In einer im Mai 2021 auf der CyCon vorgestellten Studie wurden über 1.500 Krankenhäuser in Deutschland einer Angriffsoberflächenanalyse unterzogen. Über ein Drittel wiesen Schwachstellen für mögliche externe Datenzugriffe auf. Die Studienautoren empfehlen, die IT-Infrastrukturen systemrelevanter Einrichtungen wie Krankenhäuser regelmäßiger im Rahmen einer aktiven Aufklärung zu testen. Auch das IT-Sicherheitsgesetz 2.0 fordert unter anderem einen besseren Schutz der zunehmend digitalisierten Behandlungsprozesse. In einer Stellungnahme des Verbandes der Krankenhaus-IT-Leiterinnen und -Leiter (KH-IT) zum IT-Sicherheitsgesetz könnte die konsequente Einführung und Anwendung eines Benutzerberechtigungsmanagements für mehr Sicherheit sorgen, etwa im Sinne eines IAM (Identity Access Management). Bei einem IAM erhalten Nutzer elektronische Identitäten und damit verbundene Zugriffsrechte. Sie müssen sich dann authentifzieren und auch befugt sein, bestimmte Geräte oder Services nutzen zu können.
Neuer Sicherheitsstandard für Medizingeräte
Dieses Berechtigungsprinzip für Anwender überträgt das Service-Oriented Device Connectivity-Protokoll zusätzlich auf die Technik selbst, indem sich ein Medizingerät beispielsweise vor der Datenübertragung an ein anderes Gerät oder einen Server authentifizieren muss. So soll verhindert werden, dass sich unerwünschte Dritte unbemerkt in den Datenaustausch einschalten. Zudem überprüft das sendende Gerät, ob das anfragende Gerät überhaupt autorisiert ist, das heißt berechtigt, bestimmte Informationen zu erhalten. Für diese Prozesse ist jeweils der Austausch digitaler Zertifikate notwendig. SDC sorgt so dafür, dass die Kommunikation zwischen Medizingeräten untereinander mit Hilfe einer Public Key Infrastruktur (PKI) wie sie auch vom Online-Banking her bekannt ist, verschlüsselt wird. Die Netzwerktechnologie ermöglicht zudem einen gesicherten Übergang in das Krankenhausnetz, um das Krankenhausinformationssystem (KIS) anbinden zu können. Bei SDC spielt es keine Rolle, von welchem Hersteller die Geräte stammen. Sie müssen nur in SDC miteinander kommunizieren können. Dräger bietet erste Datenaustausch-Optionen auf der Basis von SDC für seine Intensivbeatmungs- und Anästhesiegeräte. Die Brücke zum KIS kann mit Hilfe des neuen FHIR-Standards (Fast Healthcare Interoperability Resources) geschlagen werden. So lassen sich beispielsweise Vitalwerte und Beatmungsdaten von den Medizingeräten zur Auswertung direkt und sicher in das PDMS übertragen. Unter anderem lässt die Charité Berlin bereits Medizintechnik und datenverarbeitenden Systeme der Universitätsklinik so miteinander kommunizieren.
„SDC wird sich auch in Deutschland als unabhängiger international anerkannter Kommunikationsstandard für Medizintechnik im Krankenhaussektor weiter durchsetzen. Im Hinblick auf Cybersicherheit bietet SDC ein bisher nicht erreichtes Sicherheitsniveau wie es nur vom digitalen Austausch vertraulicher Informationen im privaten Bereich her bekannt ist“, so Jens Altmann, President Business Unit Data Business bei Dräger.
Dräger. Technik für das Leben®
Dräger ist ein international führendes Unternehmen der Medizin- und Sicherheitstechnik. Unsere Produkte schützen, unterstützen und retten Leben. 1889 gegründet, erzielte Dräger 2020 weltweit einen Umsatz von rund 3,4 Mrd. Euro. Das Lübecker Unternehmen ist in mehr als 190 Ländern vertreten und beschäftigt weltweit mehr als 15.000 Mitarbeiter. Weitere Informationen unter