Das Internet der Dinge zur Fernüberwachung und -verwaltung von allgemeinen Gesundheitsproblemen nimmt stetig zu, allen voran bei Diabetespatienten.
Etwa einer von 10 Amerikanern, d. h. 37 Millionen Menschen, lebt mit Diabetes. Geräte wie Insulinpumpen, die schon Jahrzehnte alt sind, und kontinuierliche Blutzuckermessgeräte, die den Blutzuckerspiegel rund um die Uhr überwachen, werden zunehmend über Bluetooth mit Smartphones verbunden. Die zunehmende Konnektivität bringt viele Vorteile mit sich. Menschen mit Typ-1-Diabetes können ihren Blutzuckerspiegel viel besser kontrollieren, weil sie wochenlange Blutzucker- und Insulindosierungsdaten abrufen können, was es einfacher macht, Trends zu erkennen und die Dosierung zu optimieren. In den letzten Jahren wurden Diabetespatienten so geschickt in der Fernüberwachung, dass eine DIY-Gemeinschaft von Patienten-Hackern Geräte manipulierte, um ihre medizinischen Bedürfnisse besser zu verwalten, und die Medizinprodukteindustrie hat von ihnen gelernt.
Die Möglichkeit, den Gesundheitszustand über das Internet zu überwachen, birgt jedoch auch Risiken, wie z. B. ruchlose Hackerangriffe. Obwohl medizinische Geräte, die von der FDA zugelassen werden müssen, einen höheren Standard erfüllen als Fitnessgeräte, gibt es immer noch Risiken für den Schutz von Patientendaten und den Zugriff auf das Gerät selbst. Die FDA hat regelmäßig Warnungen über die Anfälligkeit medizinischer Geräte wie Insulinpumpen für Hacker herausgegeben, und die Produkthersteller haben Rückrufe im Zusammenhang mit Sicherheitslücken herausgegeben. Im September war dies bei der Insulinpumpe der Serie MiniMed 600 von Medtronic der Fall. Das Unternehmen und die FDA warnten vor einem potenziellen Problem, das unbefugten Zugriff ermöglichen könnte, wodurch die Gefahr bestünde, dass die Pumpe zu viel oder zu wenig Insulin abgibt.
Schlafapnoe, Typ-2-Diabetes und medizinische Fernversorgung
Nicht nur bei Diabetes bietet der Markt für medizinische Geräte den Patienten neue Vorteile durch Fernüberwachung. Bei Schlafapnoe, von der schätzungsweise 30 Millionen Amerikaner (und eine Milliarde Menschen weltweit) betroffen sind, können C-PAP-Geräte jetzt Daten speichern und an Gesundheitsdienstleister senden, ohne dass ein Arztbesuch erforderlich ist.
Die Zahl der mit dem Internet verbundenen medizinischen Geräte nahm während der Pandemie zu, da die Abriegelungen einen großen Druck erzeugten, die Menschen zu Hause zu behandeln. Die zunehmenden virtuellen Besuche in der Arztpraxis öffneten allen die Augen für medizinische Geräte für die Fernüberwachung von Patienten“, so Gregg Pessin, Senior Director of Research bei Gartner.
Stetige Verkäufe von kontinuierlichen Blutzuckermessgeräten und Insulinpumpen haben Unternehmen wie Dexcom, Insulet, Medtronic und Abbott Laboratories Auftrieb gegeben, und es wird erwartet, dass die Verkäufe von Diabetes-Tech-Geräten weiter steigen werden. Nach Angaben der Centers for Disease Control and Prevention (Zentren für Krankheitskontrolle und -prävention) gibt es neben den 37 Millionen Menschen in den USA, die an Diabetes leiden, schätzungsweise 96 Millionen Erwachsene, die bereits zuckerkrank sind. Die Hersteller von kontinuierlichen Glukosemessgeräten und Insulinpumpen, die seit Jahren der Standard für die Behandlung von Typ-1-Diabetes sind, richten sich zunehmend auch an Patienten mit Typ-2-Diabetes.
Mehrere Formen medizinischer Cybersicherheitsrisiken
Sicherheitsexperten der Branche unterteilen die Cybersicherheitsrisiken von medizinischen Geräten in drei Kategorien.
Erstens gibt es das Risiko für Patientendaten. Bei vielen medizinischen Geräten wie Insulinpumpen müssen Patienten Online-Konten einrichten, um Daten auf einen Computer oder ein Smartphone herunterzuladen. Diese Konten könnten sensible Informationen enthalten, nicht nur sensible Gesundheitsdaten, sondern auch persönliche Angaben wie Sozialversicherungsnummern.
Ein weiteres Risiko besteht für das medizinische Gerät selbst, wie die Schlagzeilen über das Risiko, dass Hacker in ein medizinisches Gerät wie die Medtronic-Pumpe eindringen und die Dosierungseinstellungen ändern, mit möglicherweise tödlichen Folgen, zeigen. Ein Bericht von Unit 42, einem Cybersicherheitsunternehmen, das zu Palo Alto Networks gehört
stellte fest, dass 75 % der Infusionspumpen – zu denen auch Insulinpumpen gehören – „bekannte Sicherheitslücken“ aufweisen, die sie dem Risiko aussetzen, von Angreifern kompromittiert zu werden. May Wang, Chief Technology Officer of Internet of Things Security bei Palo Alto Networks, sagte, dass sich Hacker in einem Laborexperiment Zugang zu Infusionspumpen verschafften und die Medikamentendosierung änderten. „Heute geht es bei der Cybersicherheit nicht mehr nur um den Schutz der Privatsphäre oder um Datenverluste. Es geht vielmehr um Leben oder Tod“, sagte sie.
Laut Pessin von Gartner ist dieses Risiko in der realen Welt jedoch gering. Unter den kontrollierten Bedingungen eines Labors ist es nur eine Frage der Zeit, bis man dazu in der Lage ist“, aber in der realen Welt wäre es sehr viel schwieriger“, sagte er.
Eine Sprecherin von Medtronic sagte, dass das Unternehmen medizinische Technologien so sicher wie möglich entwickelt und herstellt und dass sein globales Büro für Produktsicherheit die Sicherheitsprodukte während ihres gesamten Lebenszyklus kontinuierlich überwacht. Das Unternehmen beobachtet auch die Cybersicherheitslandschaft, um Schwachstellen zu beheben und „Maßnahmen zum Schutz der Patienten durch einen koordinierten Offenlegungsprozess und Sicherheitsbulletins zu ergreifen.“
Im September informierte Medtronic seine Nutzer darüber, wie sie das Risiko einer unbeabsichtigten Insulinabgabe ausschalten können, indem sie die Möglichkeit der Ferndosierung über ein separates Gerät deaktivieren.
Das dritte Cybersicherheitsrisiko ist die Verbindung zwischen dem medizinischen Gerät und dem Netzwerk, egal ob es sich um WiFi oder 5G handelt. Mit der zunehmenden Vernetzung medizinischer Geräte steigt auch das Risiko von Malware – ein Risiko, das aus anderen Branchen bekannt ist und bald auch im Gesundheitswesen auftreten könnte. Wang verwies auf einen Fall aus dem Jahr 2014, bei dem Target sensible Kundendaten weitergab, nachdem ein mit Malware infiziertes HLK-System installiert worden war.
Bisher sind zwar noch keine Vorfälle bekannt, bei denen medizinische Geräte zu Hause mit Malware infiziert wurden, doch könnte dies nur eine Frage der Zeit sein, und ältere Geräte, die nicht regelmäßig aktualisiert werden, sind stärker gefährdet. In Krankenhäusern haben alte Betriebssysteme einige medizinische Geräte anfällig für Angriffe gemacht. Einige medizinische Bildgebungssysteme, die einen Lebenszyklus von über 20 Jahren haben können, laufen immer noch unter Windows 98 ohne Sicherheits-Patches, und es gab Vorfälle, bei denen MRT-Scanner oder Röntgengeräte gehackt wurden, um Krypto-Mining zu betreiben, ohne dass die Gesundheitsdienstleister davon wussten.
Was Diabetes über die Vorteile und Risiken der mit dem Internet verbundenen persönlichen Medizin verräthttps://t. co/XQaCG5OLOi Diabetes Internet Schlafapnoe DrLNotes pic. twitter.com/u88v9afxlE
– Blaine Lesnik, PsyD (@DrLNotes) Januar 29, 2023
Regulierung von Geräten
Gesetzgeber und führende Vertreter des Gesundheitswesens drängen auf mehr Leitlinien und Vorschriften für die Sicherheit von Medizinprodukten.
Im April letzten Jahres brachten Senatoren den PATCH Act ein, um Hersteller von Medizinprodukten, die eine FDA-Zulassung beantragen, zu verpflichten, bestimmte Cybersicherheitsanforderungen zu erfüllen und Updates und Sicherheits-Patches bereitzustellen. Kürzlich enthielt das Ende 2022 verabschiedete 1,65 Billionen Dollar schwere Omnibus-Gesetz neue Anforderungen an die Cybersicherheit von Medizinprodukten. Experten zufolge gehen die Bestimmungen des Gesetzes zwar nicht so weit wie die Anforderungen des PATCH Act, sind aber dennoch von Bedeutung.
Ein FDA-Sprecher erklärte gegenüber CNBC, dass die neuen Cybersicherheitsbestimmungen im Omnibus-Gesetz einen bedeutenden Schritt nach vorn bei der Überwachung der Cybersicherheit durch die FDA als Teil der Sicherheit und Wirksamkeit von Medizinprodukten darstellen. Zu den Bestimmungen gehört, dass die Hersteller Pläne und Verfahren zur Offenlegung von Schwachstellen einrichten müssen. Darüber hinaus müssen die Hersteller von Medizinprodukten Aktualisierungen und Sicherheitspatches für Geräte und zugehörige Systeme für „kritische Schwachstellen, die ein unkontrolliertes Risiko darstellen“, rechtzeitig bereitstellen.
Wie man als Verbraucher die Kontrolle behält
Da Ärzte zunehmend Blutzuckermessgeräte und Insulinpumpen nicht nur für Typ-1-Diabetes, sondern auch für den weitaus häufigeren Typ-2-Diabetes verschreiben, können Verbraucher, die abwägen, ob sie ein solches Gerät verwenden möchten, zunächst auf der Website des Herstellers nach Angaben zur Cybersicherheit und zur Einhaltung des HIPAA zum Schutz ihrer privaten Gesundheitsdaten suchen. Sie können sich auch bei ihren Ärzten nach der Sicherheit erkundigen, obwohl Experten für Cybersicherheit sagen, dass es noch viel zu tun gibt, um die Aufklärung über diese Risiken bei den Gesundheitsdienstleistern zu verbessern.
Verbraucher, die ein mit dem Internet verbundenes medizinisches Gerät besitzen, sollten sich beim Hersteller registrieren lassen, um sicherzustellen, dass sie über Sicherheitsaktualisierungen informiert werden. Grundlegende Cyberhygiene zu Hause ist ebenfalls wichtig, da viele Geräte heute mit dem WiFi verbunden sind. Vergewissern Sie sich, dass das WiFi-Netzwerk durch ein sicheres Passwort geschützt ist, und verwenden Sie einen sicheren Benutzernamen und ein sicheres Passwort für die Website des Unternehmens, wenn Sie Daten freigeben oder herunterladen. Immer mehr Verbraucher entscheiden sich für die Verwendung eines Passwortmanagers, um alle ihre Internet-Anmeldedaten zu speichern. Da Geräte über WiFi mit anderen Geräten interagieren können, sollten Sie sicherstellen, dass auch Laptops und Telefone zu Hause sicher sind.
