#Tech Innovation

„Hospital-at-Home“-Modelle von Beginn an sichern

Expertenmeinung
5 Min.

Ein Ausfall der IT kann in allen Bereichen gravierende Folgen haben, sei es im Straßen- und Luftverkehr oder im Gesundheitswesen. Das gilt auch für die Gesundheitsversorgung, die auf vollständig vernetzter Medizintechnik basiert, wie etwa das Patientenmonitoring zu Hause. Für solche Anwendungen ist Cybersicherheit unerlässlich, doch die Zulassungsverfahren halten mit der technischen Entwicklung nicht Schritt. Das EU-Projekt CYMEDSEC will die Abläufe verbessern und höhere Sicherheitsstandards erreichen. Projektkoordinator Professor Stephen Gilbert erklärt, worum es dabei geht.

Dass die Welt sich immer stärker vernetzt, dürfte mittlerweile jedem und jeder klar sein. Das gilt auch für den Gesundheitssektor: Der Wert des Internet der medizinischen Dinge (Internet of Medical Things; IoMT) betrug im Jahr 2023 47,32 Milliarden US-Dollar und soll bis 2032 auf 814 Milliarden US-Dollar ansteigen.1 Mit diesem rasanten Wachstum wächst jedoch auch das Risiko von Datenlecks. Ein Cyberangriff in Form einer Erpressungssoftware auf ein Krankenhaus oder ein Gesundheitssystem verursacht hohe Schäden. Fallen IT-Systeme komplett aus, steht das Leben von Patientinnen und Patienten auf dem Spiel.

Seit der COVID-19-Pandemie, so Stephen Gilbert, Else Kröner Professor für Medical Device Regulatory Science am EKFZ für Digitale Gesundheit der TU Dresden, werden Patientinnen und Patienten früher als vor der Pandemie entlassen, damit sie ihre Therapie zu Hause fortsetzen können. Dafür wurde sogar ein neuer Begriff geprägt: „Hospital-at-Home“. Die Patientinnen und Patienten werden mit speziellen Messgeräten ausgestattet, die Daten an die jeweilige medizinische Einrichtung übermitteln, während sie die heilende Kraft der häuslichen Umgebung für ihre Genesung nutzen. Ein solches Vorgehen hat enorme Vorteile, denn in den Krankenhäusern werden Betten schneller frei und das Infektionsrisiko für die Patientinnen und Patienten sinkt.

Allerdings müssen die entsprechenden Überwachungsgeräte mit der betreuenden medizinischen Einrichtung vernetzt sein, was Angriffsmöglichkeiten von außen eröffnet. Dies zu beachten, ist wichtig, weil

  • der Datenschutz gewährleistet sein muss
  • die Überwachungsgeräte nicht manipuliert werden dürfen, da dies zum Ausfall oder zur Übermittlung falscher Daten führen kann.

„Die heimische Krankenstation bringt große Vorteile, aber auch Risiken mit sich, die vor allem mit der Cybersicherheit zu tun haben“, so Professor Gilbert.

Die Aufklärung über die Gefahren für die Cybersicherheit muss intensiviert werden. Im Rahmen der koordinierten Maßnahmen gegen diese Bedrohungen wurde der Oktober in vielen Ländern der Welt, darunter auch in der Europäischen Union und in den USA, zum Monat der Cybersicherheit erklärt. 

Angesichts dessen ist es naheliegend,sich mit den Cybersicherheitsrisiken in der vernetzten Medizintechnik und ihren Auswirkungen auf die medizinische Versorgung zu befassen – und damit, was das für die Menschen bedeutet, die über das Internet betreut werden. 

Hand berührt virtuelle medizinische Schnittstelle mit Symbolen.

Ausfälle gezielt vermeiden

Die Anzahl der Nutzerinnen und Nutzer eines Dienstes ist der wichtigste Faktor bei der Risikobewertung. Im schlimmsten Fall könnte ein Angriff das System komplett lahmlegen. Würde ein Ausfall nur wenige Personen treffen, wäre die Situation immer noch zu bewältigen. Was aber, wenn es einige Tausend oder noch mehr Betroffene gibt?

In einem kürzlich erschienenen Artikel modellierten Professor Gilbert und seine Mitarbeiterinnen und Mitarbeiter anhand einer fiktiven Ereigniskette, wie sich ein Angriff auf ein telemedizinisches System mit vielen Patientinnen und Patienten auswirken würde.2 Schwerwiegende und lebensbedrohliche Folgen eines solchen Angriffs ließen sich minimieren, wenn beispielsweise in einem nahe gelegenen Krankenhaus Reservepersonal für den Notfall vorgehalten würde. Die Vorteile einer medizinischen Versorgung in den eigenen vier Wänden wären damit aber zunichtegemacht!

„Die Medizintechnik in kritischen Infrastrukturen und in neuen Modellen der häuslichen Gesundheitsversorgung muss von vornherein so sicher gestaltet werden, dass der Notfall erst gar nicht oder nur äußerst selten eintritt“, sagt Professor Gilbert. „In beiden Fällen sind Investitionen notwendig, sowohl in die Personalplanung als auch in die Konzeption der Sicherheitsmaßnahmen.“ 

Kann eine bessere Regulierung das Risiko verringern?

Cybersicherheit bereits bei der Produktentwicklung zu berücksichtigen, wird in diesem Zusammenhang auch als  „Security by Design“ bezeichnet. Der Begriff „Defense in Depth“  beschreibt ein mehrstufiges Sicherheitskonzept, das Technologien vor Angriffen schützt.

Die Patientinnen und Patienten können selbstverständlich nicht für die Sicherheit des Systems verantwortlich gemacht werden. Viele, die einen häuslichen Pflegedienst in Anspruch nehmen, sind ältere Patientinnen und Patienten oder auf irgendeine Weise beeinträchtigt. Von ihnen kann nicht erwartet werden, dass sie willens und in der Lage sind, sich um die Sicherheit des heimischen Netzwerks zu kümmern. „Außerdem sind ältere und kranke Menschen tendenziell anfälliger für bestimmte Angriffsmethoden wie Social Engineering“, so Professor Gilbert. „Es ist daher ethisch geboten,den Nutzerinnen und Nutzern die Verantwortung für die IT-Sicherheit abzunehmen. Das kann gelingen, wenn die Technik selbst gut geschützt ist.“

“Die nächste Generation der Medizintechnik ist in dieser Hinsicht von großem Interesse. Welche Sicherheitsaspekte müssen berücksichtigt werden, wenn Patientinnen und Patienten sich selbst IoMT-Geräte anschaffen oder sogar ihr Smartphone für die IoMT-Kommunikation nutzen?“
Stephen Gilbert
Else Kröner Professor für Medical Device Regulatory Science am EKFZ für Digitale Gesundheit der TU Dresden

Ein solches „Security by Design“-Konzept ist nur möglich, wenn Cybersicherheit ein fester Bestandteil der Zulassungsverfahren für medizintechnische Produkte ist. Üblicherweise dauern diese Freigaben sehr lange, was angesichts der rasanten Entwicklung digitaler Technologien nicht mehr tragbar ist. Die Prüfungs- und Zulassungsverfahren müssen beschleunigt werden, um neuen Entwicklungen Rechnung zu tragen und Anwendungen zu berücksichtigen, die bereits im Einsatz sind oder es künftig sein werden.

Das von der Europäischen Kommission aufgelegte Programm „Horizon Europe“ ist ein wichtiger Schritt in diese Richtung. Er ist auch aus regulatorischer Sicht notwendig, da die Medizintechnik sowohl auf nationaler als auch auf europäischer Ebene überwacht wird.

Vorstellung des CYMEDSEC

CYMEDSEC ist ein von der EU gefördertes Konsortium, das sich aus Universitäten, Forschungsinstituten, medizinischen Einrichtungen, Behörden und Technologieunternehmen aus der gesamten Europäischen Union und der Schweiz zusammensetzt. Unter seinem Dach wird ein breites Spektrum von Forschungsaufgaben durchgeführt, darunter 

  1. eine aktuelle Bestandsaufnahme der europäischen Vorschriften im Bereich der Medizintechnik, mit dem Schwerpunkt, welche davon funktionieren und welche nicht
  2. ein Vergleich mit nationalen Bestimmungen, sowohl innerhalb als auch außerhalb der EU
  3. ein Abgleich mit allgemeinen Cybersicherheitsvorschriften wie der Netz- und Informationssicherheitsrichtlinie NIS-2.

CYMEDSEC befasst sich auch mit den Vor- und Nachteilen vernetzter Medizintechnik, wobei das Zulassungsverfahren für Arzneimittel und Medizinprodukte als Referenz dient. Es werden Betriebsmodelle vernetzter Geräte und deren Schwachstellen untersucht. Die Frage lautet: Wie lässt sich die Sicherheit vor zukünftigen Angriffen sicherstellen?

In diesem Zusammenhang sei die nächste Generation der Medizintechnik von großem Interesse, so Professor Gilbert. „Welche Sicherheitsaspekte müssen berücksichtigt werden, wenn Patientinnen und Patienten sich selbst IoMT-Geräte anschaffen oder sogar ihr Smartphone für die IoMT-Kommunikation nutzen?“

Person im Videogespräch mit Arzt auf Smartphone.

Mobile Gesundheitsversorgung

Smartphones verfügen bereits über die technischen Voraussetzungen für eine IoMT-Vernetzung. Allerdings verarbeitet ein Smartphone in diesem Zusammenhang sowohl private als auch medizinische Daten. „Das erfordert eine spezielle Verschlüsselung“, sagt Prof. Gilbert. „Verschiedene Sicherheitsstufen auf Hard- und Softwareebene können dafür sorgen, dass die zu überwachenden Messwerte vor unbefugtem Zugriff geschützt sind.“ Zu diesem Zweck arbeitet die G+D-Tochter secunet als Teil von CYMEDSEC eng mit anderen Partnern wie dem Barkhausen Institut zusammen.

Auch die App zur Fernüberwachung muss optimal installiert sein, sodass alle Updates bei Bedarf durchgeführt werden können. Dabei sind die Bedürfnisse der überwiegend älteren Patientengruppe ebenfalls zu berücksichtigen.

Vom Monitoring zur Therapie

Derzeit konzentriert sich CYMEDSEC bei der Erforschung des „Hospital-at-Home“-Modells auf die Technologie zur Fernüberwachung der Patientinnen und Patienten. Prof. Gilbert geht davon aus, dass künftige Forschungen auch die für die Ferntherapie eingesetzten Technologien umfassen könnten. Das Angriffsrisiko sei hier höher, da eine Manipulation oder Fehlfunktion direkte Auswirkungen auf die physische Sicherheit der Patientinnen und Patienten haben könne.

Key Takeaways

  1. Die fortschreitende medizinische Vernetzung hat es ermöglicht, Patientinnen und Patienten zu Hause zu behandeln.
  2. Damit erhöht sich der Aktionsradius von Hackerinnen und Hackern auf diese Netzwerke, da sich die Patientinnen und Patienten in ihren eigenen vier Wänden aufhalten.
  3. Da Smartphones sowohl für persönliche als auch für medizinische Zwecke verwendet werden, spielt die Sicherheit bei der Konzeption eine entscheidende Rolle.
  1. Internet of Medical Things (IoMT) market size, share & industry analysis, Fortune Business Insights, August 2024

  2. Can we learn from an imagined ransomware attack on a hospital at home platform?, Gilbert, Ricciardi, Mehrali, and Patsakis for NPJ Digital Medicine, March 2024

Veröffentlicht: 25.10.2024

Diesen Artikel teilen

Abonnieren Sie unseren Newsletter

Verpassen Sie nicht die neusten Artikel von G+D SPOTLIGHT: Wenn Sie unseren Newsletter abonnieren, bleiben Sie immer auf dem Laufenden über aktuelle Trends, Ideen und technische Innovationen – jeden Monat direkt in Ihr Postfach.

Bitte geben Sie Ihre Daten an: