Startseite > Medizintechnik > E-Health > Wie der Schutz von mobilen Patientendaten gelingt

IT-Sicherheit in mHealth-Anwendungen

Wie der Schutz von mobilen Patientendaten gelingt

28. Juli 2023, 9:26 Uhr | Von Ashish Patel, Zimperium

Smart Watches werden mit Sensoren zur Pulsmessung und vielen weiteren Vitalparametern zu modernen Medizingeräten, die Gesundheitsdaten mobil bereitstellen.

Über mobile Medizingeräte wie smarte Wearbales oder Sensorpflaster können Patienten Gesundheitsdaten sammeln und neue E-Health-Services nutzen. Wenn medizinsche Fachkräfte auf die Mobilanwendungen zugreifen, gibt es jedoch viele Sicherheitlücken. Wie können Mobile-Security-Risiken minimiert werden?

▶ Diesen Artikel anhören

Mobile-Health-Technologien »mHealth« sind allgegenwärtig. Durch eine Koppelung von medizinischen Geräten mit dem Smartphone lassen sich die Fernüberwachung von Patienten, Telemedizin, mobile Medizin-Apps und viele weitere Gesundheitsheitsanwendungen unterstützen. Das Angebot an Gesundheits-Apps wie Kalorienzählern, Fitness-Apps, Schlaf-Tracking-Apps, Apps für Gesundheitsdienstleister und Krankenversicherungen oder Meditations-Apps nehmen stark zu.

Auf Verbraucherseite bieten diese Digital-Health-Angebote deutlichen Mehrwert und zusätzlichen Komfort. So kann ein Diabetespatient zum Beispiel seine Aufnahme von Kohlenhydraten direkt auf seinem Gerät verfolgen oder seine Insulinwerte mit einem smarten Wearbale am Oberam messen. In der Vergangenheit verließen sich die Patienten auf vierteljährliche oder monatliche Labortests oder aufwändig manuelle Messungen. Jetzt erfolgt die Datenansicht einer Insulinpumpe per Smartphone und App. Damit wird das Mobilgerät selbst zu einem medizinischen Gerät.

Dieser technologische Fortschritt bietet ganz neue Möglichkeiten für die Patientenversorgung. Bisher konnte der Gesundheitszustand einer Person nur im Rahmen von zeitaufwendigen Sprechstundenterminen ermittelt werden. Jetzt könnte ein Arzt auch mobile Technologien zur Diagnose nutzen, um Symptome und Ursachen einer Krankheit zu identifizieren. Oder Patienten erhalten eine Warnung auf ihrem Smartphone, wenn der Blutzuckerspiegel niedrig ist.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Private Geräte bieten wenig IT-Sicherheit

Es gibt aber auch digitale Gefahren. So stellen Bring-Your-Own-Device-Initiativen (BYOD) viele IT-Teams im Gesundheitssektor vor erhebliche Herausforderungen. Eine aktuelle Zimperium-Umfrage zeigt, dass 44 Prozent des Gesundheitspersonals beim Zugriff auf Patientendaten nicht nur mit Firmengeräten, sondern auch mit privaten Endgeräten arbeiten. Fünf Prozent der Mitarbeiter greifen sogar ausschließlich über Privatgeräte auf sensible Patientendaten zu.

Diese Szenarien schaffen neue Angriffsmöglichkeiten. Mobile Endgeräte bieten eine breitere Angriffsfläche für böswillige Akteure, um Kliniknetze zu infiltrieren, Daten zu stehlen und Malware einzuschleusen. Der »Global Mobile Threat Report 2023« verzeichnet folgerichtig mehr Anfälligkeiten sowie Zero-Day-Attacken auf iOS- und Android-Systeme. Demnach gibt es einen deutlichen Anstieg kritischer Android-Schwachstellen und Zero-Day-Schwachstellen unter Apple iOS, die aktiv ausgenutzt werden.

Zur Einhaltung gesetzlicher Vorschriften müssen sich Gesundheitsdienstleister und Gerätehersteller an immer komplexere Vorschriften halten. Die verwendeten zuständigen IT-Abteilungen müssen strenge Kriterien für die verwendeten Geräte und Apps einhalten — insbesondere beim Einsatz telemedizinischer Anwendungen über Ländergrenzen hinweg. Wie ermöglichen sie eine geschützte, datenschutzkonforme Fachkommunikation zwischen einem regional verteilten Ärzteteam und Patienten in Echtzeit?

Gesetzliche Anforderungen und Best-Practices

Der Schutz von Patientendaten hängt von den bereitgestellten Dienstleistungen, den eingesetzten Technologien und vielen anderen Faktoren bei der Nutzung mobiler Technologien ab. Die Einhaltung von Best Practices für die Cybersicherheit umfasst Maßnahmen zur Zugriffskontrolle, Datenverschlüsselung und Anmeldewarnungen, um identifizierte Risiken zu minimieren. IT-Teams im Gesundheitswesen müssen dabei ein konstantes Gleichgewicht zwischen der Absicherung von Daten und der Gewährleistung produktiver Arbeitsprozesse finden.

Das medizinische Personal verwendet unterschiedliche Lösungen, die Patientendaten und andere sicherheitskritische Informationen miteinander teilen. Zur Erfassung und Bewertung der damit verbundenen Risiken ist eine präzise Analyse erforderlich, welche datenschutzrelevanten Daten von Mobiltelefonen, Sensoren oder medizinischen Geräten verarbeitet und zwischen Gesundheitsdienstleistern, Patienten und Geschäftspartnern geteilt werden. Durch eine kontinuierliche Überwachung der Kommunikation zwischen diesen Geräten lassen sich Man-in-the-Middle-Angriffe, die Manipulation von Informationen oder Datenraubversuche unterbinden.

Darüber hinaus sollten die eingesetzten Apps auf den Mobilgeräten zusätzlich abgesichert werden. Moderne Sicherheitslösungen erkennen, dass ein Smartphone durch Jailbreak oder Rooting-Funktionen kompromittiert wurde - und können den Start der betreffenden Apps komplett unterbinden.

Risikobewertung und Sicherheit

Moderne mHealth-Technologien und -Strategien haben erhebliche Auswirkungen auf den medizinischen Alltag. Ärzte und Patienten profitieren gleichermaßen von zeitnahen und bequemen Zugriffsmöglichkeiten auf Gesundheitsdaten. In den falschen Händen können diese Daten jedoch auch für Gefahren und Schäden sorgen. Angesichts einer stetig wachsenden Datenmenge auf mobilen Endgeräten und neuen Angriffsvarianten wird es immer wichtiger, dass sensible Therapie- und Patientendaten blick- und manipulationssicher bleiben. Durch Befolgung von Best-Practice-Empfehlungen können Organisationen die richtige Balance zwischen Benutzerfreundlichkeit und Serviceinnovation auf der einen Seite sowie Sicherheit und Datenschutz auf der anderen Seite finden. (uh)