Rettungswesen: Software-Sicherheitsleck zeigt Brisanz der Datensicherheit

Zunehmende Angreifbarkeit medizinischer Geräte erfordert Gegenmaßnahmen

[datensicherheit.de, 09.04.2018] G DATA weist in einer aktuellen Stellungnahme warnend darauf hin, dass in Rettungswagen (RTW) heute zunehmend auch Geräte im Gebrauch sind, welche in Realzeit Patienten- oder Einsatzdaten übermitteln oder erhalten können. In diesem Zusammenhang wird auf einen jetzt bekannt gewordenen Vorfall eingegangen, bei dem sich ein Hersteller von Software für die Notfallmedizin einen „schwerwiegenden Programmierfehler“ geleistet hatte – hierdurch seien diese Informationen abgreifbar gewesen. Das Problem sei inzwischen beseitigt worden; es zeige trotzdem, dass neue Verfahren für IT-Sicherheit flächendeckend im Gesundheitssektor etabliert werden müssten, damit die Sicherheit im Sinne von Vertraulichkeit von Daten gewährleistet werden kann.

Digitale Helfer sollen Zeit sparen

Bei Rettungsdiensten kommen zunehmend digitale Helfer im Einsatz. Das kann helfen Zeit einzusparen, denn in vielen Fällen ist die Besatzung eines RTW bereits unterwegs, während der Anrufer noch am Telefon ist.
Die Leitstelle kann mit Hilfe des Internets und entsprechend ausgestatteter Fahrzeuge neue Informationen wie Adressen oder Patientendaten in Realzeit an die RTW-Besatzung übermitteln. Zugleich kann der Rettungsdienst diese Informationen für Auswertungs- und Abrechnungszwecke nutzen.

Schwerwiegenden Patzer behoben

Ein Unternehmen, das Softwarelösungen für die Notfallmedizin anbietet, soll sich hierbei nun einen „schwerwiegenden Patzer“ geleistet haben: Informationen für die Online-Plattform, mit der die Geräte kommunizieren, wurden demnach fest in die App integriert, ohne Möglichkeit diese zu verändern. So soll es möglich gewesen sein, echte Einsatzdaten abzurufen – teilweise sogar inklusive Patientendaten. Der Hersteller habe bereits reagiert und ein Update herausgegeben, um den Missstand zu beheben.

Angreifbarkeit medizinischer Geräte beunruhigend

Dieses Ereignis bildet laut G DATA die „Fortsetzung in einer Reihe beunruhigender Berichte über die Angreifbarkeit medizinischer Geräte“.
Forscher hätten beispielsweise in der Vergangenheit demonstriert, dass Narkosegeräte unter den richtigen Voraussetzungen angreifbar sind. Herzschrittmacher mit Sicherheitslücken seien ebenfalls keine Neuigkeit mehr.

Gegenmaßnahmen benötigen viel Zeit

Die Gesundheitsbranche hat laut G DATA die Warnung verstanden. Es werde aber noch viel Zeit vergehen, bis flächendeckend neue Verfahrenswege bei der IT-Sicherheit etabliert sind. Die Tatsache, dass Ärzte und Psychotherapeuten, die bisher bevorzugt „offline“ gearbeitet haben, nun zwangsweise an ein Telematik-Netzwerk zur Verwaltung von Patientenakten angeschlossen werden sollten, rufe Unbehagen bei Medizinern und Datenschützern hervor, gerade weil diese Gruppen besonders auf die Vertraulichkeit und Integrität der Daten angewiesen seien.
Vertraulichkeit und Integrität gehörten neben der Verfügbarkeit zu den wichtigsten Pfeilern der Datensicherheit. Wenn Patienten ihren Ärzten vertrauen, die Ärzte jedoch nicht den Geräten, die sie nutzen, dann sei viel Ungemach programmiert, warnt G DATA.

Weitere Informationen zum Thema:

G DATA Security Blog, 09.04.2018
Sicherheitsleck im Rettungswagen / IT-Sicherheit macht auch vor dem Rettungsdienst nicht halt

datensicherheit.de, 25.06.2014
Big Data: Herausforderung an Gesellschaft, Technik und Recht