Seit etwas mehr als einem Jahr wird die Fernsprechstunde in Frankreich von der Krankenversicherung erstattet. Doch auch wenn sie viele Vorteile bietet, müssen gewisse Risiken in Verbindung mit der Cybersicherheit in Betracht gezogen werden. Analyse.
Mit der Telemedizin brauchen Sie nicht mehr aus dem Haus zu gehen: Sie konsultieren Ihren Hausarzt einfach per Laptop. Dank Telekommunikation können immer mehr medizinische Vorgänge (Sprechstunde, Begutachtung, Überwachung, Assistenz) aus der Ferne stattfinden. Dieser Fortschritt erleichtert den Zugang zur Gesundheitsversorgung überall und für alle. „Die Informationstechnologie hat unsere Gesellschaft verändert. So ist es ganz natürlich, dass wir die Abläufe unseres Gesundheitssystems entsprechend neu durchdenken“, analysiert die Generalsekretärin der französischen Gesellschaft für Telemedizin, Lydie Canipel. „Es muss einvernehmlich zwischen Arzt und Patient erfolgen, doch die Telemedizin ist ein ausgezeichnetes Mittel für die Bekämpfung der medizinischen Unterversorgung.“ Diese Art der Konsultierung ist auch besonders geeignet für die Überwachung von Patienten mit chronischen Krankheiten. „Gerade schwere und mit hohen Kosten verbundene Krankheiten benötigen eine engmaschige Überwachung. Zwei Fernsprechstunden zwischen seinen jährlichen Terminen beim Kardiologen sind für den Patienten weniger aufwendig. Dank digitaler Technik können wir wieder mehr Patientennähe bei der Nachsorge herstellen“, betont sie.
Schneller, praktischer, gerechter: Die Telemedizin besitzt viele Vorteile. Aber ist sie wirklich sicher?
Cyberangriffe mit unterschiedlichen Motivationen
Für die Telemedizin gelten naturgemäß diejenigen Gefahren, die mit den Technologien, auf denen sie beruht, verbunden sind. Bei einem digitalen medizinischen Instrument, zum Beispiel einer digitalen Morphinpumpe, kann eine technische Störung auftreten, vor allem aber erhöht es die Cybergefahren. Und bei einer Fernoperation kann das Überleben unmittelbar auf dem Spiel stehen.
Diese Gefahren können durch ganz unterschiedliche Motivationen entstehen: Weiterverkauf personenbezogener Daten wie Gesundheitsdaten, Beseitigung eines Wettbewerbsvorteils, Steigerung der Verhandlungsmacht oder sogar Sabotage einer Militäroperation. „Wir müssen mit allem rechnen, auch mit der missbräuchlichen Verwendung eines Instruments der Telemedizin, um eine Person zu überwachen oder ihr Leben in Gefahr zu bringen“, ergänzt Robert Wakim, Offers Manager bei Stormshield. Die sechs Risikokategorien gelten voll und ganz für die Telemedizin: Vollständigkeit der Daten, Vertraulichkeit, Verfügbarkeit, Authentifizierung, Rückverfolgbarkeit der Kommunikation und Zuschreibung der Handlungen. „Vor Kurzem wurde bewiesen, dass ein Hacker Analyseergebnisse ändern kann, die zu einer falschen Diagnose führen. Er kann aber auch den Zugang zu den Patientenakten blockieren oder die medizinischen Geräte lahmlegen - zum Beispiel, um ein Lösegeld zu erpressen.“ Im Rahmen von Fernoperationen könnten Hacker versuchen, die Internetverbindung des Computers des Arztes zu stören oder ihn sogar auszuschalten oder seine Steuerung zu übernehmen…
Zum Beispiel ist auch die Teleradiologie ein Bereich, in dem man sich dieser Herausforderungen deutlich bewusst ist. Robert Wakim erläutert mehrere Szenarien von möglichen Angriffen. „Der Angreifer kann in Echtzeit die Daten ändern, die vom Medizingerät an den Computer des Arztes gesendet werden; er kann auch die Interpretation der Steuerung im Gerät ändern und den Blickwinkel verändern; oder aber er kann die Kontrolle über den Computer des Arztes übernehmen und das Ergebnis, das auf dem Bildschirm angezeigt wird, ändern.“ In jedem Fall werden die Analyseergebnisse falsch sein. Und die Diagnose ist verfälscht.
Wie kann unter diesen Bedingungen gewährleistet werden, dass die Vorteile der Telemedizin genutzt und gleichzeitig die Patienten und das Gesundheitspersonal sowie ihre Daten geschützt werden?
Es gibt mehrere Lösungen, um solche Angriffe abzuwehren
Angesichts der Cyberbedrohungen müssen die medizinischen Fachkräfte die vier Komponenten des Systems berücksichtigen: die Kommunikation, das Instrument, die Informationstechnologie und den Menschen. Die Kommunikation entspricht dem Austausch von Daten, die die Bedienung des Instruments durch die digitalen Steuertools ermöglichen.
Für die Tools besitzt Stormshield ein vollständiges Angebot von Lösungen, um die medizinischen Fachkräfte bestmöglich zu unterstützen, wie Robert Wakim erläutert: „Eine Lösung wie Stormshield Endpoint Security schützt die Endpoints und garantiert, dass sie gesund sind. Mit Stormshield Network Security (SNS) und seinem VPN-System wird die Vertraulichkeit des Austauschs erhöht, indem ein „privater“ und virtueller verschlüsselter Tunnel geschaffen wird. SNS ist auch in der Lage, die Protokollprüfung auszuführen, das heißt sich zu vergewissern, dass die übertragenen Daten die Datenaustauschnormen einhalten. Wenn Sie sich auf den Servern oder Endpoints befinden, sind Lösungen wie Stormshield Data Security nützlich, um die Daten gemäß der DSGVO zu schützen.“
Doch der erste und der letzte Schutzwall ist tatsächlich der Arzt, der am besten erkennen kann, dass etwas nicht stimmt, und der beim geringsten Zweifel Alarm schlägt. „Die Fachleute der Medizin und der Telemedizin müssen unbedingt für die neuen Risiken und Symptome eines Cyberangriffs sensibilisiert werden“, betont Robert Wakim.
Die Fachleute der Medizin und der Telemedizin müssen unbedingt für die neuen Risiken und Symptome eines Cyberangriffs sensibilisiert werden.
Robert Wakim, Offers Manager Stormshield
Denn die Cybersicherheit ist auch eine Frage von Reflexen und Nutzungsweisen: „Die Gesundheitseinrichtung muss sich über ihre Lösung für die Telemedizin informieren. Sie muss sich insbesondere vergewissern, dass sie gut versteht, wie die Daten übermittelt, verarbeitet, gespeichert werden und ob regelmäßige Aktualisierungen gemacht werden“, betont der Experte.
Diese Botschaft gibt auch Lydie Canipel weiter, wenn sie medizinische Fachkräfte schult: „Es kann jederzeit zu einem Cyberangriff kommen. Deshalb müssen wir die technischen Spezifikationen der Agentur für digitales Gesundheitswesen ASIP Santé oder die Standards der französischen Datenschutzbehörde CNIL in Bezug auf gesicherten E-Mail-Austausch, CE-Kennzeichen oder auch Hoster von Gesundheitsdaten einhalten. Diese Dokumente wurden für die Sicherheit des Patienten erstellt.“ Die Botschaft wurde bei einer Matinée zur Frage des Schutzes von Gesundheitsdaten aufgegriffen. Bernard Cassou-Mounat, Koordinator des Bereichs Gesundheit bei der französischen Behörde für Informationssicherheit ANSSI, erklärte: „Wie die sanitäre Hygiene muss für die medizinischen Fachkräfte die digitale Hygiene eine Selbstverständlichkeit werden“.
Wie die sanitäre Hygiene muss für die medizinischen Fachkräfte die digitale Hygiene eine Selbstverständlichkeit werden.
Bernard Cassou-Mounat, Koordinator des Bereichs Gesundheit bei der ANSSI
Schließlich müssen auch die Unternehmen ihre Gewohnheiten ändern, wie das Projekt der Agence nationale de sécurité de médicament (ANSM) (Nationale Agentur für die Sicherheit von Arzneimitteln) zeigt, das dazu führen dürfte, dass zum Jahresende Empfehlungen an die Hersteller von Medizinprodukten geschickt werden. Ein weiterer Schritt zu mehr Sicherheit bei der Telemedizin.