Nach einer aktuellen Analyse des FBI zählt das Gesundheitswesen zu den am stärksten gefährdeten Bereichen der sogenannten kritischen Infrastruktur. Krankenhäuser, Gesundheitsnetzwerke und medizinische Informationssysteme sind besonders attraktive Ziele für Datendiebstahl, Erpressungssoftware und andere Cyberangriffe.

Klonoff unterschied zunächst zwischen zwei zentralen Begriffen:

  • Security (Sicherheit) bezeichnet den Schutz von Geräten und Daten vor unbefugtem Zugriff oder Manipulation.
  • Privacy (Datenschutz) beschreibt den Umgang mit personenbezogenen Gesundheitsdaten und deren Weitergabe.

Für Diabetes-Technologien sind beide Aspekte relevant. Im Vordergrund steht jedoch die Sicherheit, da sie unmittelbar verhindern soll, dass die Funktion von Medizinprodukten manipuliert oder beeinträchtigt wird.

Was bedeutet Cyber Security bei Diabetes-Technologien? Cyber Security umfasst den Schutz von Daten und Steuerungsinformationen, die zwischen vernetzten Medizinprodukten ausgetauscht werden. Ziel ist es, unbefugten Zugriff, Manipulationen und Funktionsausfälle zu verhindern.

Grundlage bildet die sogenannte CIA-Triade: Confidentiality (Vertraulichkeit): Schutz vor unbefugtem Zugriff, Integrity (Integrität): Schutz vor unbefugten Änderungen und Availability (Verfügbarkeit): Schutz vor Ausfällen und Funktionsverlust.

Cyber Security wird damit zu einer weiteren zentralen Produkteigenschaft, neben Sicherheit, Wirksamkeit, Benutzerfreundlichkeit und Kosten. Erfreulicherweise sind bislang nur wenige Fälle bekannt geworden, in denen Diabetesgeräte durch Cyberangriffe tatsächlich Patienten gefährdeten oder Rückrufaktionen erforderlich machten.

Mit der zunehmenden Vernetzung rücken sogenannte Enterprise Information Systems (EIS) in den Mittelpunkt. Dabei handelt es sich um organisationsweite Gesundheits-IT-Systeme, die klinische, administrative, finanzielle und wissenschaftliche Daten zusammenführen.

Im Unterschied zu einem Medizinprodukt, das einen einzelnen Patienten behandelt, dienen EIS der Versorgung ganzer Patientengruppen oder Gesundheitssysteme. Sie nutzen Netzwerke, Datenbanken, Cloud-Dienste und Schnittstellen (APIs), um Daten aus unterschiedlichsten Quellen – einschließlich Diabetesgeräten – zusammenzuführen. Eine zentrale Rolle spielen dabei sogenannte Daten-Aggregatoren – und sie werden immer wichtiger.

Daten-Aggregatoren sammeln Informationen verschiedener Geräte und Hersteller, vereinheitlichen deren Formate und stellen sie in einer gemeinsamen Plattform dar. Ihr Nutzen liegt auf mehreren Ebenen:

Klinische Vorteile durch bessere Erkennung von Trends und Risikomustern, frühzeitiges Erkennen von Problemen sowie fundiertere Therapieentscheidungen auf Basis von Langzeitdaten

Vorteile für den Arbeitsablauf sind weniger Medienbrüche, ein reduzierter Wechsel zwischen verschiedenen Anwendungen und eine einfachere Integration in elektronische Patientenakten, außerdem Vertrauens- und Sicherheitsaspekte wie eine sichere Datenübertragung, eine Authentifizierung der Nutzer, die Nachvollziehbarkeit von Zugriffen und last but not least die Einhaltung regulatorischer Vorgaben.

Voraussetzung dafür sind Interoperabilität, Datenstandardisierung, leistungsfähige Dashboards sowie umfassende Sicherheitsmechanismen wie Verschlüsselung, Zugriffskontrollen und sichere APIs. Die größten Schwachstellen liegen leider häufig im Krankenhaus, denn interessanterweise richten sich die meisten Cyberangriffe im Gesundheitswesen derzeit nicht gegen einzelne Medizinprodukte, sondern gegen die dahinterliegenden IT-Systeme. Krankenhäuser gelten aus mehreren Gründen als besonders anfällig:

  • Interne Datenübertragungen sind häufig nicht vollständig verschlüsselt.
  • Sicherheitswarnungen von Herstellern werden teilweise ignoriert oder deaktiviert.
  • Malware-Infektionen bleiben oft lange unentdeckt.
  • Netzwerke sind nicht ausreichend segmentiert.
  • Viele medizinische Geräte laufen noch auf veralteten Betriebssystemen.
  • Es fehlen häufig finanzielle Ressourcen und spezialisiertes Personal für Cybersicherheit.

Hinzu kommt, dass Krankenhäuser besonders wertvolle Daten speichern – von medizinischen Informationen über Sozialversicherungsnummern bis hin zu persönlichen Identitätsdaten.

Gibt es Schutzstrategien gegen Cyberangriffe? Klonoff stellte drei grundlegende Säulen erfolgreicher Cybersicherheit vor:

  1. Technologie
  2. Richtlinien und Prozesse
  3. Menschen und Schulung

Daraus ergeben sich sieben konkrete Maßnahmen für Gesundheitseinrichtungen. Dies beginnt mit dem Aufbau eines spezialisierten Cyber Security-Teams, einer vollständige Inventarisierung und Risikobewertung aller Geräte, geht weiter über regelmäßige Mitarbeiterschulungen, strenge Zugangs- und Zugriffskontrollen und kontinuierlichen Software-Updates und Sicherheitspatches und endet nicht zuletzt mit Notfallplänen für Cyberangriffe und der Teilnahme an Netzwerken zum Informationsaustausch über Sicherheitsvorfälle.

Eine sichere Authentifizierung basiert dabei zunehmend auf einer Kombination aus:

  • Wissen (Passwort),
  • Besitz (Token oder Smartphone) und
  • biometrischen Merkmalen wie Fingerabdruck, Gesichtserkennung oder Iris-Scan.

Ein zentrales Fazit des Vortrags war, dass die zunehmende Interoperabilität im Gesundheitswesen einen Zielkonflikt erzeugt. Je besser Geräte, Apps, Cloud-Plattformen und elektronische Patientenakten miteinander kommunizieren, desto größer wird die digitale Angriffsfläche. Ohne entsprechende Sicherheitsmaßnahmen steigt damit zwangsläufig auch das Risiko erfolgreicher Cyberangriffe.

Besonders kritisch wird dies, wenn Gesundheitsdaten aus geschützten Systemen in vom Patienten gewählte Drittanbieter-Apps übertragen werden. In den USA fallen solche Anwendungen häufig nicht mehr unter die HIPAA-Datenschutzregeln, sondern unter allgemeine Verbraucherschutzvorschriften.

Fazit: Interoperabilität schafft Nutzen, bringt aber auch neue Risiken. Die Digitalisierung der Diabetologie eröffnet enorme Chancen für Patienten, Behandler und Gesundheitssysteme. Gleichzeitig entstehen neue Risiken, die lange Zeit kaum beachtet wurden. Die gute Nachricht: Bisher sind schwerwiegende Vorfälle bei Diabetesgeräten selten geblieben. Die eigentliche Herausforderung liegt heute in den vernetzten IT-Systemen, Datenplattformen und Schnittstellen des Gesundheitswesens.

Cyber Security wird damit zunehmend zu einer Grundvoraussetzung moderner Diabetesversorgung. Denn je stärker die Vernetzung zunimmt, desto wichtiger wird das Vertrauen, dass Daten sicher bleiben, Systeme zuverlässig funktionieren und digitale Innovationen nicht selbst zum Risiko werden.

der wöchentliche Newsletter zu aktuellen Entwicklungen zum Thema Diabetes und Technologie.
Ich stimme zu, dass meine personenbezogenen Daten genutzt werden, um E-Mails zu erhalten, und weiß, dass ich dies jederzeit widerrufen kann.

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte deren AGB und Datenschutzbestimmungen .

Dieser Artikel erscheint als Teil des wöchentlichen Letters zu hochaktuellen Entwicklungen im Bereich Diabetes Technologie. Nutzen Sie das nebenstehende Formular um sich für den diatec weekly Newsletter anzumelden!

Mit freundlichen Grüßen