Das BSI hat in einer Stu­die zur Cyber-Sicher­heit von Medi­zin­pro­duk­ten 150 Schwach­stel­len bei zehn getes­te­ten Gerä­ten gefunden.

Das berich­tet das „Redak­ti­ons­netz­werk Deutsch­land” (Don­ners­tag­aus­ga­ben) unter Beru­fung auf die Stu­die. Die Zahl sei „auf­fäl­lig hoch”, sag­te Behör­den­chef Arne Schön­bohm dem RND. „Das sind im Durch­schnitt 15 Schwach­stel­len pro Gerät. Das ist, als ob man ein Dach decken lässt und am Ende hat es 15 undich­te Stel­len. Das wür­de kein Haus­be­sit­zer akzeptieren”.

Unter­sucht wur­den zum Bei­spiel Infu­si­ons- und Sprit­zen­pum­pen, Herz­schritt­ma­cher, Moni­to­re und Insu­lin­pum­pen. „Bei der Prü­fung stell­te sich her­aus, dass die Schwach­stel­len häu­fig in der beglei­ten­den Infra­struk­tur, sel­ten jedoch in Medi­zin­pro­duk­ten zu fin­den waren”, heißt es in der Stu­die. Aus der Stu­die geht auch her­vor, dass bei einer Insu­lin­pum­pe die Schwach­stel­le so aus­ge­prägt war, wonach eine Mani­pu­la­ti­on bei der Men­ge der Insu­lin­ga­be mög­lich gewe­sen wäre. Im äußers­ten Fall hät­te so ein Mensch umge­bracht wer­den kön­nen, indem ihm durch Steue­rung sei­ner Pum­pe von außen zu viel Insu­lin ver­ab­reicht wor­den wäre.

„Bei der IT-Sicher­heit der Medi­zin­pro­duk­te gibt es Nach­hol­be­darf. Da müs­sen die Her­stel­ler ganz klar bes­ser wer­den”, so Schön­bohm, der auch dar­auf ver­wies, dass die zehn getes­te­ten Pro­duk­te erst der Anfang gewe­sen sei­en. „Bei einem Pro­dukt ist sogar die Pati­en­ten­si­cher­heit gefähr­det gewe­sen. Bei den Pro­duk­ten, die wir unter­sucht haben, sind die Sicher­heits­lü­cken inzwi­schen über­wie­gend besei­tigt”, sag­te der BSI-Chef.

Er sorgt sich auch um die Cyber-Sicher­heit von Kran­ken­häu­sern. „Es gab eine Rei­he von Vor­fäl­len in Kli­ni­ken in den ver­gan­ge­nen Jah­ren, bei denen die IT der Kran­ken­häu­ser ange­grif­fen wur­de”, sag­te er. „Mit rela­tiv ein­fa­chen Maß­nah­men wie dem IT-Grund­schutz des BSI hät­te man eine Viel­zahl der Angrif­fe abweh­ren kön­nen”, sag­te Schönbohm.

Ihm mache Sor­ge, dass bis­lang noch nicht alle aus­rei­chend gehan­delt hät­ten. „Für ein hohes Niveau an IT-Sicher­heit soll­ten min­des­tens 15 bis 20 Pro­zent der IT-Kos­ten eines Betriebs in die IT-Sicher­heit flie­ßen”. Die IT-Sicher­heit in der Gesund­heits­ver­sor­gung müs­se einen ähn­lich hohen Stel­len­wert bekom­men wie die Pati­en­ten­si­cher­heit. Das Bewusst­sein dafür wach­se gera­de. „Die Infor­ma­ti­ons­si­cher­heit ist die Vor­aus­set­zung für eine erfolg­rei­che Digi­ta­li­sie­rung. Sie ist auch die Vor­aus­set­zung für eine siche­re Gesund­heits­ver­sor­gung.” Mit dem Kran­ken­haus­zu­kunfts­ge­setz sei man auf einem guten Weg.