«Hersteller können nicht allein verantwortlich sein»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt.
Herr Semmer, das amerikanische Ministerium für «Homeland Security» hat gerade eine Kampagne zum Thema IT-Sicherheit durchgeführt, den «National Cyber Security Awareness Month». Haben Sie das Gefühl, das Thema IT-Sicherheit ist allmählich in den Köpfen angekommen?
Das ist mir zu allgemein. Ich denke, die dauernden Nachrichten über Lecks und Datendiebstähle sprechen hier eine deutliche Sprache zum Stand der Dinge. Im Bereich Medizintechnik und vernetzte Geräte sehe ich einen positiven Trend. Neben der neuen EU-Richtlinie GDPR (General Data Protection Regulation) gibt es mittlerweile themenrelevante FDA-Guidelines sowie ISO-Standards für Medizingeräte und Krankenhäuser. Dabei sehe ich die Rolle des Treibers im Gesundheitswesen allerdings nicht nur in der Europäischen Union, sondern auch in den USA – und zwar sowohl für Cybersicherheit als auch für den Schutz der Privatsphäre.
Tatsächlich? Aus europäischer Perspektive sind es doch viel eher die Amerikaner, die für laxe Sicherheitsstandards oder einen unzureichenden Schutz der Privatsphäre stehen?
Das mag für andere Bereiche stimmen, nicht aber für den der Medizintechnik. Die amerikanische Gesundheitsbehörde FDA (Federal Drug Administration) ist mit Polizeigewalt ausgestattet und darf im engen Rahmen sogar Gesetze erlassen. Somit ist sie gewissermassen Legislative, Judikative und Exekutive in einer Person. Damit ist die FDA mächtiger als vergleichbare Institutionen in Europa – eine Macht, die durchaus bereit ist, sich einzusetzen. Das geht von der Veröffentlichung der «Schandtaten» bis zur Werkschliessung, vom Importverbot bis zum Einsammeln aller Produkte durch US-Marshalls – und das auf Kosten des Unternehmens.
Welche Wegweiser gibt die FDA den Unternehmen für korrektes Verhalten?
Für Entwickler medizinischer Software oder vernetzter Geräte hat sie eigens sogenannte Guidance Dokumente herausgegeben. Das FDA Guidance Dokument «Management of Cybersecurity in Medical Devices» wendet sich an alle Medizinproduktehersteller, deren Produkte Software enthalten oder eigenständige Software sind. Das Dokument «Postmarket Management of Cybersecurity in Medical Device» schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung, um zwei zu nennen. Diese Dokumente haben in der Praxis eine hohe Relevanz, zum Beispiel, um eine Zulassung für den amerikanischen Markt zu erhalten. Im Vergleich mit europäischen Normen wie CE sind diese Dokumente ausserdem sehr konkret in ihren Empfehlungen.
Ist das nicht schon wieder ein Wildwuchs an Regeln, Gesetzen und Normen?
Nur auf den ersten Blick. Ich selbst habe seit 2005 an der Ausarbeitung des ISO / IEC Standards 80001 mitgearbeitet. Im zuständigen Gremium hatten auch Vertreter der FDA Einsitz, die so die Norm mitgeprägt haben. Teile davon finden sich heute in den erwähnten Guidelines. Es findet also eine gegenseitige Befruchtung statt. Der Wermutstropfen dabei ist der lange Prozess. Angefangen hatten wir vor 2003, ein erster Draft war 2007 fertig, der Hauptteil dann 2010 und weitere ab 2012. Es dauerte also etwa 10 Jahre.
Sie erwähnten vorhin auch den Schutz der Privatsphäre im Gesundheitswesen. Was machen die Amerikaner denn da?
Hier gibt es zwei relevante Gesetze: HIPAA (Health Insurance Portability and Accountability Act) und die Health Breach Notification Rule der FTC (Federal Trade Commission). Diese Gesetze etablieren eine Meldepflicht bei einer Verletzung der Vertraulichkeit von Gesundheitsdaten. Ausserdem wird klar gesagt, was eine solche Meldung enthalten muss. Das heisst, was Sie melden müssen, wann Sie es melden müssen, in welcher Form und an wen Sie es melden müssen.
Wird da auch mal jemand verurteilt?
Es scheint zumindest ernster zu werden. Gemäss einer Liste der Compliancy Group verhängte das Office for Civil Rights (OCR) 2015 Strafen im Gesamtwert von 6,2 Millionen Dollar. 2016 wa- ren es 23,5 Millionen Dollar. Das sind zwar immer noch Peanuts, aber der Stein scheint allmählich ins Rollen zu kommen.
So etwas soll auch im Rahmen der GDPR-Richtlinie für Europa kommen, die im Mai 2018 in Kraft tritt.
In Kraft getreten ist die Verordnung bereits am 24. Mai 2016. 2018 endet lediglich die zweijährige Übergangsfrist. Allerdings wird sich die Stärke und Relevanz der Verordnung erst in der Anwendung zeigen. Aber mit der GDPR gibt es jetzt zumindest theoretisch die Möglichkeit, handfeste Strafen zu verhängen – im Falle eines Unternehmens Geldbussen von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Wie sieht es mit der praktischen Anwendung aus? Was tut sich in den Unternehmen?
Hersteller und Krankenhäuser sind in der Pflicht, die Sicherheit von vernetzten Medizingeräten zu gewährleisten, d. h. sowohl in der Entwicklung, Herstellung als auch im Betrieb. Dazu bedarf es auch einer Abstimmung zwischen Krankenhäusern und Herstellern, um die sicherheitstechnischen Möglichkeiten im Rahmen eines Krankenhaus-Netzwerkes optimal zu nutzen. Cybersecurity ist dabei nicht nur ein technisches Thema. Sie müssen erst einmal Awareness schaffen und entsprechende Policies & Procedures aufstellen. Der Schlüssel ist dabei das Risikomanagement. Grosse, internationale Medizintechnikhersteller haben heute Cybersecurity als wesentliche Komponente in ihre Prozesse integriert, und zwar schon in den ersten Momenten der Produktentwicklung. Eine gute Umsetzung der ISO 14971 (Risikomanagement für Medizinprodukte) sollte genau das machen, ergänzt um Security-Risiken. Aus diesen Teilen resultiert dann eine bestmögliche Sicherheit.
Möglichst gut?
Sicherheit können Sie nur beherrschen, wenn Sie alle Risiken kennen. Das ist ein aufwendiger Prozess: Man muss seine Assets kennen, mögliche Angreifer und Schwachstellen. Zu 100 Prozent ist das aber leider nicht möglich, zumal wir mittlerweile in einer vernetzen Welt leben. Selbst wenn ich alles richtig mache, kann einer unserer Partner am Ende eine Lücke schaffen. Da reicht ein nicht abgesicherter Hotspot. Deswegen können wir auch nicht die alleinige Verantwortung tragen.
Was meinen Sie damit?
2017 erfolgte durch den Verschlüsselungstrojaner WannaCry einer der weltweit grössten Cyberattacken. Betroffen waren unter anderem auch Spitäler in Grossbritannien. Warum? Eine bekannte Sicherheitslücke war nicht gepatcht.
Das ist zwar richtig, aber auch nicht nur der Fehler der Krankenhäuser. Das Wissen um die Sicherheitslücke kam ja aus den Archiven der amerikanischen NSA. Die hortet, wie alle Geheimdienste, Zero-Day-Exploits.
Ja, das ist auch paradox. So tasten wir uns aber langsam an des Pudels Kern heran. Sowohl Unternehmen wie Krankenhäuser können hier mehr tun. Dennoch müssen wir auch eine gesellschaftliche Debatte über grundlegende Sicherheitsaspekte führen. Sollten unsere Geheimdienste die Zero-Day-Exploits einfach horten oder sollten wir sie zu «Responsible Disclosures» zwingen? Die Sicherheitsdienste haben zweifellos auch ihre Bedürfnisse – ich vermisse hier aber den Dialog. Wenn medizinische Geräte kompromittiert werden, geht es schliesslich genauso um Menschleben wie in der Verbrechensbekämpfung.