Wer kennt ihn nicht, den rechtlichen Hinweis, ohne den kein Hustensaft in Deutschland über die Ladentheke gehen darf. Während das Risikobewussten im Bereich etablierter Medizin überzogen scheint, ist es dramatisch unterentwickelt, wenn es um das IoMT geht: das Internet der Medizinischen Dinge.

Auf der informellen Tagung der Gesundheitsminister der Europäischen Union im September 2018 in Wien stand ein Thema im Mittelpunkt: E-Health und Digital-Health. Das klingt innovativ. Niemand möchte in der Politik in Europa abseitsstehen, wenn sich smarte Geräte über Internetverbindungen vernetzen. Viele Menschen wollen die modernste Medizintechnik haben und die EU-Gesundheitspolitiker sind bereit, diesem Wunsch den Weg zu ebnen. Die Rede ist immer wieder von ungenutzten Chancen, nicht von Risiken. Der EU-Gesundheitskommissar Vyntis Andriukaitis spricht von der Möglichkeit, immer mehr von der Therapie in Richtung Prävention zu kommen: „Die Menschen tracken ihre Gesundheitsdaten durch Smartwatches und Apps immer mehr selbst – ungenutzte Potentiale für eine präventive Medizin.“ Mittels Körperanalyse Krankheiten frühzeitig erkennen und bestmöglich schon im Anfangsstadium behandeln? Jederzeit wissen, wie es um einen bestellt ist? Mediziner sehen den Nutzen von Überdiagnose dahingegen durchaus kritisch. In vielen Fällen folgt einer Überdiagnose eine Übertherapie – Krankheiten werden behandelt, obwohl sie gar nicht oder erst viel später hätten therapiert werden müssen. Recht gut untersucht ist dieses Phänomen bei Krebserkrankungen. Der Anteil der Übertherapien bei Neuroblastomen bei Kleinkindern wird auf bis zu 90 Prozent veranschlagt, bei Schilddrüsenkarzinomen liegt der Anteil der unnötigen (und gefährlichen) Therapien bei bis zu 70 Prozent. Wenn nun die Menschen durch digitale Apps eine neue „Vermessung der Welt“ ihres eigenen Körpers beginnen, ist dies sicher nicht allein zum Vorteil.

Kriminelle, Hacker und Aktivisten nutzen den Medizinbereich als Geschäftsfeld und Aktionsraum

Ganz gewiss zum Nachteil ist hingegen die unzulängliche Sicherheitsvorsorge. Während nämlich der Mensch immer mehr in sich hineinhört, scheint bislang niemanden zu interessieren, wie sicher diese Geräte und Apps eigentlich sind. Es geht schon lange nicht mehr darum, lediglich den Schlafrhythmus zu tracken oder eine nette Erinnerung zu bekommen, wann der nächste Schluck Wasser fällig ist. Medizinische Geräte sind immer mehr mit dem Internet verbunden und werden über das weltweite Netz gesteuert. Doch am anderen Ende des Internets, also am „Steuerknüppel“ der App oder des medizinischen Gerätes, sitzen nicht immer nur gut meinende Entwickler, sondern mitunter Kriminelle oder Terroristen.

Diese haben den Medizinbereich längst als höchst lukratives Geschäftsfeld entdeckt. Etabliert ist der Handel mit gefälschten und geraubten Medikamenten. Die Hehler gefälschter Ware sind so erfolgreich, dass etablierte Pharmariesen überlegen, ganze Produktlinien aus dem Markt zu nehmen. Es ist einfach zu viel gefälschte Ware im Umlauf. Die Patienten wenden sich jedoch bei fehlender Wirksamkeit oder Nebenwirkungen an den Hersteller der vermeintlich echten Ware. Das führt zu Reputationsschäden und hohen Kosten für Recherchen und Prozesse. Da nehmen die Hersteller die Ware lieber gleich ganz vom Markt. Wo nichts verkauft wird, kann es auch keine Beschwerden geben. Der kriminelle Druck ist also in Teilbereichen der Medizin schon so groß, dass der reguläre Markt versagt. Das ist die Kapitulation der Medizin vor den Kriminellen.

„Dieser Spagat von  offensichtlichem Gefährdungspotential  auf der einen Seite  und der möglichst schnellen Einführung  moderner, IT-gestützter Behandlungsmethoden  ist eine offene Flanke,  in die Hacker und Kriminelle  nur allzu gerne stoßen.“

Die Firma accenture hat mit der „American Medical Association“ (AMA) eine Erhebung durchgeführt und Ärzte befragt, inwieweit diese von Cyberattacken bislang betroffen waren. Ganze 83 Prozent haben schon negative Erfahrungen gemacht. Die Studie hält fest: „Cyberattacken führen zu Systemausfällen, erhöhen Behandlungskosten und gefährden Patienten.“ Gleichzeitig sind die Mediziner technischen Neuerungen sehr aufgeschlossen. Ein Drittel von ihnen plant, Telemedizin innerhalb der nächsten zwölf Monate einzuführen. Dieser Spagat von offensichtlichem Gefährdungspotential auf der einen Seite und der möglichst schnellen Einführung moderner, IT-gestützter Behandlungsmethoden ist eine offene Flanke, in die Hacker und Kriminelle nur allzu gerne stoßen. Die Kriminellen wissen: Klinische Einrichtungen und Ärzte möchten alles für einen reibungslosen Ablauf und Heilungsprozess ihrer Patienten tun und bei Fehlern und Unzulänglichkeiten auch gerne schweigen. Gleichzeitig bestehen offensichtliche Sicherheitslücken. Notfalls zahlen Kliniken und Ärzte auch bereitwillig das geforderte Erpressergeld. Auch, um dramatische Missstände im Gesundheitssystem zu kaschieren.

Die Website „medileaks.cc“ ist seit Anfang 2018 online und berichtet über diese Zustände. Pikant ist dabei aber ebenso: Die Plattform verfügt über ein Drittel aller Patientendaten der letzten zehn Jahre. Wer wann operiert worden ist und wie der Heilungsprozess ausgesehen hat – all‘ das haben selbst erklärte „Aktivisten“ in ihren Händen. Wie sind sie an diese Daten gekommen? Was steht drin? Sicher ist nur, dass die IT-Systeme entweder der meisten Krankenhäuser in Deutschland oder die an den entscheidenden Schnittstellen nicht hinreichend gegen Datenklau geschützt sind. Die Gesundheit, ein für Menschen höchst sensibler Bereich gepaart mit unzulänglichen Sicherheitssystemen und der Tendenz zum Abwiegeln und Vertuschen, scheint ein Paradies für Kriminelle zu sein.

Zunehmende Vernetzung lebensgefährliche Probleme

Im erstgenannten Themenfeld ging es um Gesundheits-Apps auf Smartphones. Im Zweiten werden Angriffe auf die IT-Systeme von Kliniken gestartet. Davon ist das Wohl des Patienten jedoch noch nicht unmittelbar bedroht. Diese Bedrohung liegt erst vor, wenn medizinische IT-Geräte in den Körper eingepflanzt werden geht.

Unlängst wurde in Fachkreisen der Fall der Herzschrittmacher der Firma „Medtronic“ diskutiert. Hacker machten darauf aufmerksam, dass diese Schrittmacher sich selbsttätig in das Internet einwählen, um die jeweils aktuelle Firmensoftware herunterzuladen. Regelmäßige Softwareupdates sind eine wichtige Voraussetzung für die Betriebssicherheit eines Gerätes. In diesem Fall jedoch war es den Hackern gelungen, eine schadhafte Software einzuschleusen. Das Magazin „heise.online“ berichtet: „Das Problem sitzt im Mechanismus, über den Medtronic-Geräte Software-Updates beziehen. Die zur Funk-Verbindung mit den Implantaten notwendigen Programmiergeräte bauen einen VPN-Tunnel zum Software Distribution Network (SDN) des Herstellers auf, um von dort Updates zu beziehen. Dieser Prozess ist den Hackern zufolge gleich an mehreren Stellen unsicher: Nutzername und Passwort für die VPN-Einwahl sind auf den Programmen hinterlegt und lassen sich leicht auslesen. Die Updates selbst sind nicht digital signiert und werden zudem unverschlüsselt per HTTP zum Programmiergerät geschickt.“

Die Firma Medtronic sah dahingegen keine gravierenden Mängel. Gegenüber dem Deutschen Ärzteblatt teilte sie mit, dass ohnehin alle medizinischen Geräte Sicherheitsrisiken in sich bergen würden und die Gefahr durch die aufgedeckte Softwarelücke äußerst gering sei. Das mag sein. Jedoch ist in der Medizintechnologie die Sensibilität bei Patienten hoch. Schließlich geht es darum, zu heilen und zu helfen. Des Weiteren sind Medizinprodukte besonders nah am Patienten und seiner Gesundheit. Fehlfunktionen haben grundsätzlich immer direkte Auswirkungen auf die Gesundheit. Auch wenn der Hersteller die Sicherheitslücke mitteilt, bleibt der Umstand für die Patienten beunruhigend.

Das allgemeine Schulterzucken ist bei der Frage nach Sicherheit im IoT (Internet of Things) immer noch Branchenstandard. Jan-Peter Kleinhans von der Stiftung Neue Verantwortung hat das Thema untersucht. Resultat ist eindeutig: „Es gibt derzeit keine verlässlichen Sicherheitsstandards und Verantwortlichkeiten, wenn ein neues digitales, vernetztes Produkt auf den Markt kommt. Der Kunde hat keine Chance.“ Ein ungutes Gefühl, das viele beschleicht.

Die weit verbreitete Skepsis gegenüber technischen Neuerungen ist den Deutschen scheinbar eigen. Eine repräsentative Umfrage von ACATECH zusammen mit der Körber-Stiftung ergab, dass zwar 89 Prozent der Deutschen meinen, der technische Fortschritt lasse sich nicht aufhalten. Jedoch meint dies nur eine Minderheit positiv. Nur etwa ein Viertel glaubt, dass dieser technische Fortschritt mehr Probleme lösen werde, als durch ihn entstehen.

Dabei ist das Marktpotential enorm beim IoMT. Die Zahl der internetfähigen Medizingeräte wird sich bis 2022 in nur vier Jahren etwa vervierfachen, so eine neue Deloitte-Studie. Die Nutzung von Internetsystemen und Programmen im Medizinbereich wird sich demnach insgesamt verfünffachen. Der IoMT-Markt wird innerhalb dieser Frist in Europa und Russland von 12 auf 44 Milliarden US-Dollar wachsen. Dieser Optimismus ist verständlich. Der Anteil der Menschen mit einem Alter von 65+ wird sich weltweit bis zum Jahre 2050 verdoppeln. Alte Menschen brauchen mehr medizinische Versorgung. Und viele warten darauf, mit Hilfe internetfähiger Produkte mit mehr Prävention so manche schwere Therapie vermeiden zu können.

Ob dieser Markt tatsächlich so stark wachsen wird, wie es die euphorischen Prognosen versprechen, hängt erheblich damit zusammen, ob man die Sicherheit nicht nur klein redet, sondern tatsächlich in den Griff kriegt. Sicherheitsbedenken sind ein großes Hemmnis, vor allem bei skeptischen älteren Menschen. Die Branche hat diesen Stolperstein teilweise erkannt. Ob die Bedeutung jedoch tatsächlich richtig eingeschätzt wird, darf bezweifelt werden. So hat die „European Union Agency for Network and Information Security“(enisa) zwar im November 2017 „Baseline Security Recommendations for IoT“ herausgegeben. Diese sind jedoch, wie der Titel schon sagt, „grundsätzliche Empfehlungen“ und keine klar gefassten Anforderungen. Auch hier spielt das IoMT nur eine untergeordnete Rolle – zu groß und bislang ungelöst sind die grundsätzlichen Sicherheitsanforderungen an das IoT insgesamt.

Es bleibt zu wünschen, dass die öffentliche Diskussion darüber nun Fahrt aufnimmt. Nur durch öffentlichen Druck wird die Politik sich des Themas annehmen. Chancen der Digitalisierung lassen sich nur nutzen, wenn die Risiken bedacht und Sicherheit gewährleistet werden kann – nirgendwo gilt das so sehr wie im Bereich der Gesundheit. Die Risiken und Nebenwirkungen beim IoMT sind vorhanden. Sie dürfen nicht einfach ignoriert werden.

Der Artikel erschien auch im „Cyber Security Report 2018“.