Sec4IoMT
Sicherheit im Internet der Dinge für medizinische Endgeräte
Für Hersteller medizinischer Geräte und für Betreiber komplexer Gerätetechniken, wie Krankenhäuser, Arztpraxen, Diagnosezentren und Dienstleister mit besonderen Aufgaben im Gesundheitswesen, spielt die sichere Vernetzung hochtechnologischer Medizinprodukte eine immer größer werdende Rolle. Doch die Vernetzung führt neben der verbesserten medizinischen Versorgung auch zu mehr Angriffsflächen und -zielen für Cyberattacken. Denn ausgehend von einer Gerätelandschaft, die zum Teil über keine adäquaten bzw. homogenen Sicherheitsstandards zur Datenspeicherung und zum Datenaustausch verfügt, führt dies sowohl für Hersteller als auch für Betreiber von medizinischen Geräten zu einem ständig wachsenden Bedrohungs- und Risikopotential.
Eine besondere Herausforderung für IoMT-Geräte besteht darin, dass in der Office-IT-Welt bekannten und häufig angewendeten SW-Updates in PCs, Laptop und Tablets auf Medizinprodukte nicht übertragbar sind. Medizingeräte sollen Leben retten oder verlängern, sind zum Teil ständig im Einsatz und arbeiten nicht immer im Online-Modus. Komplexe medizinische Diagnosegeräte im Netzwerk eines Operationssaales etwa verbleiben häufig lange am Einsatzort und unterliegen dadurch einer Alterung von der Software und von den Schutzmaßnahmen vor Cyberangriffen. Des Weiteren müssen sie Datenschutzanforderungen erfüllen und benötigen, je nach Klassifizierung, eine Produktzulassung durch eine Drittstelle.
Das Vorhaben „Security for the Internet of Medical Things”, kurz „Sec4IoMT”, sucht nach Lösungswegen, wie in Zukunft ein dauerhafter Schutz vor Cyberangriffen gewährleistet und wirtschaftlich dargestellt werden kann. So sollen Updates von Software, Firmware, Krypto-Bibliotheken, Zertifikaten und Schlüsseln bei größeren Medizingeräte-Stückzahlen bei unterschiedlichen Anwendern durchgeführt werden können, ohne dass dadurch die Produktzulassung erlischt. Die Entwicklung und Weiterentwicklung entsprechender Werkzeuge für den vorausschauenden Schutz der Software-Komponenten durch Lizenzierung und von sensiblen Schlüsseln sind Ziele auf dem Weg zu praxistauglichen und wirtschaftlichen Lösungen zum langfristigen Erhalt der Sicherheit von IoMT-Geräten.
Das ITS konzentriert sich im Rahmen des Sec4IoMT Projekts auf die Gewährleistung von Sicherheit mit Fokus auf die Sicherheit des Updatemechanismus, da durch Updates folgenschwere Sicherheitslücken geöffnet werden könnten. So werden sowohl mögliche Bedrohungen und sich daraus ergebende Anforderungen an die kryptographischen Primitiven ermittelt als auch geeignete Architekturkonzepte. Ein besonderes Augenmerk liegt auf der möglichen Verwendung von PQC-Algorithmen und MPC-in-the-Head-Protokollen. Außerdem ist das ITS an der Implementierung eines Demonstrators beteiligt, welcher die bis dahin gewonnenen Erkenntnisse bezüglich automatisierter SW-Updates und Krypto-Upgrades zusammenführt.