Bildergalerie
Medizindaten online übertragen? Wer das will, muss viele Sicherheitsfragen beantworten.
Otmar Seckinger ist Trainer und Berater bei Method Park mit den Schwerpunkten Software-Architektur, Prozessverbesserungen und Tool-Trainings im Umfeld von Automotive und Medizintechnik. Sein Interesse gilt den nichttechnischen Erfolgsfaktoren von Verbesse
Jörg Schmidt ist Consultant bei Method Park. Mit seiner Erfahrung als Projektleiter und Qualitätsmanager arbeitet er v.a. in Medizintechnik-Projekten. Sein Interesse gilt den regulatorischen Anforderungen sowie dem Requirements und Systems Engineering.
Florian Pfann ist Systemadministrator bei Method Park und dort insbesondere für die Sicherheit der Netzwerke verantwortlich. Sein besonderes Interesse gilt den modernen Internettechnologien sowie der Sicherheit und Verfügbarkeit von Webapplikationen.

Vernetzte Medinzingeräte werden wir in Zukunft immer öfter antreffen: Zum Beispiel könnte ein Inhalationsgerät behandlungsrelevante Daten per Mobilfunk auf einen Server übertragen. Ein Arzt greift auf die Daten zu und überprüft dabei sowohl die Mitwirkung des Patienten (Compliance) als auch dessen Rückmeldungen über die Wirksamkeit der Behandlung. Anhand dieser Informationen kann der Arzt eine Änderung der Wirkstoffdosis des Inhalationsgerätes veranlassen.

Bild 1: Im Beispielszenario überträgt ein Inhalationsgerät per Mobilfunk und Internet die Behandlungsdaten an einen Server, auf den neben dem Arzt auch Servicetechniker zugreifen müssen.

Bild 1: Im Beispielszenario überträgt ein Inhalationsgerät per Mobilfunk und Internet die Behandlungsdaten an einen Server, auf den neben dem Arzt auch Servicetechniker zugreifen müssen.Method Park

In diesem Szenario (siehe Bild 1) werden die Daten des Inhalationsgerätes asynchron in mehreren Schritten zum Arzt übermittelt: Zunächst überträgt das Inhalationsgerät seine Daten auf das Mobilfunkgerät. Das speichert sie so lange, bis der Patienten die Daten über das Internet zum Server transferiert. Ein Mobilfunkanbieter stellt die Internetanbindung des Mobilfunkgerätes zur Verfügung; ein Internet Service Provider (ISP) übernimmt die Verbindung des Servers.

Die komplette Kette betrachten

Ein System ist immer nur so sicher wie das schwächste Teil: Um dennoch ungefährliche Medizinelektronik herstellen zu können, müssen sich Entwickler neben der klassischen Safety auch mit Sicherheit im Sinne von Security auseinandersetzen. Dabei gilt es, alle möglichen Schwachstellen zu kennen und zu schützen.

Nach Empfang und Speicherung der Daten informiert der Server den Arzt. Dieser kann nun die Daten des Inhalationsgerätes einsehen und eine Behandlungsempfehlung erarbeiten. Diese Empfehlung kann auf mehreren Wegen zurück zum Patienten gelangen, zum Beispiel:

  • Der Arzt meldet die geänderte Dosierung des Wirkstoffes telefonisch an den Patienten, der daraufhin die Dosis am Inhalationsgerät einstellt.
  • Die vorgesehene Dosis wird im Display eines Mobilfunkgerätes angezeigt; der Patient liest den Wert ab und stellt die Dosis am Inhalationsgerät ein.
  • Die neue Dosierung wird direkt auf das Inhalationsgerät übertragen; das Gerät konfiguriert sich anschließend selbst.

Jede dieser drei Varianten birgt unterschiedliche Vor- und Nachteile. Bereits die zeitliche Verzögerung, bis der Patient eine angepasste Dosis erhält, könnte eine Gefahr darstellen. Im Folgenden wird dieses Risiko vernachlässigt. Das ist zulässig, da eine Inhalationsbehandlung meist über einen längeren Zeitraum erfolgt und daher sowohl die Latenzen der technischen Übertragungswege als auch die Reaktionszeiten von Arzt oder Patient von untergeordneter Bedeutung sind.

Verschlüsselung

Das im Internet zur sicheren Datenübertragung eingesetzte TLS ist ein hybrides Verschlüsselungsprotokoll: Zuerst wird eine verschlüsselte Verbindung mittels eines asymmetrischen Verschlüsselungsalgorithmus wie RSA aufgebaut, über die dann die Schlüssel für die symmetrische Verschlüsselung (etwa AES) übertragen werden. Die bei TLS verwendbaren Algorithmen findet man in den Vorschlägen für die TLS-Standards jeweils unter dem Punkt „The CipherSuite“.

Die Gegenstellen authentifizieren sich mittels X.509-Zertifikaten. Diese müssen von einer vertrauenswürdigen und dem Client bekannten Zertifizierungsstelle signiert sein. Um die Datenintegrität zu gewährleisten, werden Hash-Verfahren eingesetzt. Hier bieten sich Verfahren aus der SHA-2-Familie an.

Übertragung vom Inhalationsgerät zum Arzt

Bei der Übertragung der Daten vom Inhalationsgerät zum Arzt können folgende Fehler auftreten:

  • Datenverlust: Daten werden bei ihrer Übertragung irreparabel beschädigt, nicht zugestellt oder falsch adressiert.
  • Datenverfälschung: Daten werden auf dem Übertragungsweg verändert.

Da die Daten des Inhalationsgerätes auf den beteiligten Geräten temporär oder permanent gespeichert werden, können auch dabei Fehler auftreten:

  • Datenverlust: Gespeicherte Daten können nicht mehr gelesen werden.
  • Datenverfälschung: Gelesene und ursprünglich gespeicherte Daten unterscheiden sich.

Durch Übertragung und Speicherung der Daten können diese dritten Personen offenbart und dadurch die Privatsphäre des Patienten verletzt werden. Folgende Möglichkeiten sind hier denkbar:

  • Fehladressierung: Daten werden (auch) an unbeteiligte Dritte übertragen.
  • Unbefugter Datenzugriff: Daten werden von mittelbar Beteiligten (Mobilfunkanbieter, ISP, Administratoren, …) unbefugt eingesehen oder gelangen physisch in die Hände Dritter, beispielsweise durch Diebstahl oder Verlust des Mobilfunkgerätes.

Alle genannten Fehler können sowohl durch eine Fehlbedienung des Anwenders, durch das technische Versagen eines Teilsystems oder durch systemimmanente Fehler entstehen (zum Beispiel Protokolle, die Übertragungsfehler nicht verhindern). Beim technischen Versagen sind insbesondere relevant:

  • Hardware-Fehler: Permanente oder sporadische Fehler, die durch Defekte der Hardware auftreten.
  • Software-Fehler: Systematische Fehler, die durch eine fehlerhafte Implementierung oder durch Fehler in den verwendeten Werkzeugen (Compiler, Linker, …) entstanden sind.
  • Verletzung der Systemintegrität: Ein fehlerhaftes Systemdesign ermöglicht unerwünschte Wechselwirkungen zwischen verschiedenen Anwendungen auf einem Gerät, Veränderungen eines Systems außerhalb der Kontrolle des Herstellers (etwa durch Updates) und Angriffe gegen ein System (beispielsweise durch Viren).

Um diese Fehler zu vermeiden, ist es nötig, die Vertraulichkeit, Authentizität und Integrität der übertragenen und gespeicherten Daten sicherzustellen.

Initialisierung der Anwendung auf dem Mobilfunkgerät

Die Initialisierungsphase einer Anwendung auf dem Mobilfunkgerät besteht aus sieben Schritten:

  1. Registrierung des Patienten (zum Beispiel beim Arzt)
  2. Übergabe eines Einmalpasswortes an den Patienten
  3. Auslieferung und Installation der Anwendung auf dem Mobilfunkgerät
  4. Erstellen eines verschlüsselten Containers auf dem Mobilfunkgerät, der durch ein Benutzerkennwort geschützt ist
  5. Registrierung des Mobilfunkgerätes beim Server durch Eingabe des Einmalpasswortes
  6. Übertragung eines Zertifikates vom Server zum Mobilfunkgerät
  7. Ablage des Zertifikates sowie der Nutzdaten im verschlüsselten Container

Durch das Zertifikat kann sich nun das Mobilfunkgerät jederzeit beim Server authentifizieren.

Geheim und unverfälscht

Vertraulichkeit der Daten bedeutet: Um einen unbefugten Zugriff zu verhindern, müssen die Daten verschlüsselt transportiert und gespeichert werden. Die Übertragung zwischen Mobilfunkgerät und Server sowie zwischen Server und Rechner des Arztes kann zum Beispiel über eine per TLS (Transport Layer Security) geschützte Datenverbindung erfolgen. Die dafür erforderlichen Schlüssel und Zertifikate werden in einem Initialisierungsschritt auf den jeweiligen Geräten gespeichert (siehe Kasten „Initialisierung“). Ergänzend dazu müssen auch alle beteiligten Geräte vor unbefugtem Zugriff geschützt werden. Neben Sicherheitssoftware und organisatorischen Maßnahmen (etwa Zugriffsrichtlinien) können hierfür auch physikalische Zugangskontrollen nötig sein.

Für die gesicherte Verbindung zwischen Mobilfunkgerät und Inhalationsgerät bietet sich eine Datenübertragung per USB an. Für eine geschützte drahtlose Übertragung müsste man geeignete Verschlüsselungen auf Applikationsebene implementieren. Alternativ steht in Zukunft auch Bluetooth 4 zur Verfügung.

Authentizität der Daten bedeutet: Um überprüfen zu können, dass empfangene Daten jeweils vom richtigen Absender kommen, müssen sich die Geräte gegenseitig kennen. Eine Registrierung und spätere Identifikation kann mithilfe eindeutiger Gerätekennungen – etwa über die IMEI-Kennung des Mobilfunkgerätes – sowie mit dem Einsatz von Einmalpasswörtern zur Initialisierung der Anwendung auf dem Mobilfunkgerät erfolgen. Diese Kennungen müssen dabei als Teil der Nutzdaten übertragen werden, um ein Angriffsszenario wie in Bild 2 zu verhindern.

Bild 2: Angriffsszenario ohne Authentifizierung des Inhalationsgerätes. Der Datenspion hat verschiedene Stellen, an denen er Messwerte und Informationen fälschen kann.

Bild 2: Angriffsszenario ohne Authentifizierung des Inhalationsgerätes. Der Datenspion hat verschiedene Stellen, an denen er Messwerte und Informationen fälschen kann.Method Park

Die Integrität der Daten kann man mittels digitaler Fingerabdrücke (so genannten Hash-Werten) sicherstellen. Hierbei wird aus den Daten ein Hash-Wert ermittelt, den der Absender als Teil der Nutzdaten überträgt und die die Gegenseite verifizieren kann. Um zudem Hardware-Fehler zu kompensieren, etwa Funknetz- oder Serverausfälle, werden die Daten asynchron versandt. Dafür müssen sie auf dem jeweiligen Gerät in einem verschlüsselten Container zwischengespeichert werden.

Riskante Bedienung

Probleme durch eine Fehlbedienung lassen sich nie ganz ausschließen. Eine minimalistische Gestaltung der User-Interaktion auf dem Mobilfunkgerät, kombiniert mit Plausibilitätsprüfungen sowie einem geeigneten Usability-Engineering, minimieren dieses Risiko immerhin.

Systematische Fehler, beispielsweise Programmierfehler, müssen während der Testphase erkannt werden (Bild 3). Gegebenenfalls können hier auch eine redundante Auslegung sowie verschiedene Fehlererkennungs- und Behebungsmechanismen helfen.

Die Übermittlung der Behandlungsempfehlung vom Arzt zum Behandlungsgerät stellt je nach Variante einige zusätzliche Anforderungen.

Variante 1: Telefonische Rückmeldung

In der einfachsten Variante übermitteln der Arzt oder eine Sprechstundenhilfe dem Patienten telefonisch die Behandlungsparameter, die der in das Inhalationsgerät eingeben soll. Die Probleme liegen dabei vor allem im nichttechnischen Bereich. So kann der Patient zum Beispiel durch einen Sprech-, Hör- oder Verständnisfehler eine falsche Information erhalten, oder ihm unterläuft eine Fehlbedienung des Gerätes.

Auf technischem Wege könnte man diesen Problemen beispielsweise mithilfe einer Prüfsumme begegnen, die dem Patienten nach Eingabe aller Werte angezeigt wird und die er mit dem Arzt abgleicht. Ergänzend ist auch eine Plausibilitätsprüfung der neuen Werte sinnvoll.

Datenschutz

Bei der Speicherung, Verarbeitung und Übertragung von Patientendaten müssen die national geltenden Datenschutzbestimmungen beachtet werden – in der BRD also das Bundesdatenschutzgesetz (BDSG) und seine Anlagen. Das BDSG fordert die Anwendung von insgesamt sieben Kontrollebenen. Diese sollen sicherstellen, dass

  • gespeicherte Daten nur von autorisierten Personen eingesehen und verarbeitet werden dürfen
  • Daten während ihrer Übertragung nicht von Dritten eingesehen oder verändert werden können
  • Datenzugriffe und Datenmanipulationen (Erzeugung, Veränderung, Löschung) auditiert werden können
  • Datenverlust verhindert wird.

Zur Erfüllung dieser Anforderungen erwähnt das BDSG explizit die „Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“.

Variante 2: Rückmeldung über das Display des Mobilfunkgerätes

Die Behandlungsempfehlung wird in der zweiten Variante mithilfe einer speziellen Anwendung auf das Mobilfunkgerät übertragen und dort angezeigt. Eine Übermittlung per SMS oder E-Mail kommt nicht in Frage, weil Angreifer den Absender fälschen oder die Übertragung abhören könnten.

In dieser Variante treten ähnliche Probleme wie die bereits zuvor genannten auf. Zusätzlich ist jedoch die Anzeige auf dem Mobilfunkgerät zu beachten: Durch einen doppelten Pixelfehler könnte sogar der Dezimalpunkt an einer falschen Stelle erscheinen.

Lösungsmöglichkeiten sind auch hier die bereits erwähnte Prüfsumme sowie eine Plausibilitätsprüfung. Der Patient kann dabei helfen sicherzustellen, dass die Rückmeldung des Arztes nicht verloren geht (beispielsweise weil das Mobilfunkgerät kein Netz empfängt). Nach einer festgelegten Zeit ohne Antwort könnte dieser sich von selbst beim Arzt melden.

Variante 3: Automatische Konfiguration

Die Variante mit Übertragung auf das Inhalationsgerät und einer automatischen Konfiguration unterscheidet sich kaum von der Übermittlung zum Arzt, jedoch besteht in diesem Fall ein zusätzliches Gefährdungspotenzial bei einem Fehler im Konfigurationsschritt.

Durch manuelle Bestätigung kann der Wert überprüft und gleichzeitig verhindert werden, dass eine unbeabsichtigte Konfiguration stattfindet. Dass die Konfiguration auch erfolgt ist, lässt sich durch eine Bestätigungsnachricht sicherstellen. In allen Schritten müssen dabei die Daten auf unbeabsichtigte Veränderungen geprüft werden, beispielsweise durch Integritätsprüfungen mithilfe eines Hash-Wertes.

Alle Gefahren im Blick

Selbst eine vergleichsweise einfache Mobilfunk-Anwendung mit einer Datenübertragung durch das Internet birgt mehr Gefahren, als man auf den ersten Blick sieht. Durch eine geeignete Kombination aus Verschlüsselung, Zugriffskontrollen und Hash-Werten lassen sich jedoch für die meisten Probleme Lösungen finden.

Der Artikel hat nur eine Auswahl an Themen angesprochen. Insbesondere der technologische Fortschritt, etwa die mit steigender Rechenleistung abnehmende Sicherheit kryptographischer Verfahren, stellt in Anbetracht der durchschnittlichen Lebensdauer eines Medizinproduktes eine nicht zu unterschätzende Herausforderung dar. Entscheidend wird dabei stets sein, über einzelne Aspekte hinaus vor allem das Zusammenspiel aller Geräte zu betrachten.