https://www.faz.net/aktuell/feuilleton/aus-dem-maschinenraum/it-sicherheit-in-der-medizin-diagnose-computergrippe-13914408.html

IT-Sicherheit in der Medizin : Diagnose: Computergrippe

  • -Aktualisiert am

Wenn die IT der versorgenden Geräte nicht sicher ist, ist es auch der an sie angeschlossene Patient nicht mehr. Bild: dpa/dpaweb

Die Abwehrkräfte medizinischer Datenbanken sind schwach. Das zeigt eine immer länger werdende Liste von Berichten über Hacks im Medizinbereich: Diese bedrohen das Leben von Patienten.

          4 Min.

          Es lässt sich manchmal nicht vermeiden: Ein paar Tage Krankenhaus werden nötig, nur ein kleiner Eingriff, wie die Ärzte versichern. Es sind kaum drei Tage Aufenthalt, in denen sich schnell Langeweile breitmacht. Da zückt der geneigte Hacker - nennen wir ihn Bernd - schon mal seinen Computer und steckt aus Neugier ein Kabel in die Dose im Krankenzimmer.

          Was Bernd findet, bestärkt heftig seinen natürlichen Drang, das Krankenhaus schnell wieder verlassen zu wollen. Denn hinter der Dose in der Wand liegen offene Netze und allerhand Speicherplatz voller Tabellen, Diagnosebilder und unverschlüsselter Geräte- und Patientendaten. Er kann Notizen über Anamnese und Visite von anderen Menschen einsehen, sieht die Medikamentenverschreibungen. Wann die Nachtschwester welche Dateien aufruft oder abspeichert, ist für ihn nun auch kein Geheimnis mehr.

          In seiner eigenen Medikamentendatei fügt Bernd testhalber eine Schmerztablette hinzu, nur um sie am nächsten Morgen tatsächlich in der Pillenschachtel zu finden. Die ernsthaften, professionellen Testwerkzeuge auf seinem Computer hat er da noch gar nicht ausgepackt. Er fühlt sich ein wenig wie kurz vor dem Blick hinter den Kühlschrank bei seinem letzten Umzug. Denn was dahinter zum Vorschein kommen würde, wollte er lieber nicht sehen. Bernd schreibt stattdessen gleich im internen Krankenhausnetz eine entsetzte Mail an den technischen Direktor der Klinik.

          Sensibilität für technische Risiken

          Was Patient Bernd aus Langeweile entdeckt hat, ist nur die Spitze eines recht großen Eisbergs. Eine immer länger werdende Liste von Berichten über Schwachstellen und Hacks im Medizinbereich belegt, dass die Digitalisierung und Vernetzung auch hier eine breite Schneise an Sicherheitsproblemen aufreißt. Stärker als anderswo werden dabei ethische Fragen berührt, denn die absichtliche oder versehentliche Ausnutzung von Schwachstellen kann sich unmittelbar auf die Gesundheit von Menschen auswirken. Wenn etwa vernetzte Softwaresysteme bei der Krankheitsdiagnose und -behandlung zum Einsatz kommen und heute schon Entscheidungen von Ärzten unterstützen, langfristig sie auch ersetzen, bekommt deren IT-Sicherheit schnell eine Ethikdimension.

          Natürlich ist das Problem in den vergangenen Jahrzehnten vielfältig diskutiert worden, immer wenn neue Technologien Einzug in medizinische Einrichtungen hielten. Die Sensibilität für technische Risiken sollte bei in der Medizin Tätigen, zu deren Beruf der Umgang mit Kranken gehört, auch deshalb höher sein, weil in der Vergangenheit Fälle diskutiert werden mussten, in denen medizinische Geräte zum Tod von Menschen führten.

          Ein Fallbeispiel aus der Vergangenheit ist das „Therac-25“, ein Gerät zur Strahlentherapie. Es verursachte aufgrund von Softwarefehlern durch Überdosierung den Tod von Patienten. Der zweistufige Fehler lag nicht nur in der falschen Programmierung, sondern zugleich in der sorglosen Konzeption der Maschine. Man verließ sich einfach darauf, dass die Software in korrekter Weise die Strahlung dosiert, und verzichtete auf weitere Absicherungen.

          Das „Therac-25“ wird heute zuweilen als Beispiel für Studenten herangezogen, um Fehlerprinzipien und deren Vermeidung zu erklären. Doch die guten Vorsätze und Industriestandards, die aus solchen todbringenden Fehlern entstanden sind, sollten auch übertragen werden auf eine vernetzte Welt.

          Raumgroße Roboter wie das „Therac-25“ in den achtziger Jahren gibt es auch heute in Krankenhäusern, nur sind sie regelmäßig vernetzt und Teil einer durchtechnisierten Klinikwelt. Im kanadischen Toronto hat mit einer Investitionssumme von mehr als einer Milliarde Euro letzten Monat bereits das erste „Roboter-Hospital“ seine automatischen Türen geöffnet. Alles ist vernetzt, in jedem Raum befinden sich Touchpad-Computer, die den Zugriff auf Patientendaten ermöglichen und zugleich Kommunikations- und Unterhaltungsterminals sind.

          Software und Roboter übernehmen dort neben der Verarbeitung der Informationen sowohl die Medikamentengabe als auch die Bettzeug- oder Essenslieferungen. Für knappe hunderttausend Euro Stückpreis sind auch teilautonome Desinfektionsroboter zu haben, die mit eingebauter künstlicher Intelligenz, einer permanenten Funkverbindung und Zugriff auf die Informationssysteme des Hospitals selbständig in den Krankenzimmern Keime eliminieren.

          Strukturelles Versagen in Fragen der Sicherheit

          Da kommt mehr als nur ein bitterer Beigeschmack auf, wenn in den Vereinigten Staaten nun das erste Mal ein medizinisches Gerät allein aufgrund von IT-Sicherheitsbedenken aus dem Verkehr gezogen wurde. „Bloomberg Businessweek“ widmet dem Vorfall eine geradezu bestürzende Titelgeschichte, die das strukturelle Versagen in Fragen der IT-Sicherheit in der Medizintechnik drastisch offenlegt.

          Die Hacker, die in den Vereinigten Staaten medizinische Geräte und Krankenhaus-Informationssysteme untersucht haben, mussten feststellen, dass die IT-Sicherheitsstandards um ein Jahrzehnt hinter anderen Branchen hinterherhinken. Allein in dreihundert medizinischen Geräten von vierzig verschiedenen Herstellern fanden sie fest einprogrammierte Passwörter - ein altbekanntes Einfallstor für böswillige Angreifer, das hier jedoch schlicht Leben kosten kann.

          Für die Genesung unabdingbar

          Weder bei der Konzeption noch bei der Entwicklung werden IT-Risiken adäquat mitbedacht, mussten sie konstatieren. Auch Training im Umgang mit den vielen neuen vernetzten Systemen hinsichtlich der IT-Sicherheit ist noch immer eher Ausnahme als Regel. Nicht wenige Krankenhausmitarbeiter durchlaufen keinerlei Fortbildung für IT-Risiken, obwohl sie von umherfunkenden Computern umgeben sind. Die Sorglosigkeit, mit der man die Vernetzung im Medizinbereich betreibt, wird als fatal beschrieben.

          Einem der von „Businessweek“ porträtierten und von einem Krankenhaus eigens engagierten Hacker erging es während der Zeit seiner Prüfung und Forschung an Schwachstellen von Medizingeräten ähnlich wie Bernd. Er musste zwei Wochen in einer Klinik als Patient verbringen, im Krankenzimmer umgeben von den Gerätschaften, deren Unsicherheit er in seinen Berichten an das Krankenhaus und an die zuständigen Behörden just dargelegt hatte. Eine Wahl hatte er nicht, die Maschinen waren für seine Genesung unabdingbar. Aber im Unterschied zu Bernd wusste er nur zu genau, wie es hinter dem Kühlschrank aussieht.

          Weitere Themen

          Alle Saiten offen

          Jean-Luc Ponty : Alle Saiten offen

          Er vereint Klassik und Jazz wie kaum ein anderer, spielt in Orchestern und in Clubs und schuf mit Frank Zappa eins der aberwitzigsten Violinkonzerte des zwanzigsten Jahrhunderts. Nun wird der Geiger Jean-Luc Ponty achtzig.

          Topmeldungen

          Klaus Müller, Präsident der Bundesnetzagentur

          Klaus Müller : Netzagentur-Chef kritisiert zu hohen Gasverbrauch

          Der Gasverbrauch lag in der vergangenen Woche laut Bundesnetzagentur 14,5 Prozent über dem Durchschnitt. Netzagentur-Chef Müller appelliert zum Sparen – sonst sei eine Gasmangellage im Winter schwer vermeidbar.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Die wichtigsten Nachrichten direkt in Ihre Mailbox. Sie können bis zu 5 Newsletter gleichzeitig auswählen Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.