Heim Bea · Nationalrat · 2019-06-05
Heim Bea · Nationalrat · Solothurn · Sozialdemokratische Fraktion · 2019-06-05
Wortprotokoll
Mein Postulat trägt den Titel "Cybersicherheit im Gesundheitswesen". Demnach wird der Bundesrat ersucht, Massnahmen zur Stärkung der Cybersicherheit im Gesundheitswesen zu prüfen, und das in Zusammenarbeit mit Fachpersonen und den Kantonen. Das Postulat fokussiert insbesondere auf die Sicherheit und auf Sicherheitsstandards vernetzter medizinischer Geräte.
Seit Langem warnen IT-Experten davor, dass fernbedienbare medizinische Implantate wie Herzschrittmacher und Insulinpumpen von Cyberkriminellen manipuliert werden können. Diese umzuprogrammieren oder gar abzuschalten sei möglich. Darum braucht es höhere Sicherheitsstandards, insbesondere für Internet-of-Things-Geräte im Gesundheitswesen.
Die digitale Transformation durchdringt den Spitalalltag. Mehr und mehr Diagnose-, Analyse- und Behandlungsgeräte sind heute vernetzt, beispielsweise Kontroll- und Überwachungsgeräte für Vitalfunktionen, Dosier- und Infusionspumpen oder EKG-Geräte und Computertomografen. Dazu kommt eine Vielzahl von Analysegeräten in medizinischen Labors. Die Vernetzung der Geräte dient einerseits der Überwachung und Steuerung innerhalb des Spitals, andererseits aber auch der Fernwartung und Firmware-Updates durch die Hersteller. Diese Remote-Zugänge oder Fernzugriffsmöglichkeiten stellen ein grosses Einfallstor für Cyberangriffe dar. An einer Tagung zeigte eine IT-Firma, wie einfach und schnell zum Beispiel eine Infusionspumpe gehackt werden kann. Einmal gehackt, lassen sich Überdosierungen verabreichen oder lässt sich die Medikation einfach abstellen, während das Gerät weiter unverdächtige Werte anzeigt.
Spezielle Geräte sind die heutigen Herzschrittmacher, die selbst aus der Entfernung gewartet und parametrisiert werden können. Nicht auszudenken, welche lebensbedrohlichen Schäden damit angerichtet werden könnten! Die Vielfalt und Vielzahl an Geräten, zum Beispiel in einem Spital, lassen Cyberkriminellen ungeahnte Möglichkeiten. Darum braucht es Detect-and-Response-Dienste in allen Spitälern.
In diese Richtung geht die Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken 2018-2022 des Bundesrates. Ich habe mir den Umsetzungsplan vom Mai 2019 mit Interesse angeschaut und gesehen, dass der Gesundheitssektor in die Cyberübungen für kritische Infrastrukturen einbezogen wird. Was aber immer noch fehlt, sind die Sicherheitsstandards und Sicherheitsmassnahmen in Bezug auf die Internet-of-Things-Geräte im Gesundheitsbereich. Die Endgeräte sind laufend auf ihre Sicherheit hin zu überprüfen.
Zudem gibt es offenbar eine neue europäische Zulassungsverordnung für Medizinalgeräte, die fordert, dass sämtliche Geräte permanent Patientendaten erfassen und anonymisiert für Forschungszwecke bereitstellen müssen. Wenn dem wirklich so ist bzw. da die Information von Professor Peter E. Fischer kommt, stellt sich die Frage der Sicherheit und der Sicherheitsstandards für Internet-of-Things-Medizinalgeräte noch dringender.
Darum bitte ich den Rat, dieses Postulat anzunehmen, im Interesse der Sicherheit der Patientinnen und Patienten - wir alle können mal Patientinnen und Patienten werden -, also auch in Ihrem Interesse und im Interesse der Spitäler. [PAGE 907]