Wie Sie IoMT nutzen können, ohne eine Sicherheitslücke zu riskieren

Das Internet der medizinischen Dinge (Internet of Medical Things, IoMT) wird oft als die Zukunft des Gesundheitswesens gepriesen.

Das ist nicht ganz richtig.

Tatsache ist, dass Big Data und vernetzte Geräte bereits in Tausenden von Krankenhäusern, Labors und Gesundheitsdienstleistern weltweit fest verankert sind. Mit anderen Worten: IoMT ist nicht unsere Zukunft - es ist unsere heutige Realität.

Die Hersteller medizinischer Geräte setzen immer wieder neue Maßstäbe bei den Rechen- und Verarbeitungsfunktionen und produzieren immer mehr vernetzte Geräte, die Daten erzeugen, sammeln, analysieren und übertragen.

Der Gesundheitsmarkt mit einem Volumen von 41,22 Mrd. US-Dollar IoT umfasst mittlerweile alles, von vernetzten stationären Geräten wie Röntgen- und MRT-Scannern über implantierte Geräte wie Herzschrittmacher bis hin zu Wearables wie Insulinpumpen und Activity-Trackern.

Dann gibt es noch die Infrastruktur, die die Plattformen bereitstellt, die dieses riesige Geräte-Ökosystem ermöglichen: einschließlich Wi-Fi- und Bluetooth-Konnektivität, Gerätemanagement software, Netzwerksicherheit. Auch dies sind alles entscheidende Komponenten des Internets der medizinischen Dinge.

Das IoMT stellt einen bedeutenden Übergang von einem geschlossenen zu einem offenen System dar. Medizinische Geräte und elektronische Gesundheitsakten (EHR), die früher in einem abgeschotteten Krankenhaus-Ethernet betrieben wurden, sind nun in offenen Netzen zu finden, was einen besseren Zugang zu den darin enthaltenen Daten ermöglicht.

Doch diese ständige Konnektivität bringt Sicherheitslücken mit sich - Lücken, die oft schon in dem Moment beginnen, in dem ein neues Gerät in das Netzwerk eintritt.

Man muss kein Sicherheitsexperte sein, um die Bedenken bezüglich der Sicherheit von IoT zu kennen.

Besonders dringlich ist die Herausforderung jedoch im Gesundheitswesen, wo gehackte medizinische Geräte innerhalb eines Herzschlags von hilfreich zu schädlich werden können. Rückrufe von unsicheren Insulinpumpen und Herzschrittmachern erinnern uns eindringlich an Schwachstellen, bei denen es um Leben und Tod gehen kann.

Leider nehmen sich nur 38 % der Unternehmen die Zeit, ihre Sicherheitsteams bei der Auswahl von IoT Lösungen zu konsultieren.

Vernetzte medizinische Geräte müssen vom ersten Tag an tadellos sicher sein. Um dies richtig zu tun, bedarf es einer umfassenden Zusammenarbeit von Gesundheitsdienstleistern und MDMs gleichermaßen.

Es ist inzwischen kein Geheimnis mehr, dass nicht alle neuen medizinischen Geräte in Ihrem Netzwerk offiziell begrüßt werden.

Tatsächlich können unbekannte und nicht verwaltete Endpunkte mehr als zwei Drittel aller Endpunkte im Netzwerk einer Gesundheitsorganisation ausmachen.

Anbieter medizinischer Geräte sind dafür bekannt, dass sie Klinikern Geräte auf Testbasis anbieten, um ihre Produkte in den Markt zu bringen. Diese "unterirdischen" Geräte werden möglicherweise erst Monate später in den Unterlagen erwähnt... normalerweise, wenn eine Rechnung eingeht.

Wenn ein vernetztes Gerät den regulären Risikobewertungsprozess Ihres Unternehmens umgeht - sei es ein winziges tragbares Gerät oder ein stationärer Scanner - bietet es noch mehr Angriffsmöglichkeiten.

Die Verpflichtung zu IoMT-Sicherheit bedeutet, dass keine neuen Geräte unter Ihr Dach kommen sollten, bevor sie nicht ordnungsgemäß geprüft wurden.

Die Verhinderung von Verstößen im Gesundheitswesen beginnt mit proaktiven Maßnahmen in der Phase der Geräteentwicklung.

Damit liegt die Verantwortung eindeutig bei den Herstellern von Medizinprodukten.

Starke Sicherheit durch Design verschafft Ihnen einen enormen Vorteil, wenn es darum geht, potenzielle Bedrohungen zu entschärfen. Viele MDMs sind jedoch völlig uneinheitlich, wenn es darum geht, wer für die Gerätesicherheit verantwortlich ist.

Ein Teil Ihrer Aufgabe besteht darin, die MDMs in die Pflicht zu nehmen, Geräte herzustellen, die auf sichere Weise eingesetzt werden können. Dies bedeutet eindeutige digitale Zertifikate für jedes Gerät, Signierung von Firmware und software sowie Krypto-Agilität, damit die Geräte über die Lebensdauer ihrer ursprünglichen Verschlüsselung hinaus geschützt bleiben.

Untersuchungen haben ergeben, dass es im Durchschnitt sechs Monate dauert, bis eine Sicherheitsverletzung erkannt wird - 190,7 Tage, um genau zu sein.

Das ist genug Zeit für einen Angreifer, um ernsthaften Schaden anzurichten.

Da sich das IoMT weiter ausbreitet, ist es wichtiger denn je, die Geräte, die Ihr Netzwerk nutzen, kontinuierlich zu überwachen. Dies beginnt mit einer Bestandsaufnahme aller an Ihr Netzwerk angeschlossenen Endgeräte: was sie sind, wo sie sich befinden und wie sie sich im Netzwerk verhalten sollten.

Dieser Schritt ist entscheidend für die Überwachung der Geräteaktivität, die Anwendung von software und Firmware-Patches sowie die Beseitigung von nicht verwendeten oder nicht identifizierten Geräten, die ein Risiko darstellen könnten.

Dem medizinischen Personal kann Datensicherheit schwer zu vermitteln sein.

Es ist nicht so, dass Kliniker denken, die Integrität von Medizinprodukten sei nicht wichtig. Weit gefehlt. Das Problem ist, dass die Patientenversorgung an erster Stelle steht - und es fühlt sich nicht immer so an, als ob die Sicherheit auf ihrer Seite wäre.

Aus Ihrer Sicht ist es vernünftig, jedem bildgebenden Gerät ein eigenes Passwort zu geben. Dasselbe gilt für die Änderung dieser Passwörter alle 90 Tage. Aber für die Kliniker, die das Gerät tagtäglich benutzen, ist es lästig, sich diese Zugangsdaten zu merken und ständig zu aktualisieren.

Wenn Sie nicht aufpassen, dauert es nicht lange, bis ein einziges Passwort von mehreren Klinikern und Endgeräten gemeinsam genutzt wird. Die Schulung des Personals muss Teil des Onboarding-Prozesses für Geräte und der täglichen Praxis sein.

Digitale Zertifikate werden zunehmend eingesetzt, um gefährdete Daten, Geräte und software in Organisationen des Gesundheitswesens zu schützen. Die Public Key Infrastructure (PKI) dient als Grundlage für eine sichere IoMT-Plattform, über die jede einzelne Einheit in Ihrer Organisation sicher kommunizieren kann.

Aber Zertifikate sind nicht ewig gültig. Jedes Zertifikat muss regelmäßig erneuert werden, um die Infrastruktur auf dem neuesten Stand zu halten. Und mit der wachsenden Anzahl von IoT medizinischen Geräten in Ihrem Netzwerk steigt auch die Anzahl der Identitäten, die Sie verwalten müssen.

Das ist keine Aufgabe für eine Person. Eine automatisierte, Cloud-basierte PKI ist eine großartige Möglichkeit, einen ansonsten zeitaufwändigen, teuren und fehleranfälligen Prozess zu rationalisieren. Laden Sie unser Whitepaper herunter, um mehr darüber zu erfahren, wie Sie das IoMT mit einer automatisierten, cloudbasierten PKI sichern können: