MIoT Security – Wenn Cybersecurity auf Patientensicherheit trifft
Managed Cybersicherheit in der Medizintechnik
Die medizinische Leistungserbringung wird von der Qualität, Funktionsfähigkeit und Verfügbarkeit von Medizingeräten stark beeinflusst.
Die regulatorischen Anforderungen des Medizinproduktegesetzes und der dazugehörigen Verordnungen haben das Ziel, die Sicherheit von Patienten bei dem Einsatz von Medizintechnik sicherzustellen und zu erhöhen. Geräte, die früher noch isoliert verwendet wurden, sind in der heutigen Zeit über das Netzwerk mit Managementsoftware, mit Kommunikationsservern und weiteren Anwendungen verbunden, was die Integration in medizinische Prozesse erleichtert. Deswegen spricht man auch bei vernetzten Geräten von MIoT - „Medical Internet of Things“.
Jedoch stellen genau diese Geräte aus Sicherheitsaspekten ein großes Problem dar, angefangen bei der transparenten Verwaltung deren Netzwerksegmentierung bis hin zur regelmäßigen Prüfung vorhandener Sicherheitslücken. Diese Aufgabe ist für die Medizintechnik und die IT-Abteilung in einem Krankenhaus bei der Anzahl Geräten händisch nicht zu bewältigen. Diese Geräte kommen nicht nur mit hochsensiblen Patientendaten in Berührung sondern können bei Fehlkonfiguration, Manipulation oder Ausfall eine große Bedrohung für die Patientensicherheit darstellen.
Durch ein begleitetes Konzept lassen sich die größten Gefahrenquellen bei Medizingeräten identifizieren, bewerten und aktiv behandeln. Wir stellen einen Service für Krankenhäuser bereit, der die Verantwortlichen in IT und Medizintechnik bei dem sicheren Betrieb von Medizingeräten aktiv unterstützt. Denn wenn es um Medizintechnik geht, ist Cyber-Security mehr als eine lästige Pflicht - es ist eine Voraussetzung für eine sichere Patientenversorgung.
Abstimmung und Durchführung
Situationsanalyse und erste Ist-Aufnahme der bekannten Geräte, der Netzwerkkonfiguration und der damit verbundenen Prozesse. Kick-Off mit allen Beteiligten aus IT und Medizintechnik. Definition der Governance für die Projektdurchführung und die dauerhafte Betreuung im Managed Service.
Der erste Scan und die Ergebnisse
Zum Start wird ein erstes Assessment mittels eines passiven Pentests durchgeführt. Dabei werden keine Medizingeräte angegriffen, sondern bekannte Schwachstellen identifiziert. Risiken bei der Netzwerk- und Firewallkonfiguration werden mittels konkreter Konzepte für die Netzwerksegmentierung behandelt.
Ausblick und dauerhafte Betreuung
Nach der erstmaligen Optimierung und Absicherung der Medizingeräte gehen unsere Tätigkeiten der Unterstützen in einen dauerhaften Service über. Wir definieren Kommunikations- und Eskalationswege in der Zusammenarbeit zwischen der IT-Abteilung, der Medizintechnik und unserem SOC.