Fortschritte und neue Herausforderungen für das IoMT

Die digitale Revolution im Gesundheitswesen schreitet voran: Die Nachfrage nach Daten ist größer denn je. Eine 2021 veröffentliche Studie des kanadischen Beratungsunternehmens healthcare/episode/the_healthcare_data_explosion" target="_blank" rel="noreferrer noopener">RBC Capital Markets zeigt, dass die weltweite Datenspeicherkapazität im Jahr 2010 etwa 487 Exabyte betrug. Vorhersagen nach soll dieses Volumen bis 2025 alle zwei Tage erzeugt werden.

Etwa 30 % des weltweiten Datenvolumens stammen aus dem Gesundheitssektor. Bis 2025 wird die jährliche Wachstumsrate der Gesundheitsdaten 36 % erreichen. Das entspricht einer Steigerung, die um 10 % schneller als die der Finanzdienstleistungen ist – und 11 % schneller als im Bereich Medien und Unterhaltung.

Diese Datenerzeugung erfolgt auf zwei verschiedenen Arten: Zum einen werden Daten anhand der großen heterogenen Netzwerke generiert, die über verschiedene Standorte in der Gesundheitsorganisation verteilt sind. Eine weitere Quelle, die zunehmend an Bedeutung gewinnt, sind die Geräte des Internets der medizinischen Dinge (IoMT). Eine im Januar 2022 veröffentlichte Studie von Research and Markets berichtet, dass dieser Markt bis 2026 voraussichtlich 258 Milliarden US-Dollar erreichen wird. Im Jahr 2019 lag der Wert dieses IoT-Bereichs bei 55 Milliarden US-Dollar.

Luis Arís, Business Development Manager bei Paessler LATAM, erklärt, dass der Begriff IoMT sehr unterschiedliche Technologien zusammenfasst. Gesundheitsdienstleister nutzen bereits seit einiger Zeit mobile Technologien, wie z. B. Handheld-Computer und Geräte, die Ärzte bei der Pflege am Krankenbett unterstützen. Diese mobilen medizinischen Apparate werden oft auf einem Wagen zum Patienten gefahren und direkt dort eingesetzt. Dies erhöht die Genauigkeit der Ergebnisse, da die manuelle Eingabe von Patientendaten entfällt. Dazu finden mobile Geräte häufig Anwendung, um Untersuchungen am Patientenbett durchzuführen und Daten mit anderen medizinischen Kollegen auszutauschen – beispielsweise während des Schichtwechsels.

Zusätzlich gibt es eine Vielzahl von IoMT-Geräten, die Patienten von zu Hause und aus der Ferne verwenden können.

1. Fernüberwachung von Patienten

Die Fernüberwachung von Patienten ist die häufigste Anwendung von IoT-Geräten im Gesundheitswesen. Sie erfasst medizinische Daten wie die Herzfrequenz, den Blutdruck und die Körpertemperatur. Die gesammelten Ergebnisse werden an eine Softwareanwendung gesendet, wo das Pflegepersonal und bzw. oder die Patienten sie einsehen können.

2. Glukose-Überwachung

IoMT-Geräte können eine kontinuierliche automatische Überwachung des Glukosespiegels bei Patienten ermöglichen. Ziel ist es, die manuelle Aufzeichnung abzulösen und die Patienten zu warnen, wenn der Blutzuckerwert problematisch ist.

3. Überwachung der Herzfrequenz

Herkömmliche Geräte zum kontinuierlichen Herzfrequenz-Monitoring, die in Krankenhäusern eingesetzt werden, schränken die Mobilität der Patienten erheblich ein – schließlich erfordern die Apparate, dass die zu überwachende Person ständig über Kabel mit den Geräten verbunden ist. Mit den kleinen IoMT-Vorrichtungen können sich die Patienten frei bewegen und ihr Herz ohne Unterbrechung überwachen lassen.

4. Überwachung der Handhygiene

Derzeit verwenden viele Krankenhäuser und andere Gesundheitseinrichtungen IoMT-Geräte, um Menschen beim Betreten des Krankenhausgeländes an das Desinfizieren ihrer Hände zu erinnern. Die Apparate können sogar Anweisungen geben, wie die Hände am besten zu desinfizieren sind – angepasst an das spezielle Risiko für den jeweiligen Patienten.

5. Überwachung von Depressionen und Stimmungen

Oftmals sind die Angaben von Patienten bezüglich ihrer Stimmungsschwankungen ungenau. IoMT-„Stimmungsmessgeräte“ können dieses Problem lösen: Mithilfe der Erfassung und Analyse von Daten wie der Herzfrequenz und dem Blutdruck können die Apparaturen Informationen über den psychischen Zustand eines Patienten ableiten.

6. Überwachung der Parkinson-Krankheit

IoT-Sensoren können ununterbrochen Daten über die Symptome der Parkinson-Krankheit sammeln. Dabei geben diese Geräte den Patienten die Freiheit, ein normales Leben zu Hause zu führen, anstatt lange Zeitabschnitte in einem Krankenhaus zur Beobachtung verbringen zu müssen.

7. Intelligente Pillen

IoMT-Geräte sind ebenso für den Einsatz von „intelligenten Pillen“ mit mikroskopisch kleinen Sensoren unerlässlich. So erfassen IoMT-Apparate die von den intelligenten Tabletten ausgesandten Signale und übermitteln die Daten anschließend über die Cloud an Krankenhaussysteme.

Damit diese Anwendungen die gewünschten Ergebnisse liefern, ist eine sorgfältige Überwachung der IoMT-Geräte notwendig. Nur so lässt sich sicherstellen, dass sie nicht ausfallen und die Patientenversorgung stören. In der Praxis stellt dies eine echte Herausforderung dar: Eine Studie des Fachmagazins HITinfrastructure zeigt, dass etwa 45 % der Verbindungen zwischen Geräten in Krankenhäusern und von Patienten genutzten Remote-Apparaten ausfallen. Das Resultat ist eine Verlängerung der Wartezeit beim Laden von Anwendungsdaten – im Durchschnitt etwa zwei Sekunden mehr.

Die IT-Teams sind rund um die Uhr dafür verantwortlich, dass ihre IoMT-Geräte sicher, aktiv und zuverlässig sind. Hier besteht die Aufgabe vor allem im Verwalten und Absichern von äußerst heterogenen Apparaten, deren Messwerte sich stark voneinander unterscheiden. Da Anwendungen im Gesundheitswesen eine Datenerfassung nahezu in Echtzeit erfordern, kann jede Unterbrechung der Verbindung kostspielig sein, was die Genauigkeit der Informationen und Fehler im Diagnoseprozess angeht.

Heterogenität der Gesundheitssysteme

Die Aufgaben der IT-Verantwortlichen im Gesundheitswesen sind äußerst komplex. Das liegt unter anderem an der Tatsache, dass einzelne, voneinander getrennte Systeme die Daten verarbeiten – unabhängig davon, ob das Datenmaterial in der klinischen Umgebung oder von IoMT-Geräten erzeugt wird. Die Systeme teilen sich in folgende Kategorien auf:

• HIS (Hospital Information System) – wesentliche Daten für den Betrieb der Organisation
• LIS (Laboratory Information System) – Labordaten
• RIS (Radiology Information System) – Messwerte der Radiologie
• PACS (Picture Archiving and Communication System) – Bilder, die z. B. Röntgen-, MRT-, Ultraschallgeräte oder Apparate für Videoendoskopie erzeugen

In der Praxis handelt es sich bei diesen getrennten Systemen um globale Standards, die nun die Entwicklung aller medizinischen Anwendungen leiten. Somit ist es wichtig, dass im Zeitalter des digitalen Gesundheitswesens die IT-Überwachungsplattformen der Organisation all diese Protokolle unterstützen. Dies ist von entscheidender Bedeutung, um dem Manager einen umfassenden Überblick zu verschaffen: Zum einen muss dieser Einblick von allgemeiner Natur sein und das gesamte Unternehmen einschließlich mobiler Remote-Geräte abdecken. Zum anderen müssen Spezifikationen ersichtlich sein, sodass der Manager den Betrieb eines bestimmten Netzwerkelements bis ins Detail verfolgen kann.

Ziel ist es dabei, alle Prozesse planbar zu machen – z. B. die Batterielebensdauer eines IoMT oder die Zuverlässigkeit der Verbindungen zwischen einem MRT-System und dem Krankenhausverwaltungs-Server. Multi-Protokoll-Überwachungslösungen arbeiten dabei zusammen, um Ärzten, Krankenschwestern und Patienten, die Verwendung der IoMT-Geräte so angenehm und konfliktfrei wie möglich zu machen. Letztendlich führt dies zu einer größeren Konsistenz bei Diagnosen und dem Tracking medizinischer Behandlungen.

Auch die Sicherheit ist wichtig

Die digitale Revolution hat das Internet der Dinge (IoT), das Internet der medizinischen Dinge (IoMT) sowie Software als medizinisches Gerät (SaMD) und vernetzte Maschinen hervorgebracht. Diese Elemente sind sowohl im Krankenhaus als auch zu Hause nicht mehr aus dem Gesundheitswesen wegzudenken. Neue Technologien wie diese eröffneten aber auch Möglichkeiten für Cyberangriffe auf die jeweiligen Apparate sowie das Netzwerk selbst, mit dem das Gerät verbunden ist. Das führt nicht nur zu Datenschutzverletzungen, sondern auch zur Erhöhung der Kosten für die Gesundheitsversorgung. Im schlimmsten Fall beeinträchtigen diese Angriffe sogar die medizinischen Ergebnisse der Patienten.

Die Folgen dieser Angriffe und die entsprechenden finanzwirtschaftlichen sowie sicherheitstechnischen Auswirkungen erfordern den Schutz von Organisationen und Bürgern. Deshalb haben viele Regierungsbehörden und andere Akteure (z. B. Industrieverbände, technische Gesellschaften, Normungsorganisationen, Forschungseinrichtungen, politische Gruppen oder Nichtregierungsorganisationen) Sicherheitsmaßnahmen ergriffen.

So erfordern innerhalb der EU die MDR- und IVDR-Vorgaben eine Berücksichtigung der Cybersicherheit von Medizingeräten. Dazu gibt die Koordinierungsgruppe Medizinprodukte (Medical Device Coordination Group, MDCG) den Herstellern Hinweise, wie sie alle relevanten grundlegenden Ansprüche aus Anhang I der MDR und IVDR in Bezug auf die Internetsicherheit erfüllen können.

In Australien behandelt die Therapeutics Goods Administration (TGA) die Sicherheit von Medizinprodukten im IoMT als Teil der Grundprinzipien. Außerdem verlangt die TGA, dass die „Kernpunkte der Cybersicherheit durch die Anwendung anerkannter Best Practices in Bezug auf Qualitäts- und Risikomanagement erfüllt werden. Typischerweise erfolgt dies durch die Anwendung modernster Standards.“

In den USA bemüht sich die FDA (Food and Drug Administration) seit 2005 um die Verbesserung der Cybersicherheit von Medizinprodukten. Die jüngste Maßnahme der Behörde ist der Entwurf eines Leitfadens zur Sicherheit während des gesamten Produktlebenszyklus (TPLC). Ein weiterer Versuch ist die parteiübergreifende Unterstützung des Kongresses für den Cyber Health Protection and Transformation Act von 2022 (PATCH Act of 2022). Im Falle seiner Verabschiedung überarbeitet dieser den bestehenden Federal Food, Drug, and Cosmetic Act.

Der Entwurf des Leitfadens der FDA zur Internetsicherheit von Medizinprodukten enthält Informationen darüber, wie die Behörde die bestehenden gesetzlichen Anforderungen durchsetzen wird. Doch wie sehen mögliche Vorbereitungen aus, um die Erwartungen der FDA an die Cybersicherheit von medizinischen Produkten zu erfüllen?

Zunächst ist es wichtig, zu verstehen, dass der Anwendungsbereich der FDA-Leitlinien außerordentlich weit gefasst ist: Er bezieht sich vor allem auf Geräte, die Software (einschließlich Firmware) oder programmierbare logische Elemente sowie SaMD enthalten. Dabei erwartet die FDA Folgendes:

• Einreichungen vor der Markteinführung (510(k))
• neue Anfragen
• Anträge auf Pre-Market Approvals (PMAs) und PMA-Ergänzungen
• Produktentwicklungsprotokolle (PDPs)
• Anträge auf Ausnahmegenehmigungen für Forschungszwecke (IDE) sowie Ausnahmegenehmigungen für humanitäre Geräte (HDE)
• alle Produkte im Sinne des Federal Food, Drug, and Cosmetic Act (FD&C Act), unabhängig davon, ob sie eine Einreichung vor dem Inverkehrbringen erfordern oder nicht

Grundsätze der Cybersicherheit von Medizinprodukten

Der Leitfaden der FDA enthält sechs umfassende Einschätzungen und führt das neu geschaffene Konzept eines Rahmens für die sichere Produktentwicklung (Safe Product Development Framework, SPDF) ein. Dieser Plan soll alle Aspekte des Lebenszyklus eines Produkts abdecken, einschließlich der Entwicklung, Markteinführung, Unterstützung und Außerbetriebnahme – mit der Absicht, folgende Qualitätssystemvorschriften (Quality System Regulations, QSR) in 21 CFR Teil 820 zu erfüllen:

1. Cybersicherheit als integraler Bestandteil der Gerätesicherheit und des QSR
2. Sicherheit durch Design
3. Transparenz
4. Sicherheitsrisikomanagement
5. Sicherheitsarchitektur
6. Objektiver Test/Beweis

Die Idee besteht darin, konkrete Anforderungen für Medizinprodukte sowie Software als Medizinprodukt (SaMD) zu schaffen: Das soll Risiken in Bezug auf die Internetsicherheit minimieren werden, die mit dem Design, den Sicherheitskonzepten und der Anwendung zusammenhängen. Demnach wäre es die Aufgabe der Hersteller, Nachweise über die Qualitäts- und Risikomanagementsysteme zur Überwachung der Cybersicherheit von Medizinprodukten zu erstellen und aufzubewahren. So lasse sich die Einhaltung der Vorschriften verlässlich nachweisen.

Über die schnelle Weiterentwicklung der Bedrohungslage im Bereich Cybersicherheit ist sich die FDA im Großen und Ganzen im Klaren. Dazu ist sich die Behörde darüber bewusst, dass eine ständige Überwachung sowie angemessene Korrektur- und Präventivmaßnahmen seitens der Hersteller von medizinischen Apparaten erforderlich ist – ebenso wie die rechtzeitige Kommunikation mit den Anwendern von Medizingeräten, um sie für Cybersicherheitsbedrohungen zu sensibilisieren.