Trotz Risiken und Nebenwirkungen: IoT-Nutzung im Gesundheitswesen nimmt zu

Die Zukunft für den Einsatz des IoT im Gesundheitswesen sieht rosig aus. Allein der weltweite Markt für tragbare und ferngesteuerte Patientenüberwachung dürfte bis 2027 ein Volumen von 43 Milliarden Dollar erreichen. Die Covid-19-Pandemie hat dieses Szenario noch beschleunigt: Laut IDC werden bis Ende dieses Jahres sieben der zehn führenden Unternehmen für Wearables am Handgelenk Algorithmen auf den Markt bringen, die mögliche Anzeichen von Infektionskrankheiten frühzeitig erkennen können.

Zwar hat der Gesundheitssektor länger als andere Branchen gebraucht, um Technologien des Internets der Dinge zu übernehmen, doch mittlerweile ist das Internet der medizinischen Dinge (IoMT) das Herzstück des digitalen Ökosystems im Gesundheitswesen. Dieses Ökosystem umfasst Patienten und medizinische Teams, medizinische Geräte (z. B. Diagnose- und Bildgebungsgeräte), Operationsroboter, Wearables, intelligente Geräte und unzählige drahtlose Sensoren. Alle davon tauschen vertrauliche Patientendaten aus.

Wenn gewöhnliche tragbare medizinische Geräte mit dem Internet verbunden sind, können sie wichtige Daten sammeln, um Leben zu retten. Sie bieten auch zusätzliche Einblicke in die Symptome und den Verlauf einer bestimmten physiologischen oder sogar psychologischen Störung.

In ähnlicher Weise verändern tragbare Geräte die Art und Weise, wie Patienten medizinisch versorgt werden. Sie helfen dabei, wichtige Informationen wie Herzfrequenz, Sauerstoffgehalt, Blutdruck, Gewicht, EKG und Blutzuckerspiegel zu sammeln und an die behandelnden Ärzte weiterzuleiten.

Aus Sicht der Industrie können all diese Daten Krankenhäusern, Pharma- und Biowissenschaftsunternehmen helfen, bessere Entscheidungen zu treffen und einen Wettbewerbsvorteil zu erlangen.

Bis 2023 werden 65 % der Patienten über eine digitale Verbindung Zugang zur Gesundheitsversorgung haben. Bis 2024 wird die Datenvermehrung dazu führen, dass 60 % der IT-Infrastruktur von Gesundheitsorganisationen auf einer Datenplattform basieren, die KI zur Verbesserung der Prozessautomatisierung und Entscheidungsfindung nutzt. In Verbindung mit künstlicher Intelligenz (KI) und maschinellem Lernen (ML) kann auch das Internet der Dinge dazu beitragen, potenzielle Heilmittel und Behandlungsmethoden für Krankheiten zu finden.

Der Einsatz des IoT im Gesundheitswesen hat jedoch seine Tücken: IoT-Geräte können im Allgemeinen nicht zentral verwaltet, gepatcht, aktualisiert oder gesichert werden. Sie sind einfach und funktional. Das macht sie anfällig für die Ausnutzung durch Cyberkriminelle, denn die meisten von ihnen wurden nicht mit Blick auf die Sicherheit entwickelt. Die Möglichkeit, dass ein Zero-Day-Exploit in einem medizinischen Gerät dazu verwendet werden kann, jemanden unentdeckt zu schädigen oder sogar zu töten, ist gegeben.

Daher sollten IT-Teams im Gesundheitswesen dem Eindringen in Daten und deren Verlust sowie der Möglichkeit, die Kontrolle über ein Gerät zu übernehmen, höchste Aufmerksamkeit schenken. Jede Art von angeschlossenem medizinischem Gerät hat eigene komplexe Eigenschaften, die bereits bei der Produktentwicklung geschützt werden müssen. Jedes Gerät verfügt über eine Anwendungsprogrammierschnittstelle (API), eine Benutzeroberfläche, eine URL und oft auch über Schnittstellen für HDMI, Bluetooth oder WiFi – alle davon können ausgenutzt werden, wenn sie vom Gerätehersteller und den Benutzern nicht ordnungsgemäß gesichert werden.

Aus diesem Grund hat die US-amerikanische Food and Drug Administration (FDA) im Jahr 2019 einen Leitfaden veröffentlicht. Dieser soll die Branche bei der Identifizierung von Aspekten der Cybersicherheit unterstützen, welche Hersteller von IoMT-Geräten bei der Konzeption und Entwicklung ihrer Produkte berücksichtigen sollten. Der Leitfaden „Content of Premarket Submissions for Management of Cybersecurity in Medical Devices – Guidance for Industry and Food and Drug Administration” orientiert sich am Cybersecurity Framework des NIST. Er empfiehlt den Herstellern von Medizinprodukten, die Erkennung, Identifizierung, Aufzeichnung und, wenn möglich, schnelle Korrektur von Sicherheitskompromittierungen zu berücksichtigen. Im Einklang mit diesen grundlegenden Funktionen schlägt die FDA Sicherheitsmaßnahmen vor, die Hersteller von Medizinprodukten zum Schutz von Medizinprodukten in Betracht ziehen sollten, darunter:

• Gewährleistung einer sicheren Übertragung von Daten zum und vom Gerät, gegebenenfalls unter Verwendung von Verschlüsselung;
• Bereitstellung von Informationen über die angemessenen Maßnahmen für die Endnutzer, die bei Erkennung eines Cybersicherheitsvorfalls zu ergreifen sind;
• Nutzung von Gefahrenanalysen, Schadensbegrenzung und Designüberlegungen in Bezug auf Cybersicherheitsrisiken im Zusammenhang mit dem Gerät;
• ein Plan für validierte Software-Updates und Patches, die während des gesamten Lebenszyklus des Geräts benötigt werden, um dessen Sicherheit und Effizienz zu gewährleisten.

Da sich die Cybersicherheitsrisiken für medizinische Geräte ständig weiterentwickeln, kann die FDA die Risiken nicht vollständig eindämmen. Daher ist ein effektives Cybersecurity-Risikomanagement, der Schutz und die Überwachung von IoT-Geräten, älteren Betriebssystemen und Gesundheitsakten für Organisationen im Gesundheitswesen von größter Bedeutung. Hierfür sollten alle Beteiligten gemeinsam die Verantwortung tragen, einschließlich Hersteller von medizinischen Geräten und Krankenhäuser.

Jeder sollte Zeit und Ressourcen in folgende Punkte investieren:

• Ständige Überwachung von Informationsquellen zur Identifizierung und Erkennung von Sicherheitslücken und Risiken im Bereich der Cybersicherheit;
• Implementierung robuster Software-Lebenszyklus-Prozesse, die Mechanismen zur Überwachung von Softwarekomponenten Dritter auf neue Schwachstellen während des gesamten Produktlebenszyklus umfassen;
• Überprüfung und Validierung des Designs von Software-Updates und Patches, die zur Behebung von Schwachstellen verwendet werden – einschließlich solcher, die sich auf handelsübliche Software beziehen;
• Verständnis, Einschätzung und Erkennung einer Schwachstelle und ihrer Auswirkungen;
• Einrichtung und Kommunikation von Prozessen zur Erfassung und Behebung von Schwachstellen;
• Verwendung von Bedrohungsmodellen, um klar zu definieren, wie die Sicherheit und die Kernleistung eines Geräts aufrechterhalten werden können. Dazu gehört auch die Entwicklung von Abhilfemaßnahmen, die vor Cybersicherheitsrisiken schützen, auf sie reagieren und sie beseitigen;
• Einführung einer koordinierten Politik und Praxis zur Offenlegung von Schwachstellen;
• Umsetzung von Abhilfemaßnahmen, die das Cybersicherheitsrisiko von Anfang an und vor seiner Ausnutzung angehen.

Netzwerküberwachungslösungen, die medizinische Geräte integrieren können, bieten Gesundheitsdienstleistern die Möglichkeit, wichtige Datenverbindungen, Server und die Anwendungen dieser Geräte zu überwachen. Nicht zuletzt, weil alle medizinischen Geräte eine klassische IT-Infrastruktur zur Kommunikation benötigen. Diese Infrastruktur sorgt für die Datenübertragung und stellt die Hardware für das Systemnetzwerk zur Verfügung. Sie benötigt Kabel, Switches, Server und Speichersysteme, aber auch WIFI und Access Points. Die IT-Infrastruktur eines Krankenhauses stellt jedoch eine zusätzliche Herausforderung für IT-Fachleute dar: Sie kümmert sich auch um die spezialisierten Gesundheitssysteme, da oft alle Elemente und Systeme beispielsweise eines Krankenhauses in derselben Infrastruktur nebeneinander bestehen.

Das Musgrove Park Hospital in Großbritannien beispielsweise nutzt den PRTG Network Monitor von Paessler, um sein Netzwerk zu überwachen. Damit folgt es den Empfehlungen von NHS Digital zur Cybersicherheit. PRTG überwacht das interne und externe Netzwerk und ist auf 10.950 Sensoren für Digital Imaging and Communications in Medicine (DICOM) und Health Level Seven International (HL7) konfiguriert.

Diese Sensoren ermöglichen es IT-Fachleuten und Administratoren im Gesundheitswesen, eine Vielzahl kritischer Systeme und Funktionen zu überwachen, darunter:

• Krankenhaus-Informationssysteme (KIS, HIS): PRTG ermöglicht es, die Vorgänge im integrierten KIS zu beobachten. Dabei nicht nur die Beziehung zum Datenaustausch, sondern auch die beteiligten Computerressourcen und Geräte. PRTG kann sowohl vor Ort als auch in der Cloud eingesetzt werden und verfügt über speziell entwickelte Sensoren für viele der am weitesten verbreiteten IT-Lösungen der Branche. Zu diesen gehören die von Amazon Web Services, Cisco, Fujitsu, Microsoft, NetApp, VMware und anderen. Mit PRTG war es für Krankenhaus-IT-Abteilungen noch nie so einfach, ihre medizinischen, finanziellen und administrativen Systeme vollständig zu überwachen.
• Labor-Informations-Management-Systeme (LIMS): PRTG erleichtert auch die Überwachung aller in die Laborprozesse integrierten Systeme und Geräte sowie der zwischen ihnen transportierten Daten, einschließlich Informationen über Probenmanagement, Tests, Analysen, Entsorgung und Compliance. Die Überwachung stellt auch sicher, dass Kliniken und klinische Teams schnellen Zugriff auf die benötigten Befunde haben.
• Radiologie-Informationssysteme (RIS): Alle Systeme, Hard- und Software der Radiologie- und Bildgebungsabteilungen sowie die damit verbundenen Arbeitsabläufe können über das intuitive Dashboard von PRTG überwacht werden. So kann die IT-Abteilung die Ursache für Verzögerungen bei der Bildübertragung zwischen Geräten, Abteilungen oder Ärzten leicht feststellen.
• Bildarchivierungs- und Kommunikationssystem (PACS): PRTG überwacht auch das gesamte PACS und stellt damit sicher, dass alle Systeme, die für die sichere Übertragung, Speicherung und Archivierung von Bildern erforderlich sind, wie erwartet funktionieren. Dazu gehören auch die Workstations, die zur Ansicht und Interpretation von Scans verwendet werden.

Das Internet der Dinge bringt daher im Gesundheitswesen mehrere Sicherheits- und Vertraulichkeitskomponenten mit sich, die ernst genommen und im Voraus geplant werden müssen. Der Schlüssel zum Erfolg ist Transparenz. Bei so vielen potenziellen Fehlerquellen müssen Teams, die mit dem Internet der medizinischen Dinge (IoMT) zu tun haben, jederzeit über potenzielle Fehler informiert sein und in der Lage sein, Probleme zu beheben, bevor sie auftreten.