Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt.
Mehr über Gilbert Semmer- Christian Walter:: Herr Semmer, das amerikanische Ministerium für «Homeland Security» hat gerade eine Kampagne zum Thema IT-Sicherheit durchgeführt, den «National Cyber Security Awareness Month». Haben Sie das Gefühl, das Thema IT-Sicherheit ist allmählich in den Köpfen angekommen?
-
Gilbert Semmer:: Das ist mir zu allgemein. Ich denke, die dauernden Nachrichten über Lecks und Datendiebstähle sprechen hier eine deutliche Sprache zum Stand der Dinge. Im Bereich Medizintechnik und vernetzte Geräte sehe ich einen positiven Trend. Neben der neuen EU-Richtlinie GDPR (General Data Protection Regulation) gibt es mittlerweile themenrelevante FDA-Guidelines sowie ISO-Standards für Medizingeräte und Krankenhäuser. Dabei sehe ich die Rolle des Treibers im Gesundheitswesen allerdings nicht nur in der Europäischen Union, sondern auch in den USA – und zwar sowohl für Cybersicherheit als auch für den Schutz der Privatsphäre.
- Tatsächlich? Aus europäischer Perspektive sind es doch viel eher die Amerikaner, die für laxe Sicherheitsstandards oder einen unzureichenden Schutz der Privatsphäre stehen?
-
Das mag für andere Bereiche stimmen, nicht aber für den der Medizintechnik. Die amerikanische Gesundheitsbehörde FDA (Federal Drug Administration) ist mit Polizeigewalt ausgestattet und darf im engen Rahmen sogar Gesetze erlassen. Somit ist sie gewissermassen Legislative, Judikative und Exekutive in einer Person. Damit ist die FDA mächtiger als vergleichbare Institutionen in Europa – eine Macht, die durchaus bereit ist, sich einzusetzen. Das geht von der Veröffentlichung der «Schandtaten» bis zur Werkschliessung, vom Importverbot bis zum Einsammeln aller Produkte durch US-Marshalls – und das auf Kosten des Unternehmens.
- Welche Wegweiser gibt die FDA den Unternehmen für korrektes Verhalten?
-
Für Entwickler medizinischer Software oder vernetzter Geräte hat sie eigens sogenannte Guidance Dokumente herausgegeben. Das FDA Guidance Dokument «Management of Cybersecurity in Medical Devices» wendet sich an alle Medizinproduktehersteller, deren Produkte Software enthalten oder eigenständige Software sind. Das Dokument «Postmarket Management of Cybersecurity in Medical Device» schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung, um zwei zu nennen. Diese Dokumente haben in der Praxis eine hohe Relevanz, zum Beispiel, um eine Zulassung für den amerikanischen Markt zu erhalten. Im Vergleich mit europäischen Normen wie CE sind diese Dokumente ausserdem sehr konkret in ihren Empfehlungen.
- Ist das nicht schon wieder ein Wildwuchs an Regeln, Gesetzen und Normen?
-
Nur auf den ersten Blick. Ich selbst habe seit 2005 an der Ausarbeitung des ISO / IEC Standards 80001 mitgearbeitet. Im zuständigen Gremium hatten auch Vertreter der FDA Einsitz, die so die Norm mitgeprägt haben. Teile davon nden sich heute in den erwähnten Guidelines. Es ndet also eine gegenseitige Befruchtung statt. Der Wermutstropfen dabei ist der lange Prozess. Angefangen hatten wir vor 2003, ein erster Draft war 2007 fertig, der Hauptteil dann 2010 und weitere ab 2012. Es dauerte also etwa 10 Jahre.
- Sie erwähnten vorhin auch den Schutz der Privatsphäre im Gesundheitswesen. Was machen die Amerikaner denn da?
-
Hier gibt es zwei relevante Gesetze: HIPAA (Health Insurance Portability and Accountability Act) und die Health Breach Noti cation Rule der FTC (Federal Trade Commission). Diese Gesetze etablieren eine Meldep icht bei einer Verletzung der Vertraulichkeit von Gesundheitsdaten. Ausserdem wird klar gesagt, was eine solche Meldung enthalten muss. Das heisst, was Sie melden müssen, wann Sie es melden müssen, in welcher Form und an wen Sie es melden müssen.
- Wird da auch mal jemand verurteilt?
-
Es scheint zumindest ernster zu werden. Gemäss einer Liste der Compliancy Group verhängte das Of ce for Civil Rights (OCR) 2015 Strafen im Gesamtwert von 6,2 Millionen Dollar. 2016 waren es 23,5 Millionen Dollar. Das sind zwar immer noch Peanuts, aber der Stein scheint allmählich ins Rollen zu kommen.
- So etwas soll auch im Rahmen der GDPR-Richtlinie für Europa kommen, die im Mai 2018 in Kraft tritt.
-
In Kraft getreten ist die Verordnung bereits am 24. Mai 2016. 2018 endet lediglich die zweijährige Übergangsfrist. Allerdings wird sich die Stärke und Relevanz der Verordnung erst in der Anwendung zeigen. Aber mit der GDPR gibt es jetzt zumindest theoretisch die Möglichkeit, handfeste Strafen zu verhängen – im Falle eines Unternehmens Geldbussen von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
- Wie sieht es mit der praktischen Anwendung aus? Was tut sich in den Unternehmen?
-
Hersteller und Krankenhäuser sind in der Pflicht, die Sicherheit von vernetzten Medizingeräten zu gewährleisten, d. h. sowohl in der Entwicklung, Herstellung als auch im Betrieb. Dazu bedarf es auch einer Abstimmung zwischen Krankenhäusern und Herstellern, um die sicherheitstechnischen Möglichkeiten im Rahmen eines Krankenhaus-Netzwerkes optimal zu nutzen. Cybersecurity ist dabei nicht nur ein technisches Thema. Sie müssen erst einmal Awareness schaffen und entsprechende Policies & Procedures aufstellen. Der Schlüssel ist dabei das Risikomanagement. Grosse, internationale Medizintechnikhersteller haben heute Cybersecurity als wesentliche Komponente in ihre Prozesse integriert, und zwar schon in den ersten Momenten der Produktentwicklung. Eine gute Umsetzung der ISO 14971 (Risikomanagement für Medizinprodukte) sollte genau das machen, ergänzt um Security-Risiken. Aus diesen Teilen resultiert dann eine bestmögliche Sicherheit.
- Möglichst gut?
-
Sicherheit können Sie nur beherrschen, wenn Sie alle Risiken kennen. Das ist ein aufwendiger Prozess: Man muss seine Assets kennen, mögliche Angreifer und Schwachstellen. Zu 100 Prozent ist das aber leider nicht möglich, zumal wir mittlerweile in einer vernetzen Welt leben. Selbst wenn ich alles richtig mache, kann einer unserer Partner am Ende eine Lücke schaffen. Da reicht ein nicht abgesicherter Hotspot. Deswegen können wir auch nicht die alleinige Verantwortung tragen.
- Was meinen Sie damit?
-
2017 erfolgte durch den Verschlüsselungstrojaner WannaCry einer der weltweit grössten Cyberattacken. Betroffen waren unter anderem auch Spitäler in Grossbritannien. Warum? Eine bekannte Sicherheitslücke war nicht gepatcht.
- Das ist zwar richtig, aber auch nicht nur der Fehler der Krankenhäuser. Das Wissen um die Sicherheitslücke kam ja aus den Archiven der amerikanischen NSA. Die hortet, wie alle Geheimdienste, Zero-Day-Exploits.
-
Ja, das ist auch paradox. So tasten wir uns aber langsam an des Pudels Kern heran. Sowohl Unternehmen wie Krankenhäuser können hier mehr tun. Dennoch müssen wir auch eine gesellschaftliche Debatte über grundlegende Sicherheitsaspekte führen. Sollten unsere Geheimdienste die Zero-Day-Exploits einfach horten oder sollten wir sie zu «Responsible Disclosures» zwingen? Die Sicherheitsdienste haben zweifellos auch ihre Bedürfnisse – ich vermisse hier aber den Dialog. Wenn medizinische Geräte kompromittiert werden, geht es schliesslich genauso um Menschleben wie in der Verbrechensbekämpfung.
Relevante Links
-->PDF «Management of Cybersecurity in Medical Devices»
-->PDF «Postmarket Management of Cybersecurity in Medical Device»
mehr davon...
...gibt es im neuen swiss-made-software-kompendium "swiss made software - die ersten 10 Jahre". Erhältlich als Print und eBook hier.
Weitere Artikel zum Thema Allgemein Sicherheit
- Dienstag 22.11.2022
Die eigene Recovery-Box
Trotz Cloud-Vorteilen ist vielen unwohl, wenn sie die Kontrolle über die Kerndaten verlieren. Sedion bietet dafür eine kombinierte Box- und Cloud-Variante. - Donnerstag 09.12.2021
Das Passwortarchiv bleibt in der Schweiz
Alpein Software Swiss bietet einen lokal gehosteten Passwortmanager für Privatpersonen und Unternehmen. - Donnerstag 26.09.2019
Keine Zero Days mehr
Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt. - Montag 26.08.2019
Einfach zertifizieren
Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung. - Dienstag 02.04.2019
Das Ökosystem hinter der SwissID
Neben SwissSign sind zahlreiche Partner Teil des SwissIDÖkosystems. Zusammen wollen sie das Herzstück für weite Teile der kommenden Digitalisierung bilden, und zwar, ohne die Privatsphäre der Nutzenden zu tangieren. - Freitag 24.11.2017
Dreidimensionales Schach
Sicherheit muss auf mehr als nur der ICT-Ebene gedacht werden. Sicherheitsanbieter agieren deswegen auf einem überaus komplexen Terrain, das nicht nur von kriminellen, sondern auch von nationalen Interessen geprägt ist. - Freitag 24.11.2017
Innovation und Sicherheit im vernetzten Gesundheitswesen
Das labormedizinische Unternehmen Viollier setzt voll auf digitale Innovation, um sich am Markt zu differenzieren. Um die Sicherheit der medizinischen Daten zu garantieren, kooperiert das Unternehmen mit dem Berner Sicherheitsspezialisten United Security Providers. - Freitag 24.11.2017
Sicherheit hat Mehrwert – am Computer und im Geschäft
Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen. - Freitag 24.11.2017
Sicherheit für den internationalen Zahlungsverkehr
2016 versuchten Angreifer, mehr als 950 Millionen Dollar von den Konten der Nationalbank von Bangladesch zu stehlen. Zwar stoppten die automatischen Systeme die Überweisungen bei 81 Millionen, dennoch zeigte der Diebstahl eindrücklich die Verwundbarkeit des SWIFT-Systems. - Freitag 24.11.2017
Sicherheit klingt gut
Viele Nutzer verzichten zu Gunsten von Bequemlichkeit auf angebotene Security-Lösungen. Futurae versucht einen neuen Ansatz: Sicherheit durch den Vergleich von Umgebungsgeräuschen. - Freitag 24.11.2017
Das verschlüsselte Unternehmen
Während Private und Staaten mit der dauernden Ausspähung des Internets beschäftigt sind, steigen parallel die rechtlichen Anforderungen an den Datenschutz.