Zum Inhalt

Vernetzte Geräte & Risiken

Vernetzte Geräte und ihre Risiken

Das Dilemma: Funktionalität versus Sicherheit

Das grundlegende Problem ist schnell erklärt, aber fast unlösbar: Medizinische Geräte werden für Jahrzehnte betrieben. Während dieser Zeit laufen ihre Betriebssysteme und Software-Komponenten völlig aus dem Support. Der Hersteller liefert keine Sicherheitsupdates mehr. Neue Sicherheitslücken werden entdeckt – aber nicht für diese Geräte gepatcht. Trotzdem müssen die Geräte funktionieren. Und nicht nur funktionieren – sie müssen mit modernen Systemen wie dem PVS vernetzt sein.

Das ist das Dilemma. Die Lösung scheint offensichtlich: "Einfach updaten!" Aber hier kommt die regulatorische Komponente ins Spiel.

Das Zulassungsrecht: Warum Updates oft verboten sind

In Europa unterliegen medizinische Geräte der Medizinprodukte-Verordnung (MDR). Diese Verordnung ist nicht einfach eine Richtlinie – sie ist Gesetz. Sie regelt, wie medizinische Geräte entwickelt, geprüft, zertifiziert und vermarktet werden.

Ein Röntgengerät ist nicht einfach ein Computer mit Röntgen-Software. Es ist ein zertifiziertes medizinisches Gerät. Diese Zertifizierung – die CE-Kennzeichnung – basiert auf einer Prüfung des exakten Zustandes, in dem sich das Gerät befindet. Hersteller, Herstellungsprozess, Software-Version, Kalibrierung – alles wurde überprüft und genehmigt.

Wenn Sie jetzt ein Update installieren oder etwas am Gerät ändern, ist diese Zertifizierung potenziell ungültig. Der Hersteller müsste das Gerät in seinem neuen Zustand erneut überprüfen, genehmigen, zertifizieren lassen. Das kostet mehrere hunderttausend Euro und dauert Monate.

Aus ökonomischer Perspektive ist das für alte Geräte unmöglich. Der Hersteller verdient nichts mehr damit. Also sagt er nicht "das können wir nicht technisch machen", sondern "das dürfen wir nicht rechtlich machen – ohne massive Kosten". Viele Hersteller verbieten Updates explizit im Warranty-Dokument: "Jedes Update macht die Zertifizierung ungültig."

Das ist die legale Erklärung dafür, warum Ihr Röntgengerät von 2001 auf Windows XP läuft und wahrscheinlich nie aktualisiert werden wird.

Welche Geräte besonders betroffen sind

Röntgengeräte und DICOM-Systeme sind das häufigste Problem. Diese Geräte sind oft: - 10-20 Jahre alt - Tief ins Netzwerk integriert (Bilduebertragung, DICOM-Abfragen, PVS-Integration) - Mit proprietärer oder uralt-aktualisierter Software bestückt - Nicht standardisiert – jeder Hersteller hat sein eigenes System

Labor-Analysegeräte sind ebenfalls kritisch. Automatisierte Labore kommunizieren über Schnittstellen, die teilweise zwanzig Jahre alt sind und unsichere Protokolle nutzen. Ein einzelnes Labor-Interface kann das ganze Praxisnetzwerk durchdrungen haben.

EKG- und Kardio-Systeme sind oft älter als Sie denken. Viele Kardiographen, die heute noch in Praxen laufen, stammen aus den 2000er Jahren. Einige haben WLAN-Module, die ohne jegliche moderne Verschlüsselung arbeiten – WEP-Verschlüsselung, die 2001 bereits unsicher war, oder ganz ohne Verschlüsselung.

DICOM-Viewer und Workstations sind dedizierte Bildbetrachtungssysteme. Sie speichern manchmal Patientendaten lokal und haben eine ältere Betriebssystem-Installation, die regelmäßig vergessen wird zu patchen.

Die praktischen Konsequenzen

Was bedeutet das alles konkret für Ihre Praxis?

Ein Röntgengerät auf Windows XP mit Netzwerkverbindung ist ein direktes Einfallstor. Die bekannten Schwachstellen von Windows XP sind dokumentiert, Exploit-Tools sind online verfügbar. Wenn ein Angreifer ins Netzwerk kommt – durch Phishing, Brute-Force, oder wenn er den Netzwerk-Zugang physisch nutzt – kann er das Röntgengerät compromittieren. Von dort aus kann er sich lateral ins PVS oder zu anderen Systemen ausbreiten.

Ein unsicheres Labor-Interface bedeutet, dass jemand mit Netzwerk-Zugang die Laborergebnisse manipulieren könnte, oder dass Patientendaten auf dem Lab-Interface offengelegt werden. Die proprietären Protokolle bieten keine modernen Sicherheitsstandards.

Ein WLAN-fähiges EKG-Gerät mit WEP-Verschlüsselung oder ohne Verschlüsselung bedeutet, dass jemand mit einfachen Werkzeugen den Datenverkehr abhören und manipulieren kann.

Das sind keine theoretischen Risiken. Das sind reale, bekannte Angriffsvektoren, die Cyberkriminelle aktiv nutzen.

Was Sie trotzdem tun können

Sie können nicht einfach das Gerät updaten. Aber Sie können mehreres tun, um das Risiko zu minimieren:

1. Das Gerät vom Rest des Netzes isolieren

Ein Gerät, das nicht mit anderen Systemen kommuniziert, kann das Praxisnetzwerk nicht infizieren. Wenn die Architektur es zulässt, können vernetzte Medizingeräte in einem separaten Netzwerk-Segment laufen – getrennt vom PVS-Netzwerk durch eine Firewall. Die Datenübertragung zum PVS findet dann über ein gut gesichertes Gateway statt, das die Kommunikation überwacht und filtert.

Das ist nicht immer möglich – manche Geräte sind direkt mit dem PVS integriert und brauchen direkten Zugang. Aber wo es geht, sollte es gemacht werden.

2. Kein Internetzugang für Medizingeräte

Ein Medizingerät braucht normalerweise kein Internet. Es braucht Netzwerk-Zugang zum PVS und zu lokal-vernetzten Systemen, aber nicht zum Internet. Wenn das Gerät keinen Internet-Zugang hat, reduziert das die Angriffsfläche erheblich. Eine Firewall-Regel, die dem Medizin-Netzwerk-Segment den Internetzugang verbietet, ist eine simple, aber wirksame Schutzmaßnahme.

3. DICOM-Daten nur über gesicherte Netze übertragen

Wenn das Röntgengerät Bilder ins PVS sendet, sollte diese Übertragung nicht über offene Netzwerke laufen. Ein VPN-Tunnel zwischen dem Gerät und dem PVS-Server, oder zumindest eine sichere, verschlüsselte Verbindung mit Authentifizierung ist das Minimum.

4. Regelmäßige Schnittstellenupdates und Firmware-Updates wo möglich

Viele Hersteller können die Firmware des Gerätes nicht updaten, ohne die Zertifizierung zu gefährden – aber sie können spezifische Sicherheits-Patches für Schnittstellenmodule liefern. Der HL7-Schnittstellen-Stack kann manchmal separat aktualisiert werden, ohne die Radiologie-Software anzutasten. Hersteller-Support gezielt fragen: "Welche Komponenten können ohne Neuzertifizierung aktualisiert werden?"

5. Physische und Netzwerk-Kontrolle

Das Gerät sollte in einem Bereich sein, zu dem nicht jeder physischen Zugang hat. WLAN-Passwörter sollten nicht auf der Rückseite kleben. Netzwerk-Verbindungen sollten überwacht sein – Bewegungen in der Log-Datei sollten auffallen.

6. Notwendigkeit neu bewerten

Bei Praxis-Renovierungen oder großeren IT-Projekten sollte die Notwendigkeit des vernetzten Betriebs neu bewertet werden: Kann das Röntgengerät isoliert laufen und Bilder manuell (oder mit sicherer automatisierter Schnittstelle) ins PVS gelangen? Kostet die Neuanschaffung eines modernen, sicheren Gerätes nicht weniger als die jährliche IT-Sicherheits-Aufrüstung für das alte System?

Die Rolle des IT-Dienstleisters

Ihr IT-Dienstleister sollte eine klare Inventur aller vernetzten Medizingeräte haben – mit Informationen zu: - Hersteller, Modell, Alter - Betriebssystem und aktuelle Versions-Nummer - Supportstatus beim Hersteller - Netzwerk-Integration: Wie ist das Gerät angebunden? - Bekannte Schwachstellen für diesen Geräte-Typ

Auf Basis dieser Inventur sollte für jedes kritische Gerät ein Maßnahmen-Plan erstellt werden. Dieser Plan kann die oben erwähnten Schritte (Isolierung, Firewall-Regeln, Firmware-Updates) konkret umsetzen.

Checkliste: Vernetzte Geräte und ihre Risiken

  • Ich habe eine vollständige Inventur aller vernetzten medizinischen Geräte mit Alter, Betriebssystem und Hersteller.
  • Für jedes Gerät habe ich beim Hersteller geklärt: Welche Updates sind verfügbar, und welche würden die Zertifizierung gefährden?
  • Mein IT-Dienstleister hat einen Isolierungs- oder Segmentierungs-Plan für kritische Geräte erstellt.
  • Medizingeräte haben keinen direkten Internetzugang – nur Zugang zum Praxis-Intra-Netz.
  • DICOM- und Labordaten werden verschlüsselt übertragen.
  • Ich habe eine Übersicht, welche Schnittstellenkomponenten updatebar sind und wann sie zuletzt aktualisiert wurden.
  • Physischer Zugang zu Geräten und Netzwerk-Steckdosen ist kontrolliert.
  • Das Thema ist mit meinem IT-Dienstleister geklärt und ein Eskalations-Plan existiert.