Sicherheit im Internet der Dinge für medizinische Endgeräte
Die moderne Medizin verfügt über komplexe, digitale Systeme, die beim Wettstreit um den Erhalt von Leben und Gesundheit zum Einsatz kommen. Die Sicherheitsanforderungen an die Informationstechnik medizinischer Endgeräte sind in diesen Anwendungsbereichen entsprechend hoch. Betreiber und Hersteller stehen jedoch vor der Herausforderung eine heterogene Gerätelandschaft absichern zu müssen, deren einzelne Komponenten bislang in Isolation betrieben wurden und für die keine adäquaten oder homogenen Sicherheitsstandards verfügbar sind.
Gerade in der Medizin können durch die Vernetzung von Geräten betriebliche Abläufe optimiert, aber auch Grundlagen für neue Behandlungsmethoden und für die medizinische Forschung gelegt werden. Eine Vernetzung existierender Geräte und der Einsatz neuer Technologien ist daher wünschenswert – erfordert aber neue Ansätze zum Schutz des Gesamtsystems. Eine Herausforderung besteht darin, dass medizinische Geräte im Gegensatz zu Laptops oder Smartphones nicht immer im Onlinemodus arbeiten und teilweise im Rahmen der Zulassung auch Zugriffe durch ensprechende externe Prüfstellen erfordern.
Ziel des Vorhabens „Sicherheit für das medizinische Internet der Dinge (Sec4IoMT)“ ist es, wirtschaftlich tragbare und technisch sichere Lösungsansätze für einen dauerhaften Schutz der Geräte zu entwickeln. Die Grundlage dazu bilden sichere Kommunikationskanäle. Darum werden entsprechende Sicherheitsarchitekturen und Sicherheits-Retrofitting Prozesse, also Prozesse bei denen bereits vorhandene Geräte an aktuelle Sicherheitsanforderungen angepasst werden, erarbeitet, die von den Medizinprodukte-Herstellern auf Praxistauglichkeit erprobt sowie in ihrer Wirtschaftlichkeit analysiert werden. Es wird erforscht, wie Updates von Software, Firmware, Bibliotheken aus kryptographischen Algorithmen, Zertifikaten und Schlüsseln auch bei hohen Stückzahlen und unterschiedlichen Anwendern eingespielt und verteilt werden können, ohne dabei die Produktzulassung zu gefährden. Die Geräte sollen dazu beim Anwender verbleiben und nur zeitweise online sein.
Das Einspielen von einfachen Software-Updates über sichere Kommunikationsprotokolle auf entfernte Geräte stellt einen wichtigen Fortschritt dar. Das Projekt schafft die Grundlagen für künftiges Zertifikats- und Lizenzmanagement auf angebundenen Geräten. Durch ein lizenzbasiertes Sicherheitsmanagement können neue Geschäftsmodelle zur Absicherung und Instandhaltung von medizinischen Geräten etabliert werden. Diese Maßnahmen bilden die Grundlagen für eine weitere Digitalisierung des Gesundheitssektors. Damit stärken sie den Wirtschaftsstandort Deutschland und tragen zur Sicherheit und Unversehrtheit der Bevölkerung bei.