Lebensgefahr durch Sicherheitslücken in Medizingeräten

Manipulierte Infusionspumpen und unterdrückte Warnmeldungen können tödlich enden – doch Hersteller reagieren auf technische Schwachstellen oft gar nicht oder abweisend.

, 17. Februar 2025 um 12:30
image
Zu Beginn des Jahres wurde bekannt, dass im Rahmen einer Sicherheitsüberprüfung schwerwiegende Schwachstellen in Kliniksystemen entdeckt wurden. Dies überrascht wenig, denn das Risiko ist unter Fachleuten seit Jahrzehnten bekannt. Doch der Umgang damit gestaltet sich als äusserst schwierig. Hersteller, Kliniken und Regulatoren sind gleichermassen gefordert, Lösungen zu finden.
Werden konkrete technische Schwachstellen in Medizinprodukten gefunden und den Herstellern gemeldet, reagieren diese entweder gar nicht oder abweisend.
Das Problem beginnt bereits bei der Entwicklung von Medizingeräten. Diese werden traditionell von Unternehmen hergestellt, die nicht oder nur indirekt aus dem IT-Bereich stammen. Produktentwickler und Ingenieure legen den Fokus vorrangig auf die Funktionalität, während Cyber-Risiken oft eine untergeordnete Rolle spielen.
Marc Ruef ist Mitbegründer der Firma scip AG in Zürich, die seit 2002 Beratungen im Bereich Cybersecurity anbietet. Das Unternehmen ist spezialisiert auf Sicherheitsüberprüfungen von IT-Systemen. Unter anderem fokussiert es sich auf die Analyse von Medizingeräten.
Ein zentrales Problem besteht darin, dass die Marktzulassung für Medizingeräte IT-Sicherheitsrisiken nur oberflächlich berücksichtigt und keine verbindlichen Vorgaben macht. Dadurch werden diese Risiken entweder unterschätzt oder gar nicht beachtet.
Häufig wird argumentiert, dass ein gezielter Angriff auf Medizingeräte unwahrscheinlich sei oder aufgrund der eingesetzten, oft exotischen Technologien besonders schwierig wäre. Diese Annahme ist jedoch falsch.

Schwachstellen

Medizingeräte werden von Kliniken evaluiert, eingekauft und installiert. Dabei spielt das Kriterium Cybersicherheit häufig nur eine untergeordnete Rolle. Entscheidend sind stattdessen Funktionalität und Kosten. Vertragsklauseln, die Sicherheitsverpflichtungen für Hersteller festlegen – etwa zur Behebung von Schwachstellen innerhalb einer bestimmten Frist – sind selten.
Werden dann konkrete Sicherheitslücken in Medizinprodukten entdeckt und den Herstellern gemeldet, erfolgt in der Regel keine konstruktive Reaktion. Oft werden stattdessen Anwälte vorgeschickt, um Druck auf die Meldenden auszuüben. Hersteller scheuen den Aufwand, Schwachstellen zu beheben und sich gegebenenfalls erneut um eine Marktzulassung kümmern zu müssen.
Die Manipulation einer vernetzten Infusionspumpe kann zu einer Überdosis und damit zum Tod führen
Für Kliniken entsteht daraus eine schwierige Situation: Wenn ein Hersteller ein Problem nicht beheben will, gibt es nur begrenzte Möglichkeiten, die Behebung der Schwachstelle zu erzwingen. Eigenständige Sicherheitsmassnahmen sind oft nicht umsetzbar, und ein kurzfristiger Wechsel auf alternative Produkte ist selten möglich. Viele Kliniken vermeiden daher solche Konflikte – nicht zuletzt, weil sie mit zusätzlichen Kosten verbunden sind.
Die Leidtragenden sind letztlich die Patienten, die auf diese Geräte angewiesen sind.
Die Manipulation einer vernetzten Infusionspumpe könnte beispielsweise zu einer Überdosis und damit zum Tod führen. Ebenso kann das gezielte Unterdrücken von Warnmeldungen auf einem Patientenmonitor dazu führen, dass lebensbedrohliche Zustände zu spät erkannt werden. Solche Schwachstellen wurden bereits in bestimmten Produkten entdeckt und dokumentiert.

Was sich ändern muss

Die Lösung dieses Problems ist komplex. Es gibt keine einzelne Massnahme, die eine schnelle und umfassende Verbesserung herbeiführt. Vielmehr ist ein Umdenken auf mehreren Ebenen erforderlich:
  • Marktzulassung: Regulierungsbehörden müssen IT-Sicherheitsaspekte stärker in die Zulassungsverfahren einbeziehen und verbindliche Sicherheitsstandards definieren. Zudem sollten kurzfristige Sicherheitsupdates ermöglicht werden, ohne dass dies ein vollständiges Zulassungsverfahren nach sich zieht.
  • Kliniken: Beim Kauf von Medizingeräten muss Cybersicherheit eine grössere Rolle spielen. Kliniken sollten klare vertragliche Regelungen mit Herstellern treffen, um die regelmässige Behebung von Schwachstellen sicherzustellen.
  • Hersteller: Diese müssen sich ihrer Verantwortung bewusst werden und IT-Sicherheit als integralen Bestandteil der Produktentwicklung verstehen.

Artikel teilen
  • Share
  • Tweet
  • Linkedin
  • Whatsapp
  • Telegram
Kommentar

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Was ist Ihr Beruf?

Wo arbeiten Sie?*

undefined
undefined

*Diese Angaben sind freiwillig. Sie bleiben im Übrigen anonym.
Warum bitten wir Sie darum? Medinside bietet Ihnen die Informationen und Beiträge kostenlos. Das bedeutet, dass wir auf Werbung angewiesen sind. Umgekehrt bedeutet es idealerweise auch, dass Ihnen auf Medinside möglichst nur Werbung gezeigt wird, die zu Ihnen passt und die Sie interessant finden könnten.
Wenn wir durch solche Erhebungen Angaben über das allgemeine Profil des Medinside-Publikums gewinnen, nützt dies allen: Ihnen, liebe Leserinnen und Leser, uns und unseren Kunden. Vielen Dank!

Mehr zum Thema

image

Cyberattacke legt Londoner Spitäler teils lahm

800 Operationen mussten bislang verschoben werden. Und die Probleme könnten noch monatelang andauern.

image

«Mit einer manipulierten Infusionspumpe könnten wir eine Tötung herbeiführen»

Medizingeräte wie Arzneimittelpumpen oder Operationsroboter kommen ins Visier von Cyberkriminellen. Mit potenziell tödlichen Folgen.

image

Weniger Cyberattacken auf deutsche Spitäler

Greifen Hacker wirklich immer öfter Krankenhäuser an? Ein Regierungsbericht widerspricht dem gängigen Bild.

image

Das BAG muss bei der Cybersicherheit nachrüsten

Das Gesetz will, dass das Bundesamt für Gesundheit ein Information Security Management System betreibt. Davon ist die Behörde allerdings noch weit entfernt.

image

Cyber-Sicherheit: Spital STS liess sich hacken – und fand Lücken

Ethische Hacker entdeckten im Auftrag der Thuner Spital-Gruppe Sicherheitslücken, die andernorts schon für Ransomware-Angriffe ausgenutzt worden waren.

image

KSW rüstet bei Cybersicherheit auf

Knapp 3 Millionen Franken investiert das Kantonsspital Winterthur in die Cybersecurity und lässt sein Security Operations Center neu extern betreiben.