IT-Security für medizinische-IoT-Geräte

„Vorab-Hacking“ als Teil des Entwicklungsprozesses

29. Januar 2021, 11:05 Uhr | Hagen Lang
© STORZ MEDICAL AG

Die Schweizer STORZ MEDICAL AG ist ein führender Hersteller medizinischer Geräte, die Stoßwellen therapeutisch nutzen. Ihr Software-Entwickler und Cyber-Sicherheitsexperte Axel Koch erklärt, wie umfangreich hauseigene Geräte und deren Software vor Cyber-Angriffen geschützt werden.

Herr Koch, können Sie kurz erklären, welche Vorteile die Stoßwellenlithotripsie für Patienten hat?

Vor 40 Jahren wurde an der Urologischen Klinik der Universität München im Klinikum Großhadern die erste Behandlung eines Nierensteinpatienten mit Stoßwellen durchgeführt. Was heute eine wichtige Therapieoption in der Urologie ist, war damals eine Revolution. Zuvor mussten Chirurgen Nieren- und Uretersteine durch eine aufwändige, offene Operation entfernen. Für den Patienten bedeutete dies einen längeren Aufenthalt im Krankenhaus und oft auch eine langwierige Rehabilitation. Mit der Einführung der sogenannten extrakorporalen Stoßwellenlithotripsie, kurz ESWL, konnten die Patienten nun ohne Narkose, nicht-invasiv – also ohne Schnitte in das Gewebe – und sogar zum Teil nur ambulant behandelt werden.

Welche Rolle spielte Ihr Unternehmen, bzw. Mitarbeiter Ihres Unternehmens bei der Entwicklung der Stoßwellenlithotripsie?

Bereits bei der erwähnten ersten Behandlung waren STORZ MEDICAL-Mitarbeiter beteiligt. Seitdem haben wir die Entwicklung der technologischen Innovationen nicht nur in der Urologie, sondern auch in anderen Fachgebieten vorangetrieben. Die Geräte wurde kompakter und die Bedienung anwenderfreundlicher. Bis heute wurden weltweit über 2,5 Millionen Patienten, die unter Harnsteinen litten, mit unseren Lithotriptern behandelt.

Gibt es weitere medizinische Anwendungsgebiete für die Technologie?

Das Anwendungsspektrum der Stoßwellentechnologie wurde in den letzten Jahrzehnten in einer Weise erweitert, wie wir es anfangs nicht für möglich gehalten hätten. Inzwischen werden Stoßwellen unter anderem in der Orthopädie wie zum Beispiel bei Fersensporn, in der Kardiologie bei Angina Pectoris und neuerdings auch in der Neurologie angewendet. Hier ist STORZ MEDICAL ein Vorreiter bei der Behandlung von Alzheimer-Patienten mit der Transkranielle Pulsstimulation. Dabei werden Gehirnregionen gezielt mit Schallpulsen behandelt und die abgegebene Energie in Echtzeit mit einem 3D-Trackingsystem dokumentiert.

An welchen aktuellen Forschungen ist STORZ MEDICAL beteiligt?

Das Ziel unserer Entwicklungsabteilung ist es, das Potenzial der Stoßwellentechnologie weiter zu erforschen. Und wie wir in der Vergangenheit gesehen haben, ist es noch lange nicht ausgeschöpft. Dabei forschen wir nicht nur intern, sondern auch immer in reger Zusammenarbeit mit Medizinern. Jüngstes Beispiel ist die Arbeit "Elektrohydraulische Hochfrequenz ESWL - Evaluation der Nierenschäden" von Frau Dr. Marie-Claire Rassweiler-Seyfried, die in Kooperation mit unseren Spezialisten entstanden ist. Ihr neuer Ansatz könnte in Zukunft die Behandlungsdauer der Stoßwellenlithotripsie deutlich verkürzen und wurde gerade erst mit dem Forschungsstipendium "Christian Chaussy Award" der Deutschen Gesellschaft für Stoßwellenlithotripsie ausgezeichnet.

Welche potentiellen Gefahren gehen von der Technologie für Anwender und Patienten aus?

Generell besteht bei der Stoßwellenbehandlung nur dann ein Risiko für den Patienten, wenn die Wellen ein anderes Körperteil treffen als den gewünschten Bereich. Das heißt: Ist die sogenannte Stoßwellenquelle nicht auf den zu zertrümmernden Stein gerichtet, könnte unter Umständen Körpergewebe geschädigt werden – in Form von Hämatomen.

Wenn man nun an Cyberangriffe denkt, könnte dieser Fall eintreten, wenn beispielsweise die Liege, auf welcher der Patient liegt, in eine unerwünschte Position fährt. Außerdem könnten Behandlungsparameter beeinflusst oder Patientendaten gelöscht, manipuliert und auch gestohlen werden.

Medizinische Geräte sind Teil des Internet of Things

Warum muss man sich Lithotripter – wie die meisten medizinisch-technischen Geräte heutzutage- nicht mehr als therapeutische Stand-Alone-Apparate, sondern als vernetzte Geräte vorstellen?

Ohne die Möglichkeit, sich digital zu vernetzen, ist ein modernes medizinisch-technisches Gerät heutzutage im Krankenhaus nicht mehr denkbar. Neben der Anbindung an das klinikeigene Netzwerk ermöglicht die Vernetzung letztendlich Optimierung, Kostenreduktion und maximale Qualität der Behandlung. Beispielsweise lesen Ärzte Patientendaten nicht mehr von einer Papierakte ab, sondern rufen sie elektronisch auf.

Die Übertragung solcher Behandlungsdaten oder beispielsweise Röntgenbilder ist durch eine DICOM-konforme Kommunikation möglich. In der Software integrierter Content wie Anwendervideos helfen dem Arzt, das Gerät zu bedienen und optimal zu nutzen. Auch kann das System Statusinformationen betreffend Auslastung und anstehender Wartungen elektronisch und automatisiert an entsprechende Stellen verteilen.

Gibt es besondere Gefahren, die man als Hersteller vernetzter Geräte adressieren muss?

Es gibt hier eine Vielzahl von Angriffsmöglichkeiten wie zum Beispiel Manipulation von Datenströmen und wichtigen Anzeigen, Eindringen in Systemkomponenten, deren Austausch oder Manipulation, Verschlüsselung von Daten, Komponenten oder ganzen Systemen und nicht zu vergessen der Diebstahl von sensiblen Daten.

Bei uns steht die Sicherheit des Patienten und des Anwenders immer an erster Stelle. Damit die Geräte stets zuverlässig funktionieren, müssen wir ausschließen, dass die Geräte von außen manipuliert werden. Kommt es zu einer Cyberattacke, muss das System diese erkennen und entsprechende Maßnahmen einleiten. Das könnte beispielsweise so aussehen, dass das Gerät Funktionalitäten einschränkt oder ganz ausschaltet, eine automatisierte Wiederherstellung manipulierter Komponenten startet und vor allem den Benutzer über die Vorgänge informiert.

Um dieses Ziel zu erreichen, haben wir alle Schnittstellen auf mögliche Gefahren und Angriffsmöglichkeiten durch ein Team des Security-Spezialisten "softScheck" untersuchen lassen. Dieses hat dabei gezielt versucht, die Software des Geräts zu hacken, um z. B. die Behandlungsenergie höher einzustellen als erlaubt.

Anbieter zum Thema

zu Matchmaker+

  1. „Vorab-Hacking“ als Teil des Entwicklungsprozesses
  2. IT-Security ist die Eintrittskarte für den medizinischen Weltmarkt

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu WEKA FACHMEDIEN GmbH

Weitere Artikel zu Cyber-Security