Wearables erfassen medizinische Daten im Alltag und künstliche Intelligenzen analysieren MRT-Bilder. Vielleicht werden sich irgendwann Mikroroboter durch den Körper bewegen, um Medikamente zu verabreichen, mikrochirurgische Eingriffe vorzunehmen oder Gewebeproben zu entnehmen. Mithilfe eines digitalen Zwillings wird herausgefunden, ob ein Eingriff erfolgversprechend ist. Welche dieser Trends die Medizintechnologie dauerhaft prägen werden, wird sich noch zeigen. Fest steht jedoch: Die Zukunft der Medizintechnikbranche ist digital, datengetrieben und zunehmend vernetzt.
Schon heute sind viele medizintechnische Produkte in der Lage, Daten zu generieren, zu analysieren und untereinander auszutauschen. Nun erkennen die Anwender immer mehr das Potenzial dieser Funktionen für die Medizin – das Internet of Medical Things (IoMT) ist Realität geworden. Was für viele Bereichen der medizinischen Versorgung eine große Chance ist, geht allerdings mit steigenden Cyberrisiken einher. Für Anwender, Medizintechnikunternehmen und Hersteller bedeutet das, ein noch größeres Augenmerk auf die Cyber Security zu legen. Auch Wirtschaftsprüfer:innen sollten sich mit diesen neuen Risiken auseinandersetzen, um sie für die Abschlussprüfung identifizieren und bewerten zu können.
Cyberrisiken: Wer ist betroffen?
Digitalisierung und Vernetzung eröffnen den Unternehmen der Medizintechnik viele neue Möglichkeiten. Entsprechend divers sind auch die neuen Cyberrisiken auf der einen und die Anforderungen an die Sicherheit auf der anderen Seite. Einige betreffen die Medizintechnikunternehmen selbst, entweder direkt durch Cyberangriffe oder indirekt durch regulatorische Anforderungen. Doch auch für Risiken, die Nutzende oder Patient:innen betreffen, können Unternehmen teilweise zur Rechenschaft gezogen werden. Daher sollte ihnen daran gelegen sein, die Sicherheit ihrer Systeme und Geräte zu optimieren.
- Risiken für Patientinnen und Patienten: Manipulation kann zu Fehldiagnosen führen.
Mangelnde Cybersicherheit im IoMT kann direkte Auswirkungen auf die Sicherheit und Gesundheit haben. Dafür muss man nicht einmal weit in die Zukunft blicken: Ein schon heute aktuelles Beispiel ist der Einsatz von künstlicher Intelligenz bei der Bildgebung. Algorithmen unterstützen Ärztinnen und Ärzte bei der Analyse von Bildmaterial der Magnetresonanztomographie (MRT).
Wird das Gerät durch einen Cyberangriff manipuliert, kann das zu fehlerhaften Diagnosen oder sogar falschen oder unnötigen medizinischen Eingriffen führen. Dies zeigt, wie essenziell das Thema Cybersicherheit im Bereich der Medizintechnik ist. Die Sicherheit und Gesundheit der Patient:innen ist das höchste Gut und lässt sich nicht in Geld aufwiegen. Dennoch kann es für die Hersteller teuer werden, wenn ein Schaden auf Nachlässigkeit bei der Cybersicherheit von Produkten zurückzuführen ist. Auch das Risiko möglicher schwerer Reputationsschäden für Unternehmen sollte hier bedacht werden.
Ein weiteres Risiko auf Patient:innenseite ist der Verlust oder Missbrauch von personenbezogenen Daten aufgrund mangelnder Sicherheitsvorkehrungen von IT-Systemen.
- Risiken für Anwender: Ausfälle führen zu hohen Kosten.
Auch für Krankenhäuser, Arztpraxen und weitere Einrichtungen des Gesundheitswesens birgt das IoMT Risiken – selbst wenn bei dem Cyberangriff niemand zu Schaden kommt. Cyberangriffe ziehen hohe Kosten nach sich – vom Ausfall der betroffenen Geräte oder der gesamten vernetzten Infrastruktur bis hin zur Untersuchung und Aufklärung des Vorfalls.
Obwohl die Hersteller einzelner Geräte einer Krankenhaus- oder Praxisausstattung nicht für die Cybersicherheit der gesamten digitalen Infrastruktur der Nutzenden verantwortlich sind, sollten sie ihren Beitrag zum Schutz vor Angriffen leisten. Lässt sich ein Angriff auf Cybersicherheitsmängel einzelner Medizinprodukte zurückführen, können die Hersteller auch hier zur Rechenschaft gezogen werden.
- Direkte Risiken für Hersteller: Diebstahl kommerzieller Daten kann enormen wirtschaftlichen Schaden bedeuten.
Cybersicherheit in der Medizin beginnt nicht erst mit der Nutzung von medizinischen Geräten, sondern früher. Schon bei der Forschung und Entwicklung sollten Hersteller Cyberrisiken nicht unterschätzen. Mit vermehrtem Einsatz von künstlicher Intelligenz ist der Schutz vor Datendiebstahl noch wichtiger geworden.
Der Algorithmus intelligenter medizintechnischer Geräte ist meist ein wichtiges Alleinstellungsmerkmal. Werden die Daten eines über viele Jahre entwickelten und trainierten Algorithmus gestohlen, hat das erhebliche wirtschaftliche Folgen. Selbst wenn Medizintechnikunternehmen ihre Algorithmen mit den besten Cybersicherheitsvorkehrungen schützen, sollten die Risiken von Datendiebstahl identifiziert und korrekt bewertet werden.
- Indirekte Risiken für Hersteller: Verstöße gegen regulatorische Anforderungen können teuer werden
Natürlich sind sich auch die Gesetzgeber der Risiken des stark vernetzten IoMT bewusst und reagieren weltweit mit regulatorischen Anforderungen und Richtlinien. In der Europäischen Union liegt dies in der Verantwortung der Medical Device Coordination Group (MDCG), die im Juli 2020 eine Leitlinie zur Cybersicherheit bei digitalen Medizintechnikprodukten veröffentlicht hat. Wer die Anforderungen an die Cyber Security nicht erfüllt, sieht sich mit einem beeindruckenden Straf- und Bußgeldkatalog konfrontiert. Mit Hilfe des Medizinprodukterecht-Durchführungsgesetzes (MPDG) können hohe Geldstrafen und sogar mehrjährige Haftstrafen verhängt werden. Auch aus diesem Grund sollten Unternehmen das Thema Sicherheit sehr ernst nehmen.
Cyberrisiken minimieren und Restrisiken richtig bewerten
Das Internet of Medical Things eröffnet Medizintechnikunternehmen viele Chancen, ihre Wettbewerbsfähigkeit zu sichern. Damit einher geht aber auch die Verpflichtung, nicht nur für größtmögliche Cybersicherheit zu sorgen, sondern auch die Risiken vollständig zu identifizieren und korrekt zu bewerten. Bei diesem Thema kann die Wirtschaftsprüfung maßgeblich unterstützen. IT-Spezialist:innen und Branchenexpert:innen im Prüfungsteam stellen sicher, dass die Risiken vernetzter Medizinprodukte im Abschluss angemessen abgebildet sind und die Gefahrenlage zutreffend darstellt wird. Die daraus gewonnenen Erkenntnisse helfen Unternehmen, die Maßnahmen zur Security adäquat umzusetzen. Die Wirtschaftsprüfer:innen werden damit zu relevanten Sparringspartnern bei der Optimierung der Cybersicherheit in einer zunehmend vernetzten Medizinwelt.
Dieser Artikel ist in Zusammenarbeit mit meinem Kollegen Matthias Koeplin, Partner, Audit, entstanden.