Risiko für IT-Netzwerke

In letzter Zeit häufen sich immer mehr schlechte Nachrichten, die sich auf den Einzug der Informationstechnologie (IT) in Krankenhäuser und Medizinprodukte beziehen. So wurde nach Servern, Routern und Autos auch irgendwann ein Narkosegerät geknackt. Und das Krankenhausmitarbeiter eine E-Mail mit dem Betreff „Virenwarnung“ öffnen, ist gerade in Bezug auf die Notwendigkeit von Hygiene im Krankenhaus nicht verwunderlich.
Es sieht so aus, als ob es sich hierbei um Einzelfälle handelt. Da ist ein Medizinproduktehersteller, der offensichtlich nicht aufgepasst hat. Dort ist ein Krankenhaus, welches seine IT-Landschaft nicht im Griff hat und keine Backups, so dass ein sogenannter Verschlüsselungstrojaner das ganze Krankenhaus für mehrere Tage lahmlegt. Am Rande wird natürlich nach mehr Kontrolle, nach mehr Gesetzen oder Vorgaben verlangt. Nur den wenigsten ist bekannt, dass es diese bereits gibt, nur kaum Anwendung findet. Lange bevor die Bundesregierung das IT-Sicherheitsgesetz im Juli 2015 verabschiedet hat, sind viele Anforderungen an IT-Netzwerke, die Medizinprodukte beinhalten definiert worden.

Bereits seit 2011 gibt es die DIN EN 80001-1, die sich intensiv mit dem Thema beschäftigt. Auch findet man bereits im Medizinproduktegesetz (MPG), der Risikomanagement-Norm DIN EN 14971, der Norm für medizinische elektrische Geräte DIN EN 60601-1 und Medizingeräte-Software DIN EN 62304 und der DIN EN 61907 zum Thema Kommunikationsnetzen mehr als genug Hinweise auf vernetzte Medizinprodukte und was man zu beachten hat. Die DIN EN 80001-1 untersucht bei der Vernetzung drei wichtige Schutzziele. Dies sind die Sicherheit, die Daten- und Systemsicherheit und die Effektivität. Es geht also nicht nur darum, dass das Gerät nicht von außen angreifbar ist. Der Fokus wird auch daraufgelegt, wie man als Betreiber darauf vorbereitet ist, wenn das Netzwerk ausfällt. Und das kann schon so etwas Triviales wie der Ausfall des Netzwerkdruckers sein. (Hier reicht meist als Abstellmaßnahme das bereitlegen eines USB-Kabels zum direkten verbinden von PC und Drucker)

Die Herausforderungen stecken andererseits im Detail. Wer einmal versucht bei sich zu Hause eine Liste aller Geräte zu erstellen, die im Netzwerk hängen (inklusive Betriebssystem, IP-Adresse, MAC-Adresse, freigeschalteten Ports etc) wundert sich bereits über die Menge an Geräten. Da ist zum einen der Router, der Rechner, ein Laptop, ein Tablet, der Fernseher, der Bluerayplayer, der Ipod, der Drucker, ein Netzwerkspeicher usw. Stellt man sich nun vor, wieviele Produkte in einem Krankenhaus stehen, kann man sich die größe der Aufgabe vorstellen. Als nächstes sollte man nun laut Norm einen Netzplan erstellen, also wie hängen die Geräte zusammen, wo sind Switches, Firewalls, etc positioniert. Sehr schnell stellt man fest, dass es vielleicht nicht sinnvoll ist den MRT am gleichen Netz wie die EKG-Überwachung zu haben. Und das Multimediasystem am Krankenbett hängt im gleichen Netz wie der Stations-PC…
Obwohl die Gefährdung hoch ist, wird in diesem Bereich bisher kaum etwas unternommen. Es gibt derzeit wenige Prüfer und dadurch auch wenige, die sich auf Prüfungen vorbereiten. Doch genau wie zuhause sollte man sich auch als Betreiber ein paar grundlegende Gedanken über sein IT-Netzwerk machen. Spätestens dann, wenn davon Menschenleben und hohe wirtschaftliche Ausfälle abhängen können.

Auch interessant:

EMV in der Medizintechnik: Die 4. Ausgabe der IEC 60601-1-2

Die 60601-1-2 ist die EMV-Norm zur 60601 Normenfamilie, d. h. dass sie prinzipiell für alle medizinischen elektrischen Geräte gilt. Der ausführliche Name der Norm DIN EN 60601-1-2:2016 lautet: „Medizinische elektrische…

Links

Vemet GmbH

(Gast) Torben Carlson

Torben Carlson ist Ingenieur der Elektrotechnik (Diplom) und arbeitet seit mehr als 10 Jahren als Projektleiter. Nach mehreren Projekten für verschiedene Medizinproduktehersteller und Einblicken in verschiedene Krankenhäusern gründete er im Jahr 2015 die Vemet GmbH mit dem Fokus auf die DIN EN 80001-1:2011. Er arbeitet außerdem für Olympus Winter & Ibe, welche zur Olympus Gruppe gehört.

Getagged mit: , , , , , ,
0 Kommentare zu “Risiko für IT-Netzwerke
    1 Pings/Trackbacks für "Risiko für IT-Netzwerke"
    1. […] 80001-1, die schon in dem Artikel Risiko für IT-Netzwerke beschrieben […]

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht.