Mit Sorge beobachte ich die zunehmenden Meldungen über die mangelnde IT-Sicherheit im medizinischen Umfeld. Aktuell nehmen in erheblichem Maße die Berichte zu gravierenden Angriffsszenarien und Sicherheitsproblemen bei Medizinprodukten (Stichwort „Internet of Things“, „IoT“) zu.
Bereits im Mai 2019 gab es einen Bericht, dass einer Umfrage von PricewaterhouseCoopers (PwC) zufolge gerade einmal 37 Prozent der Führungskräfte im US-Gesundheitswesen „sehr zuversichtlich“ sein sollten dahingehend, dass ausreichende Sicherheits- und Datenschutzkontrollen in von Ihnen verantwortete IoT-Implementierungen im Gesundheitswesen integriert seien. Auch sollte man in Erinnerung haben, dass gar nicht selten Krankenhäuser insgesamt Opfer von Cyberangriffen werden.
Angriffe im Gesundheitswesen nehmen weiter zu
Und die Angriffe mehren sich – zumal die Angriffsziele sich zahlenmässig vermehren. Smarten vernetzten Medizinprodukten gehört (durchaus zu Recht) die Zukunft, doch muss ein Herzschrittmacher mit Wireless-Updateschnittstelle ebenso abgesichert sein wie ein smarter Insulin-Stift, der sich über eine Netzwerkverbindung dosieren lässt.
In einem aktuellen Bericht wird nochmals deutlich, wie stark sich inzwischen vernetzte Medizinprodukte verbreiten und welches Risiko hier besteht, wenn man dieses Risiko nicht ernst nimmt.
Angriffe auf Einzelpersonen unwahrscheinlich
Erschreckend ist, mit welcher Vehemenz der Gesundheitssektor hier die Tatsachen verklärt – etwa wenn erklärt wird, Angriffe auf Einzelpersonen seien unwahrscheinlich. Ein unsicheres Gerät einzusetzen mit der Begründung, es sei bereits unwahrscheinlich dass jemand die Sicherheitslücke ausnutzt, ist nichts anderes als ein bewusst-fahrlässiges „spielen“ mit dem Menschenleben, das auf dieses Gerät angewiesen ist.
Zugleich haben die vergangenen zwei Jahre gezeigt, dass Cybrangriffe ein Wirtschaftsfaktor geworden sind, insbesondere was das Erpressen von Geld mit dem Angriff auf lebenswichtige Daten angeht. Jemanden zielgerichtet zu Erpressen mit der wirksamen Drohung die von ihm dringend benötigten Medizinprodukte lahmzulegen ist ein Szenario, das man sehen muss.
Haftung für unsichere Medizinprodukte
Es mangelt weiterhin an einer zielgerichteten Regulierung der IT-Sicherheit von Produkten. Ohne auf die zersplitterten Regeln einzugehen ist zumindest daran zu erinnern, dass entsprechend §3 Abs.1 Produktsicherheitsgesetz ein Produkt nicht auf dem Markt feilgeboten werden darf, wenn es „die Sicherheit und Gesundheit von Personen (…) bei bestimmungsgemäßer oder vorhersehbarer Verwendung gefährdet“. Immerhin hatte sich das BSI erst letztes Jahr dem Thema gewidmet – allein, schon jetzt finde ich den Handreicher nicht mehr.
Neben einer datenschutzrechtlichen Haftung (die DSGVO sieht „Privacy bei Design & Default vor, TMG und spätere ePrivacy-Versordnung regulieren den Umgang mit vernetzten Produkten ebenso) ist zugleich daran zu erinnern, dass auch eine strafrechtliche Thematik hinzukommt: Schon früh hat der Bundesgerichtshof geklärt, dass nicht abschliessend geklärt sein muss, welcher Fehler letztlich zu einem Personenschaden geführt hat (Lederspray-Fall) und dass man sich mangelnde Sicherungsvorkehrungen zurechnen lassen muss (Ziegenhaar-Fall).
Krankenhäuser bzw. Mediziner sind gut beraten, sich hier aktiv zu kümmern – etwa in dem die Thematik IT-Sicherheit bereits beim Einkauf von Medizinprodukten geklärt wird. Die mangelnde Prüfung kann bereits eine eigene Haftung begründen. Insoweit ist es dringend anzuraten, dass interne Richtlinien hinsichtlich Alltag im Krankenhaus ebenso existieren wie auch zur Frage der Beschaffung und des Einsatzes von Medizinprodukten. Einfach nur „kaufen und verwenden“ ist aus meiner Sicht nicht nur ethisch sondern auch juristisch schlicht zu wenig. Produkthersteller dagegen müssen sich nicht nur aus Sicht der Haftung sondern auch aus Image-Gründen um die Thematik kümmern.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.