Schwachpunkte in der Medizinaltechnik
Ähnlich wie bei einem Blackout könnten Viren Spitaleinrichtungen und medizinische Geräte stören – möglicherweise für Ausfälle sorgen. Welche potentiellen Schwach-punkte in der Medizinaltechnik kursieren, und welche Gesetze und Normen ange-wandt werden, erklärt Prof. Ursula Sury, HSLU-Vizedirektorin und SQS-Expertin für Datenschutzaudits, im Interview mit Management & Qualität.
In jedem Operationssaal gibt es eine autarke Stromversorgung. Fällt der Strom aus, schalten sich automatisch Batterien an. Die «Überbrü-ckung» lebenswichtiger Geräte verzögert sich vielleicht einige Millisekunden. Wie folgen-schwer könnte jedoch die Situation werden, wenn ein Gerätesystem oder der Geräteser-vice einmal gehackt und manipuliert worden wäre?
Es scheint immer realer, dass weltweit organisierte Erpresser versuchen, Schäden in Spitälern anzurichten, wie Studien (siehe «Gefährdung Schweizer Spitäler gegenüber Cyberangriffen») unterstreichen. Schweizer Spitäler und Einrichtungen wurden bereits mit DoS-Computerviren (Engl.: Denial of Service) infiziert.
Ähnlich wie bei einem Blackout könn-ten Verschlüsselungsviren einzelne Betriebs-einrichtungen blockieren respektive für wei-tere Störungen sorgen. Während des Karne-vals im rheinischen Neuss musste ein Spital seine Server abstellen, weil sie gehackt wor-den waren. Neben einem Schaden von einer sechs- bis siebenstelligen Summe konnte die Klinik keine weiteren Schwerverletzten mehr behandeln – dies tagelang.
Wie könnte man solche Cyberrisiken in Schweizer Einrichtungen vermeiden, welche juristischen Gegenmassnahmen könnten da-gegen greifen? Frau Prof. Ursula Sury, Daten-schutzexpertin, im Interview
Frau Prof. Sury, wie schwierig ist es, Daten über Medizinalgeräte auszuspionieren oder zu verändern?
Dies müsste man letztendlich einen IT-Ex-perten fragen. Es ist aber allgemein bekannt, dass nicht angemessen Gesichertes bei ver-netzten Geräten in sensiblen wie in öffentli-chen Spitalbereichen abgeschöpft und mani-puliert werden kann. Verhindert werden kann dies mit rigorosen IT-Schutzmassnah-men, entsprechenden Verpflichtungen in Verträgen mit IT-Lieferanten und Providern und der Sicherstellung des sicheren Umgan- ges durch die Mitarbeitenden.
Kennen Sie Fälle, Geräte so manipuliert wur-den, dass sie eine Störung auslösten?
Allgemein ja, aber nicht konkret. Ich meine jedoch, dass falsche Funktionalitäten in Me-dizinalgeräten die grössten Probleme mit sich bringen. Darüber hinaus könnten sensible Daten für statistische (Marketing-)Zwecke unverschlüsselt weitergegeben werden.
Wird die Haftung nach einem anonymen Hacking-Angriff vollumfänglich übernommen?
Schwierig. Man muss alles – die Securitykon-zepte (siehe «schlummernde Viren») und die ganzen Abläufe und Verfahren dokumentie-ren. Bei der Haftung stellt sich immer die Fra-ge nach dem Verschulden, d. h., ob einmal in einem Spital durch nachweisbares Unterlas-sen von Sorgfaltspflichten Sicherheitslücken entstanden.
Welche juristischen Massnahmen sind sinnvoll zum Schutz vor unerlaubten Zugriffen?
Primär gilt das Prinzip der Einwilligung. Pati-enten oder Heimbewohner müssten auf Rechte und Pflichten in Sachen Datenschutz-recht hingewiesen werden.
«Man muss es nachweisen», meint Prof. Ursula Sury.
Denken Sie, die Speicherung von sensiblen Daten in Geräten und in Clouds ist heute juristisch geregelt?
Ja, es gibt ausreichende gesetzliche Regelun-gen wie das Schweizerische Datenschutzge-setz (DSG 10a). Leider wird diesen gesetzli-chen Anforderungen im Moment wenig nach-gelebt. – Es ist jedoch immer eine quintessen-tielle Frage der betrieblichen Schutzmassnah-men und der Datenverarbeitung.
Ist die Vernetzung von Medizintechnik ein Fluch oder ein Segen für das Gesundheits wesen?
Eine Tatsache, die segensreich ausgestaltet werden muss!
