Das BSI hat in einer Studie zur Cyber-Sicherheit von Medizinprodukten 150 Schwachstellen bei zehn getesteten Geräten gefunden.
Das berichtet das „Redaktionsnetzwerk Deutschland” (Donnerstagausgaben) unter Berufung auf die Studie. Die Zahl sei „auffällig hoch”, sagte Behördenchef Arne Schönbohm dem RND. „Das sind im Durchschnitt 15 Schwachstellen pro Gerät. Das ist, als ob man ein Dach decken lässt und am Ende hat es 15 undichte Stellen. Das würde kein Hausbesitzer akzeptieren”.
Untersucht wurden zum Beispiel Infusions- und Spritzenpumpen, Herzschrittmacher, Monitore und Insulinpumpen. „Bei der Prüfung stellte sich heraus, dass die Schwachstellen häufig in der begleitenden Infrastruktur, selten jedoch in Medizinprodukten zu finden waren”, heißt es in der Studie. Aus der Studie geht auch hervor, dass bei einer Insulinpumpe die Schwachstelle so ausgeprägt war, wonach eine Manipulation bei der Menge der Insulingabe möglich gewesen wäre. Im äußersten Fall hätte so ein Mensch umgebracht werden können, indem ihm durch Steuerung seiner Pumpe von außen zu viel Insulin verabreicht worden wäre.
„Bei der IT-Sicherheit der Medizinprodukte gibt es Nachholbedarf. Da müssen die Hersteller ganz klar besser werden”, so Schönbohm, der auch darauf verwies, dass die zehn getesteten Produkte erst der Anfang gewesen seien. „Bei einem Produkt ist sogar die Patientensicherheit gefährdet gewesen. Bei den Produkten, die wir untersucht haben, sind die Sicherheitslücken inzwischen überwiegend beseitigt”, sagte der BSI-Chef.
Er sorgt sich auch um die Cyber-Sicherheit von Krankenhäusern. „Es gab eine Reihe von Vorfällen in Kliniken in den vergangenen Jahren, bei denen die IT der Krankenhäuser angegriffen wurde”, sagte er. „Mit relativ einfachen Maßnahmen wie dem IT-Grundschutz des BSI hätte man eine Vielzahl der Angriffe abwehren können”, sagte Schönbohm.
Ihm mache Sorge, dass bislang noch nicht alle ausreichend gehandelt hätten. „Für ein hohes Niveau an IT-Sicherheit sollten mindestens 15 bis 20 Prozent der IT-Kosten eines Betriebs in die IT-Sicherheit fließen”. Die IT-Sicherheit in der Gesundheitsversorgung müsse einen ähnlich hohen Stellenwert bekommen wie die Patientensicherheit. Das Bewusstsein dafür wachse gerade. „Die Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Sie ist auch die Voraussetzung für eine sichere Gesundheitsversorgung.” Mit dem Krankenhauszukunftsgesetz sei man auf einem guten Weg.