Cyber-Risiken bei Herzimplantaten: Umfassender aufklären

Prof. Stefan M. Schulz ist Mitautor einer aktuellen Studie der Universität Trier, in der einheitliche Richtlinien zur Berücksichtigung von Cyber-Sicherheitsrisiken im Rahmen der Aufklärung gefordert werden. Im ersten Gespräch erläutert Schulz die potenziellen Risiken, aktuelle Regelungen und mögliche Lösungsansätze.

HERZMEDIZIN: Herr Prof. Schulz, welche potenziellen Cyber-Risiken gibt es bei Herzimplantaten (CIEDs)?

Schulz: Die Möglichkeiten für Hackerinnen und Hacker, CIEDs aus der Ferne zu manipulieren, sind vielfältig. Sie könnten die Programmierung ändern, Daten auslesen oder den Datentransfer bei Home-Monitoring-Lösungen angreifen. Gesundheitsdaten sind wertvolle Informationen, so dass gerade auch Datenlecks bei der Übertragung von Informationen zwischen vernetzten Geräten kritisch sind.

Trotz dieser Risiken bieten Funkprotokolle große Vorteile, wie die Fernüberwachung von Arrhythmien oder die Anpassung der Programmierung ohne Eingriff. Diese Vorteile überwiegen das Risiko eines Hackerangriffs deutlich. Es ist jedoch wichtig, Patientinnen und Patienten umfassend über Cyber-Risiken aufzuklären, um Unsicherheiten durch möglicherweise reißerische Medienberichte zu vermeiden.

HERZMEDIZIN: Kam es bereits zu tatsächlichen Vorfällen bei Herzimplantaten?

Schulz: Bislang gibt es keine bestätigten Fälle, bei denen ein CIED erfolgreich gehackt wurde, um absichtlich Schaden zu verursachen. Es wurde jedoch mehrfach demonstriert, dass Angriffe möglich sind. Beispielsweise wurde 2018 auf der Black Hat, einer Konferenz zur Informationssicherheit, gezeigt, dass ein implantierbarer Defibrillator über Funk manipuliert werden kann. Hersteller haben daraufhin Sicherheitsverbesserungen vorgenommen. Ähnliche Manipulationen wurden auch für andere vernetzte Medizinprodukte, wie z. B. Insulinpumpen bei Diabetes demonstriert.

Leider ist die Technologie so komplex, dass es unmöglich ist, alle potenziellen Sicherheitslücken vorherzusehen und präventiv zu schließen. Zudem ist das Risiko für Cyberangriffe auf die IT-Infrastruktur von Krankenhäusern und CIEDs in den letzten Jahren erheblich gestiegen. Das liegt vor allem an drei Gründen: 1) Zunehmende Vernetzung technischer Geräte, 2) Verfügbarkeit von Hacker-Tools und -Informationen, 3) Neue Risiken durch künstliche Intelligenz.

Ob eine Einzelperson Ziel eines Hackerangriffs wird, hängt von der Motivation der Angreifenden ab. Für die meisten CIED-Trägerinnen und -Träger besteht kein lohnenswerter Grund für einen Angriff. Szenarien wie Erpressung oder gezielte Angriffe auf einflussreiche Personen sind jedoch denkbar. Selbst die Androhung eines Angriffs könnte erheblichen Schaden anrichten, wenn sie unvorbereitete Patientinnen oder Patienten erreicht.

HERZMEDIZIN: Wie ist aktuell der Prozess der Patientenaufklärung zu CIEDs in Deutschland geregelt?

Schulz: In Deutschland erfolgt die Patientenaufklärung zu Herzimplantaten (CIEDs) im Rahmen der „informierten Einwilligung“ (Informed Consent) durch den behandelnden Arzt bzw. die behandelnde Ärztin. Patientinnen und Patienten werden über Vorteile und Risiken informiert, um gemeinsam zu entscheiden, welche Behandlung am besten geeignet ist und welche Alternativen es gibt. Dabei werden die Vorgaben der Datenschutz-Grundverordnung (DSGVO) berücksichtigt.

Bisher gibt es aber keine standardisierten Leitlinien zur Aufklärung über Cyber-Risiken im Rahmen der „informierten Zustimmung“. Mit der neuen EU-Netz- und Informationssicherheitsrichtlinie NIS2 wurden Vorschriften zur Meldung und öffentlichen Bekanntmachung von Cyber-Risiken verschärft. Hersteller müssen Cyber-Risiken, die bei einem Gerät bekannt werden, kurzfristig melden und öffentlich machen. Es bleibt jedoch unklar, wie diese Informationen Krankenhäuser, Leistungserbringende sowie Patientinnen und Patienten in verständlicher Form erreichen.

HERZMEDIZIN: Wie wird es in anderen Ländern gehandhabt? Gibt es bereits bestehende Richtlinien oder Standards, die Sie als Vorbild für die Aufklärung über Cyber-Risiken empfehlen würden?

Schulz: In den Vereinigten Staaten sind die grundlegenden Komponenten der „informierten Zustimmung“ ähnlich wie in Deutschland. Dort gelten die Bestimmungen der HIPAA sowie die FDA-Richtlinien für medizinische Geräte. Die „informierte Zustimmung“ umfasst die Aufklärung über Indikation, Vor- und Nachteile, potenzielle Risiken, Datenschutzinformationen und das Recht der Patientinnen und Patienten auf eine freiwillige Entscheidung.

Die Cybersicherheit wird in den USA durch das National Institute of Standards and Technology (NIST) reguliert, während in Europa die European Network and Information Security Agency (ENISA) und die NIS2-Richtlinie relevante Leitlinien bieten. Viele westlich orientierte Länder orientieren sich daran. Diese Leitlinien fordern auch die Aufklärung des medizinischen Personals über Cyber-Risiken und die Weitergabe an die Betroffenen. Eine gewisse Gefahr ist, dass die Verantwortung für die Akzeptanz von Cyber-Risiken auf die Patientinnen und Patienten abgewälzt wird, ohne, dass diesen die (auch haftungsrechtlichen) Konsequenzen klar sind.

Es gibt jedoch weltweit keine Richtlinie zum Umgang mit Cyber-Risiken bei CIEDs. Wichtig wäre, die Berücksichtigung kommunikationspsychologischer Aspekte, um Patientinnen und Patienten vollständig und korrekt aufzuklären, ohne unnötige Angst zu schüren.

HERZMEDIZIN: Wie sollten sich Ärztinnen und Ärzte aus Kardiologie und Herzchirurgie aktuell am besten verhalten?

Schulz: Ärztinnen und Ärzte sollten sich über Cyber-Risiken informieren, um diese vor einer Implantation mit ihren Patientinnen und Patienten besprechen zu können. Auch nach der Implantation sollten Kardiologinnen, Kardiologen sowie Hausärztinnen und -ärzte in der Lage sein, Fragen zu Cyber-Risiken kompetent zu beantworten. Das individuelle Risiko lässt sich zwar nicht genau beziffern, es ist jedoch in der Regel gering, auch wenn die möglichen Konsequenzen im unwahrscheinlichen Fall eines Angriffs drastisch sein könnten.

Menschen haben meist Schwierigkeiten, mit solchen „schwammigen“ Risiken umzugehen. Es ist daher wichtig, den Grad der Besorgnis der Patientinnen und Patienten zu erörtern und auf ihre Gefühle und Bedrohungsgedanken einzugehen. Wichtig ist, dass das Vertrauensverhältnis zwischen den Behandelnden und den Betroffenen erhalten bleibt. Viele Herzpatientinnen und -patienten leiden unter subklinischer oder klinischer Angst und Depression, was eine katastrophisierende Verarbeitung bedrohlicher Informationen begünstigt. Dem sollte aktiv entgegengewirkt werden, zum Beispiel durch gut greifbare Vergleiche.

Der Austausch kann auch genutzt werden, um gegebenenfalls ergänzende Maßnahmen wie psychotherapeutische Unterstützung anzusprechen. Wichtig ist ein offener und regelmäßiger Dialog mit den Patientinnen und Patienten, in dem deren Befürchtungen und Unsicherheiten erkannt und adressiert werden können.

HERZMEDIZIN: Inwiefern sind auch Ärztinnen und Ärzte aus Kardiologie und Herzchirurgie in dem Forschungsprojekt der Universität Trier zu Cyber-Risiken bei CIEDs involviert?

Schulz: Es sind international mehrere Kliniken beteiligt: in Deutschland (u. a. das Deutsche Zentrum für Herzinsuffizienz Würzburg und das Universitätsklinikum Brandenburg an der Havel), in den USA, in Frankreich und in weiteren europäischen Ländern. Wir erfassen im Detail, wie Cyber-Risiken von Ärztinnen und Ärzten im Rahmen der „informierten Einwilligung“ angesprochen werden und welche Probleme und Herausforderungen dabei auftreten. Gleichzeitig untersuchen wir die Perspektive der Patientinnen und Patienten auf das Thema.

In Deutschland begegnen wir jedoch auch Widerstand und die Frage, warum man sich mit diesem Thema überhaupt beschäftigen sollte. Ich hoffe, die bisherigen Antworten helfen, die Gründe besser zu verstehen. Auf Grundlage unserer Erhebungen hoffen wir, zur Entwicklung einer einheitlichen und optimierten Richtlinie zum Umgang mit Cyber-Risiken bei CIEDs beitragen zu können.

Wir würden uns sehr freuen, wenn CIED-implantierende Ärztinnen und Ärzte aus Kardiologie, Elektrophysiologie und Herzchirurgie sowie betroffene Patientinnen und Patienten unseren Online-Fragebogen ausfüllen (siehe unten).

HERZMEDIZIN: Gibt es eine zentrale Botschaft, die Sie gerne abschließend mitgeben möchten?

Schulz: Cyber-Risiken bei implantierbaren medizinischen Geräten und speziell bei CIEDs sind seit über einem Jahrzehnt bekannt. Dass vernetzte Geräte mit komplexer Programmierung angreifbar sind, ist offensichtlich. Leider sind die Reaktionen auf solche Nachrichten bisher eher verhalten. Es fehlt eine kompetente Auseinandersetzung mit der Realität von Cyber-Risiken, die darauf abzielt, Unsicherheiten zu reduzieren und klare, einheitliche Regelungen zu finden.

Es ist entscheidend, dass Patientinnen und Patienten so aufgeklärt werden, dass sie ihr Bewusstsein über Cyber-Risiken proaktiv nutzen können. Sie sollten ihre CIEDs und sicherheitsrelevante Aspekte auf dem aktuellen Stand halten, aber auch unnötige Ängste mit kompetenten Personen klären und angemessen regulieren können. Dies ist nur möglich, wenn auch die behandelnden Ärztinnen und Ärzte auf dem neuesten Stand des Wissens sind und dies erklären und unterstützen können.