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
          Google reCAPTCHA Datenschutzerklärung

          Google reCAPTCHA laden