Zurück zur Übersicht

Wettlauf gegen die Maschinen: Die neue Ära der IT-Sicherheit für Medizinprodukte im Zeitalter von KI-Hackern

Der Cyberangriff in London zeigt, wie eng IT-Sicherheit und Patientenversorgung heute miteinander verbunden sind.

Steven Breuer3 Min.

Es war ein Weckruf, der auf tragische Weise zeigte, dass Cybersicherheit im Gesundheitswesen kein reines IT-Thema ist, sondern über Leben und Tod entscheidet: Im Juni 2024 führte ein Cyberangriff auf ein Pathologie-Unternehmen in London zu massivem Chaos in mehreren Krankenhäusern. Über 10.000 Termine fielen aus, es kam zu erheblichen Blutengpässen, und die Verzögerung lebenswichtiger Bluttests trug dazu bei, dass ein Patient verstarb.

Solche Vorfälle könnten bald eine völlig neue Dimension annehmen. Der Grund dafür hat einen Namen: Claude Mythos Preview.

Das neue KI-Modell des Unternehmens Anthropic zeigt uns gerade, wie die Zukunft der Cybersicherheit aussieht. Mythos ist in der Lage, jahrzehntealte Schwachstellen in Software vollautonom zu finden – wie etwa einen 27 Jahre alten Bug im extrem sicheren OpenBSD-Betriebssystem oder eine 16 Jahre alte Lücke im Videocodec FFmpeg, die millionenfache automatisierte Tests zuvor überstanden hatten. Noch dramatischer: Das Modell entdeckt diese Lücken nicht nur, es schreibt auch direkt den funktionierenden Schadcode (Exploit) dafür.

Was bisher hochspezialisierten Experten vorbehalten war oder Tage und Wochen dauerte, erledigt eine solche KI nun für teilweise unter 50 US-Dollar in wenigen Stunden. Während Hacker durch KI also ein rasantes Upgrade erfahren, stehen wir in Krankenhäusern und Arztpraxen vor einem gewaltigen Update-Dilemma bei Medizinprodukten:

  1. Veraltete Geräte und das "Patch-Fenster" Rund 40 % der medizinischen IoT-Geräte (Internet of Medical Things) in Krankenhäusern haben das Ende ihres Lebenszyklus erreicht und erhalten schlichtweg keine Sicherheitsupdates mehr. Gleichzeitig schrumpft die Zeit von der Entdeckung einer Schwachstelle bis zu ihrem ersten Angriff durch KI-Beschleunigung auf unter einen Tag, während Organisationen im Median immer noch etwa 70 Tage für ein Update benötigen.

  2. Die regulatorische Update-Falle Selbst wenn Hersteller von modernen Medizinprodukten (wie intelligenten Insulinpumpen oder Patientenmonitoren) schnell patchen wollen, bremst sie oft die europäische Medizinprodukteverordnung (MDR). Softwareupdates können hier als "wesentliche Änderung" eingestuft werden – etwa wenn sich Algorithmen ändern. Ein schnelles Sicherheitsupdate kann also ungewollt die CE-Kennzeichnung gefährden und eine langwierige Neuzertifizierung erzwingen, weshalb Hersteller und Betreiber in einem fatalen Spannungsfeld zwischen IT-Schutz und regulatorischer Hürde stecken.

Herausforderungen für Kliniken und Arztpraxen Unsere medizinischen Einrichtungen treffen in dieser Lage auf den perfekten Sturm. Sie kämpfen mit historisch gewachsenen IT-Systemen und einem akuten Fachkräftemangel in der IT-Sicherheit, während die Anzahl an vernetzten Medizingeräten bis 2026 weltweit auf über 25 Milliarden explodiert. Gleichzeitig zieht die neue EU-Richtlinie NIS-2 die Daumenschrauben an: Cyberhygiene wird zur Pflicht, und bei Versäumnissen drohen Millionenstrafen sowie die persönliche Haftung der Geschäftsleitung.

Wie wir unsere Patienten künftig schützen können Wir müssen Cybersicherheit völlig neu denken, um zu verhindern, dass KI-Modelle Schwachstellen ausnutzen und Patienten ungewollt Schaden zufügen. Die Lösungsansätze liegen auf dem Tisch:

Mikrosegmentierung (Zero Trust): Wenn ein Ultraschallgerät oder MRT nicht gepatcht werden kann, muss es auf Netzwerkebene isoliert werden. Eine strikte Trennung von Büro-IT und Medizintechnik verhindert, dass sich ein Angreifer nach einem ersten Einbruch im gesamten Kliniknetzwerk ausbreiten kann (Reduzierung des "Blast Radius"). Transparenz durch SBOM: Krankenhäuser und Hersteller brauchen eine detaillierte Software-Stückliste (Software Bill of Materials) für jedes Gerät. Nur so lässt sich bei einer neu entdeckten Lücke in Sekundenbruchteilen prüfen, welche Medizinprodukte im Haus betroffen sind und sofort vom Netz genommen werden müssen. Modulare Architekturen (Secure by Design): Hersteller müssen ihre Systeme künftig so bauen, dass Sicherheits-Layer strikt von der medizinischen Logik getrennt sind. So können überlebenswichtige Patches eingespielt werden, ohne die medizinische Zulassung zu verlieren.

Fazit: KI-Modelle wie Mythos verändern die Spielregeln der Cybersicherheit für immer. Die asymmetrische Bedrohung – Hacker agieren in Minuten, Regularien und Patch-Prozesse dauern Monate – duldet keinen Aufschub mehr. Doch die Geschäftsführungen der Kliniken können diesen gefährlichen Missstand allein nur bedingt lösen, da sie an starre Vorgaben gebunden sind. Es ist zwingend an der Zeit für ein Umdenken auf politischer Ebene: Die Gesetzgebung und ihre regulatorischen Prozesse müssen künftig exakt so dynamisch und agil werden wie die KI-Modelle, gegen die wir unsere Infrastruktur und Patienten verteidigen müssen!