Viele fühlen sich unwohl bei dem Gedanken, dass vernetzte Smarthome-Lautsprecher vielleicht unbemerkt private Gespräche mithören. Darüber, welche Informationen Medizingeräte weitergeben, machen sich jedoch die wenigsten Sorgen. Auf dem Schwarzmarkt erzielen private Gesundheitsdaten Hunderte bis Tausende von Dollar. Zum Vergleich: Kreditkarten- und Sozialversicherungsnummern werden gerade einmal zu 25 bzw. 10 Cent gehandelt. Bei einem Angriff auf Patientendaten sind nicht nur die Privatsphäre und die persönlichen Daten von Patienten in Gefahr, sondern auch deren Sicherheit. Über gehackte Infusionspumpen im Krankenhaus ließen sich tödliche Dosen verabreichen. Ungeschützte Herzschrittmacher könnten fatale Stromstöße abgeben. Die Coronakrise hat die Situation im Gesundheitswesen verschärft, ein gefundenes Fressen für Cyberkriminelle. Seitdem ist die Zahl der Angriffe über diesen Vektor enorm gestiegen.

Die Absicherung vernetzter Medizingeräte wie Insulinpumpen, Herzschrittmacher und anderer Überwachungsgeräte – auch bezeichnet als „Internet of Medical Things“ (IoMT) – ist ein erster Schritt zur Absicherung sensibler Gesundheitsdaten. Viele laufen auf veralteter Software und der kontinuierliche Wechsel an angeschlossenen Geräten erschwert deren Verwaltung enorm. Von diesen IoMT-Geräten gibt es weltweit etwa 10 Milliarden, und ihre Zahl soll sich Schätzungen zufolge bis 2028 auf 50 Milliarden verfünffachen.

Digitale Zertifikate zum Verschlüsseln von Daten und Authentifizieren der Benutzer

Digitale Zertifikate können Geräte durch die Verschlüsselung sensibler Informationen besser absichern und Verbindungen zu Geräten authentifizieren, bevor Zugriff darauf gewährt wird. Darüber hinaus wahren sie die Integrität der übertragenen Daten. Kürzlich bat ein Kunde DigiCert dringend um Hilfe: Er wollte Gesundheitsanbietern einen Test an die Hand geben, mit dem sich COVID-19-Antikörper nachweisen lassen. DigiCert sollte für die Sicherheit der Bereitstellung sorgen. Dieser Kunde verfügt über weltweit verteilte Laborgeräte, die diese Antikörpertests durchführen können, doch dazu musste der neue Test bei allen Geräten geladen und aktiviert werden. Voraussetzung hierfür war die Aktualisierung der Geräte. Um Gesundheitsanbietern den Test möglichst zügig zur Verfügung stellen zu können, musste die Aktualisierung im laufenden Betrieb durchgeführt werden, anstatt Techniker zu jedem einzelnen Labor zu schicken. DigiCert arbeitete eng mit dem Kunden an der sicheren Aktualisierung im „Over-the-Air“-Verfahren zusammen. Code-Signing-Zertifikate sorgten dafür, dass das Update seinen Bestimmungsort sicher erreichte und nicht während der Übertragung modifiziert wurde. Der Antikörpertest wurde schon wenige Tage nach dem ersten Kontakt mit DigiCert sicher bereitgestellt und kann nun bei Patienten weltweit eingesetzt werden.

Dieser Auftrag ließ sich relativ leicht innerhalb von wenigen Tagen umsetzen. Es kommen jedoch immer mehr vernetzte Geräte hinzu, deren Hersteller andere Standards und Normen verwenden, die nicht zwangsläufig miteinander kompatibel sind. Das wird zunehmend zum Problem. In zwei bis fünf Jahren werden wir uns nicht nur über die Konnektivität mit den Geräten der verschiedenen Hersteller Gedanken machen müssen, sondern über das gesamte System.

So sorgen Hersteller von Smarthome-Geräten für Interoperabilität und Sicherheit

Als die Hersteller von Smarthome-IoT-Geräten vor einer ähnlichen Herausforderung standen, setzten sie sich zusammen, um einen Standard für Interoperabilität zu schaffen, der zudem den Sicherheitsaspekt berücksichtigt. Verbraucher erwarten heutzutage Konnektivität: Smart-Leuchten, -Fernseher und -Thermostate sollen herstellerunabhängig mit ihren Sprachassistenten kompatibel sein. Als sich bei Amazon, Google und Apple die Beschwerden von Verbrauchern häuften, dass ihre IoT-Hubs (Alexa, Google Home und HomeKit) keine Verbindung zu vielen ihrer Smarthome-Geräte aufbauten, wurde deutlich, dass es bei allen an derselben Stelle hakte und etwas getan werden musste. Dadurch wurde auch deutlich, dass Verbraucher Sicherheit mittlerweile als gegeben erwarten und ihre Kaufentscheidungen danach ausrichteten. Also setzten sich die Unternehmen im Rahmen der Zigbee Alliance zusammen und gründeten das Projekt „Connected Home over IP“ (Über IP vernetztes Zuhause, CHIP). Ziel war es, einen standardisierten Ansatz zu entwickeln, sodass jedes Smarthome-Gerät, das den CHIP-Standard erfüllt, abgabenfrei und sicher mit den Hubs funktioniert. Seit der Gründung haben sich Dutzende führende Hersteller von Smarthome-Geräten, Anbieter aus dem Silicon Valley und Sicherheitsexperten dem Projekt angeschlossen. Die Gruppe will bereits Ende dieses Jahres einen Standardentwurf vorlegen und eine vorläufige Open-Source-Implementierung umsetzen.

Um sicherzustellen, dass Geräte ordnungsgemäß authentifiziert und die Daten vertraulich übertragen werden, wurde DigiCert ebenfalls zur Teilnahme am CHIP-Projekt eingeladen. In Zusammenarbeit mit den anderen CHIP-Teilnehmern sorgt DigiCert dafür, dass das Design und die Architektur der Public Key Infrastructure (PKI) und der Einsatz digitaler Zertifikate tragfähig ist und dass eine geeignete Root-Hierarchie und entsprechende Steuerungsdokumente eingesetzt werden. Sobald dieser Standard fertig und veröffentlicht ist, wird sich der Entwicklungsprozess für Hersteller vereinfachen und Verbraucher müssen sich keine Sorgen mehr machen, dass ihr Smarthome-Gerät vielleicht nicht mit ihrem Smarthome-Hub kompatibel ist, da alle Geräte, die den Standard erfüllen, sicher miteinander interagieren.

Was das Gesundheitswesen von Smarthome-Geräteherstellern lernen kann

Das Konnektivitätsproblem besteht auch im Gesundheitswesen. Wir müssen bereits heute nach vorn schauen und Standards für ein vernetztes Ökosystem erarbeiten, um die Interoperabilität zukünftiger Geräte zu gewährleisten. Und der Sicherheitsaspekt muss von Anfang an grundlegend beim Design berücksichtigt werden. Hier können wir daraus lernen, wie die Hersteller von Smarthome-Geräten diese Herausforderung gelöst haben, und die Erkenntnisse auf den Gesundheitssektor anwenden. Würde eine Gruppe von IoT-Medizingeräteherstellern gemeinsam an branchenweiten Spezifikationen arbeiten, würde die gesamte Branche von dieser Normung profitieren. Dann wären die Sicherheit, Zuverlässigkeit und Vernetzung von IoMT-Geräten gewährleistet.

Wie bei jeder Branche besteht die erste Hürde darin, den Stein ins Rollen zu bringen. Wer ist für die Standardisierung zuständig und wie lässt sich der Prozess anstoßen? Dafür sehe ich zwei Möglichkeiten: Entweder müssen Aufsichtsbehörden oder marktführende Unternehmen (oder beide) den ersten Schritt machen.

1. Zunächst könnten Aufsichtsbehörden Regeln aufstellen, nach denen Hersteller von Medizingeräten sicherheitsrelevante Best Practices übernehmen müssen. Alternativ könnten auch Gesundheits- und Arzneimittelbehörden Branchenführer zur Entwicklung von Sicherheitsstandards aufrufen.
2. Dann könnten die Medizingerätehersteller dem Beispiel der Smarthome-Branche folgen und eine ähnliche Gruppe wie das CHIP-Projekt ins Leben rufen. Um einen standardisierten Ansatz für den gesamten Sektor zu entwickeln, müssen nur einige wenige der Hauptakteure im Gesundheitswesen zusammenarbeiten. Wenn diese erst an einem Tisch sitzen, werden viele weitere Unternehmen der Branche ihnen folgen.

Es sind also sowohl die Aufsichtsbehörden als auch Branchenvorreiter in der Verantwortung. Den ersten Schritt muss jemand wagen, dem es gelingen kann, die richtigen Akteure zu versammeln, um diese Zusammenarbeit voranzutreiben, und er muss die Führungsrolle übernehmen.

DigiCert unterstützt die Schaffung einer vernetzten Welt und hat die richtigen Technologien, um den Datenverkehr und Transaktionen abzusichern, egal in welchem Maßstab. Die Interoperabilität von Geräten in einer ganzen Branche lässt sich durch PKI gewährleisten. Ist diese richtig aufgebaut, ermöglicht sie die Bildung einer Vertrauensbasis innerhalb des Ökosystems. DigiCert hat bereits dem CHIP-Projekt bei der Entwicklung eines Sicherheitsstandards zur Seite gestanden und ist nun bereit, sich auch an der Standardisierung der Sicherheit und Interoperabilität im Medizingerätesektor zu beteiligen.

Wir müssen den Schutz und die Sicherheit von Gesundheitsdaten ernst nehmen, genau wie den Datenschutz und die Sicherheit in unserem eigenen Zuhause. PKI kann bei der Absicherung von Geräten helfen und bietet die richtige Technologie, um die Kommunikation unter IoT-Geräten zu regulieren. Die Hersteller von Medizingeräten können dem Beispiel von Smarthome-Geräteherstellern folgen und ein Projekt zur Lösung dieser Herausforderungen gründen. Dies sind nur die ersten Schritte auf dem Weg zur Absicherung persönlicher Patientendaten, doch im Gesundheitswesen zählt jeder Schritt, denn es geht um die Rettung von Menschenleben.