DiGAs sind auf dem Vormarsch: Laut GKV-Spitzenverband wurden seit der ersten Aufnahme einer digitalen Gesundheitsanwendung (DiGA) in das Verzeichnis des Bundesinstitutes für Arzneimittel und Medizinprodukte (BfArM) im September 2020 bis zum 30. September 2022 insgesamt 203.000 DiGAs ärztlich verordnet oder durch die Krankenkasse genehmigt.

Le Nguyen
Nun könnten auch Kriminelle versuchen, auf die Geräte zuzugreifen. Da liegt es nahe, die Cybersicherheit nicht nur der DiGAs, sondern auch der mobilen digitalen Gesundheitsanwendungen ins Auge zu fassen, wie digitale Insulinpumpen oder Herzschrittmacher. Wie groß ist die Gefahr von Attacken, und wie kann man sich schützen? Medscape sprach mit Le Nguyen, Fachmann beim Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen e.V. (MDS) im Team Medizinprodukte.
Medscape: Herr Nguyen, die Zahl der digitalen Gesundheitsanwendungen steigt. Könnten Angreifer auch auf digitale Gesundheitsanwendungen oder andere digitale Medizinprodukte, wie Insulinpumpen oder Herzschrittmacher, von außen zugreifen?
Nguyen: Die Möglichkeit besteht, ja.
Medscape: Welche Anwendungen sind potenziell betroffen?
Nguyen: Viele aktive Medizinprodukte, das heißt Medizinprodukte mit einer Energiequelle, verfügen auch über eine Datenverarbeitung. Zum Beispiel ein Herzschrittmacher oder andere aktive Implantate, wie digitale Blutdruckmessgeräte oder digitale Insulinpumpen oder die digitalen Gesundheitsanwendungen, kurz „DIGAs“. So sind zum Beispiel Patientinnen und Patienten mit einer App für die Psychotherapie gefährdet, weil hier besonders sensible Daten über das Smartphone verarbeitet werden – etwa die Gespräche, die Stimmungstagebücher oder Diagnosedaten.
Medscape: Wie ist das technisch überhaupt möglich?
Nguyen: Es gibt verschiedene Angriffsvektoren, die dafür genutzt werden können. Beispielsweise kann man versuchen, auf den Speicherort der Daten zuzugreifen. Das kann der Gerätespeicher sein, zum Beispiel im Smartphone oder im Implantat, oder der Server der Hersteller. Es ist auch möglich, die Daten bei der Übertragung, etwa über Bluetooth oder das Internet, abzugreifen. Jede Schnittstelle nach außen bietet eine Angriffsmöglichkeit. Die Angreifer sind sehr kreativ und gehen teilweise sehr professionell vor.
Medscape: Sind Fälle bekannt, bei denen Patienten wegen solcher Eingriffe zu Schaden gekommen sind?
Nguyen: Schon das illegale Auslesen der Daten ist ja ein Bruch des Datenschutzes. Stellen Sie sich nur vor, dass ein Patient seine Gefühle über eine App mitteilt, und ein Angreifer schöpft diese Daten ab! Im schlimmsten Fall ist das Gerät noch nicht einmal verschlüsselt. Auch bei Daten, die die Herzfunktionen, den Blutdruck oder das Gewicht oder eine Krebsdiagnose betreffen, gilt: Wenn diese Daten erst einmal abgeschöpft wurden, dann sind sie praktisch für immer in der Welt und unwiderruflich einsehbar. Das ist dann ein erheblicher Schaden.
Medscape: Können die Geräte auch von außen manipuliert werden?
Nguyen: Dass von außen nicht nur Daten abgegriffen werden können, sondern auch die Funktion der Anwendungen beeinträchtigt werden kann, das hat bereits 2020 eine Studie des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) belegt. Das BSI hat verschiedene Medizinprodukte überprüft und festgestellt, dass sie große Sicherheitslücken aufwiesen. Bei 11 Herstellern wurden rund 150 Lücken gefunden. So konnte man zum Beispiel von außen auf Insulinpumpen zugreifen und hätte bei Diabetespatienten die zu verabreichende Dosis verändern können.
Der ehemalige Vizepräsident der USA, Dick Cheney, hat das Problem sehr ernst genommen und einige Funktionen seines Herzschrittmachers ausstellen lassen, weil er Angriffe von Hackern fürchtete. Allerdings weiß man nicht, ob je ein Implantat von außen manipuliert wurde. Die BSI-Studie hat nur gezeigt, dass Manipulationen möglich sind. Mitunter aber nur unter bestimmten Bedingungen. So müsste der Angreifer in manchen Fällen in unmittelbarer Nähe des Opfers sein. Oder er müsste die Softwarearchitektur etwa eines Beatmungsgerätes kennen.
Medscape: Welche Hersteller und Produkte waren betroffen?
Nguyen: Es waren verschiedenste Hersteller und Produkte betroffen. Eine genaue Aufstellung kann man dem Bericht vom BSI mit dem Titel „Manipulation von Medizinprodukten (ManiMed)“ entnehmen.
Medscape: Wie haben die Hersteller reagiert?
Nguyen: Unterschiedlich. Manche sind offen und kommunikativ mit den entdeckten Schwachstellen umgegangen. Andere hielten offenbar die gefundenen Probleme für unkritisch. Alle entdeckten Sicherheitslücken wurden jedoch mittlerweile geschlossen.
Digitale Gesundheitsanwendungen sind nicht zu 100% sicher
Medscape: Kann man sich schützen?
Nguyen: Seit 2021 gilt die Medizinprodukteverordnung. Sie hat die bis dahin gültigen Medizinprodukte-Richtlinien abgelöst und legt fest, dass die Hersteller eine sogenannte Cybersicherheitsbetrachtung für das jeweilige Produkt bereits bei der Produktauslegung berücksichtigen müssen. Sie muss auf dem aktuellen Stand der Technik sein.
Das Problem dabei ist: Was der aktuelle Stand ist, wurde bisher nirgends festgelegt. Es gibt deshalb zurzeit alle möglichen Normen, Richtlinien und Guidelines, von denen sich die Hersteller die passenden Anforderungen an ihr Produkt herauspicken müssen. Eine so genannte harmonisierte Norm soll 2024 eingeführt werden. Viele Hersteller scheinen auf diese Norm zu warten.
Medscape: Gibt es dann größere Sicherheit für die Anwender von digitalen Gesundheitsprodukten?
Nguyen: Cybersicherheit ist ein kontinuierlicher Prozess, nicht einmalig und nicht 100-prozentig sicher. Das hat mehrere Gründe. Zum Beispiel nützen ständig aktuelle Sicherheitsupdates durch die Hersteller wenig, wenn die Updates nicht installiert werden. Es braucht eine gemeinsame Anstrengung von Herstellern, Betreibern und Anwendern, um möglichst große Sicherheit zu erhalten.
Medscape: An unsichere Handy- und E-Mail-Verbindungen haben wir uns gewöhnt. Wird es mit den digitalen Gesundheitsprodukten genauso kommen?
Nguyen: Wir haben die Chance, einen hohen Sicherheitsstandard zu schaffen, wenn wir intensiv genug hinschauen und suchen, wo die Schwachstellen sein könnten. Tatsächlich holt man sich mit den digitalen Innovationen auch Risiken ins Haus. Weil die Kriminellen schnell sind, müssen die Software-Lücken schnell erkannt und geschlossen werden. Was vor allem dazu gehört, ist die Transparenz bei den Herstellern. Nur so können wir eine Lernkultur aufbauen und für mehr Cybersicherheit sorgen.
Fanden Sie diesen Artikel interessant? Hier ist der Link zu unseren kostenlosen Newsletter-Angeboten – damit Sie keine Nachrichten aus der Medizin verpassen.
Medscape © 2023
Diesen Artikel so zitieren: Schrittmacher oder Insulinpumpen als Ziele für Hacker: „Daten für immer in der Welt“ – Experte erklärt Gefahren bei DiGAs - Medscape - 24. Mai 2023.
Kommentar