„Wir müssen den Q-Day als absehbar mitdenken“

Herr Professor Gilbert, wie schätzen Sie aktuell die Gefahr durch Hackerangriffe ein?

Stephen Gilbert: Medizinische IT-Systeme stehen Jahr für Jahr vor größeren Cybersicherheits-Herausforderungen. Meldungen über schwere Angriffe auf Krankenhausinfrastrukturen mit tödlichen Folgen häufen sich. Im Gesundheitswesen haben sich Cybersicherheitsvorfälle in den letzten zehn Jahren verdreifacht und die Kosten zur Bewältigung von Datenpannen steigen. Häufig führt die Verschärfung von Sicherheitsmaßnahmen nach einem Vorfall zu eingeschränktem Informationsfluss – mit schlechteren Behandlungsergebnissen. Kurz: Die Reaktion kann mitunter mehr schaden als nützen. Hier braucht es dringend bessere Ansätze.

Welche Ziele verfolgen Sie bei CYMEDSEC?

Stephen Gilbert: CYMEDSEC richtet den Fokus auf das Internet der medizinischen Dinge (IoMT), also auf drahtlose Geräte für die häusliche Fernüberwachung und das „Hospital at Home“. Eine Behandlung im häuslichen Umfeld entspricht dem Wunsch vieler Patientinnen und Patienten, senkt Kosten, reduziert Umweltbelastungen und bringt klare medizinische Vorteile. Gleichzeitig entsteht eine neue digitale Angriffsfläche. Wie wir in einer frühen CYMEDSEC-Veröffentlichung gezeigt haben, sind Patientinnen und Patienten zu Hause besonders verwundbar: Es gibt keine analoge Ärztin, keinen analogen Pfleger, die ein ausgefallenes digitales System sofort ersetzen könnten. 
Hocheffiziente digitale Systeme sind überraschend anfällig. Wir arbeiten daher an der Robustheit und Sicherheit von IoMT-Infrastruktur und entwickeln Verfahren zur Risikobewertung vernetzter Medizinprodukte, zur laufenden Überwachung sowie zu Schutz- und Update-Mechanismen.

Wie lässt sich der Security-by-Design-Gedanke in der Praxis umsetzen?

Stephen Gilbert: „Security by Design“ ist mehr als ein Schlagwort für das Marketing. Für CYMEDSEC bedeutet es zweierlei: Erstens gehört Cybersicherheit in die Entwurfsphase – inklusive der vorgesehenen Nutzung und der Interaktion mit anderen Komponenten innerhalb größerer Heimüberwachungs- bzw. Hospital-at-Home-Systeme. Zweitens braucht es eine Nahezu-Echtzeit-Sicht auf den Sicherheitszustand dieser Systeme mit der Möglichkeit, sofort gegenzusteuern. Ein 24/7-Monitoring ist im Bankwesen Standard; für Systeme, die kranke und chronisch kranke Menschen stützen, darf der Anspruch nicht geringer sein.
Ergänzend entwickeln wir neue, mehrschichtige Open-Source-Ansätze für sichere Hardware und Betriebssysteme, sogenannte „Defense in Depth“ für IoMT. Diese Arbeiten – die Entwicklung „gehärteter“ Hardware und Software – werden im Verbund vom Barkhausen Institut in Dresden geleitet. Proof-of-Concepts werden bereits getestet.
CYMEDSEC ist ein Projekt mit Partnern aus Forschung, Industrie und Verwaltung. Welche Rolle spielt

Zusammenarbeit für die Cybersicherheit?

Stephen Gilbert: Sie ist zentral – und eine Stärke von „Horizon Europe“, des EU-Rahmenprogramms für Forschung und Innovation bis 2027. Wir vereinen Juristinnen und Juristen, Normungs-Expertinnen, Cybersicherheitsfachleute, Chip- und Funksystem-Ingenieurinnen, Sozialwissenschaft, Klinikteams für die Implementierung von Fernüberwachung, Informationssicherheitsbeauftragte sowie Wissenschafts- und Kommunikationsexpertise. Beteiligt sind Universitäten, MedTech- und Cybersicherheitsunternehmen sowie nationale Normungsinstitute. 
Zusammenarbeit ist der Kern unseres Vorgehens: Wir betrachten Probleme aus mehreren Blickwinkeln, hinterfragen Annahmen und integrieren Lösungen, die sich in der Breite umsetzen lassen – ganzheitlich und aus einer europäischen Perspektive.

Welche Rolle spielen Post-Quanten-Kryptografie und KI – sowohl als Chance als auch als Risiko für die Cybersicherheit?

Stephen Gilbert: Quantencomputing und Post-Quanten-Kryptografie gelten zwar oft als ferne Zukunftsthemen – diese Einordnung muss allerdings dank jüngster Forschungsergebnisse hinterfragt werden. Google konnte zeigen, dass ein Quantencomputer bei einem realen biologischen Problem die Performance klassischer Rechner übertreffen kann. Auch wenn Quantencomputing noch nicht flächendeckend eingesetzt wird, ist es real und bereits da. Den „Q-Day“, ab dem weit verbreitete Verschlüsselungsverfahren leicht zu brechen sind, haben wir zwar noch nicht erreicht; wir müssen ihn aber als absehbar mitdenken. 
Beruhigend ist allerdings, dass auch die US-Standardisierungsorganisation NIST kürzlich ein Portfolio einsatzbereiter Post-Quanten-Kryptografie-Algorithmen definiert hat, deren Einsatz wegen der Gefahr von „Harvest now, decrypt later“ empfohlen wird. Die Herausforderung ist daher weniger technologisch als organisatorisch: Gesundheits-IT mit vielen veralteten Systemen wird die Umstellung nicht überall schnell und vollständig schaffen. CYMEDSEC arbeitet daher an tragfähigen Migrationspfaden und politischen Leitplanken.
Auch KI ist fester Bestandteil unseres Arbeitsprogramms: Wir setzen auf KI-gestützte Überwachung vernetzter Systeme, nutzen KI zur Entlastung regulatorischer Prozesse und adressieren die Absicherung KI-basierter Medizinprodukte – etwa gegen Data-Poisoning und Prompt-Engineering. Unsere Standardisierungsansätze betrachten IoMT und KI gemeinsam, so wie sie später auch zum Einsatz kommen.

Stephen Gilbert
Stephen Gilbert ist Professor für Medizinprodukte-Regulierungswissenschaften am Else Kröner Fresenius Center (EKFZ) für Digitale Gesundheit der Technischen Universität Dresden. Nach seiner Promotion in Leeds forschte er mehrere Jahre. Zwischen 2017 und 2022 arbeitete er in der Industrie, bevor er 2022 zur Wissenschaft zurückkehrte. Das 2019 gegründete EKFZ Dresden wird mit 40 Millionen Euro für zehn Jahre von der Else Kröner-Fresenius-Stiftung gefördert. Es konzentriert seine Forschung auf medizinische und digitale Technologien an der Schnittstelle zu den Patienten.