Die B. Braun-Gruppe ist ein Hersteller von Medizintechnologie- und Pharmaprodukten sowie Anbieter medizinischer Dienstleistungen. Mehr als 65.000 Mitarbeiter sind weltweit für den Konzern tätig. Das Portfolio von B. Braun umfasst über 5.000 Produkte für die Gesundheitsversorgung. In Zusammenarbeit mit dem Digital-Trust-Lösungsanbieter DigiCert hat B. Braun zur Absicherung der digitalen Kommunikationsprozesse bei der Nutzung von Gesundheitsdaten ein eigenes Trust-Center aufgebaut, das alle aktuellen Produkte harmonisiert. DigiCert schützt digitale Interaktionen und verschafft Organisationen zentrale Visibilität und Kontrolle über vertrauliche Kommunikationsprozesse in öffentlichen und privaten Anwendungsbereichen. Mit den Projektverantwortlichen hat »manage it« direkt über Ziele und Herausforderungen gesprochen.
Mike Nelson, Sie sind Vice President of Digital Trust bei DigiCert und Spezialist für IoT-Cybersicherheit. Bitte stellen Sie DigiCert unseren deutschen Lesern kurz vor. Was ist Ihr Angebot? Was sind Ihre Pläne?
Mike Nelson: DigiCerts Unternehmensmission ist digitales Vertrauen für den Aufbau einer vernetzten, digitalen Welt. Unser gesamtes, tägliches Leben ist inzwischen miteinander verbunden — von vernetzten Geräten über E-Mails bis hin zur Online-Präsenz. DigiCerts Unternehmensziel ist deshalb der Schutz digitaler Interaktionen von Unternehmen und Anwendern. Und IoT ist ein großer Bestandteil davon. Es handelt sich um das am schnellste wachsende Connectivity-Segment, das Millionen, sogar Milliarden von Geräten betrifft. Unsere Digital-Trust-Lösungen sorgen für vertrauliche Kommunikationsprozesse.
Lassen Sie mich dies aus eigener Erfahrung veranschaulichen. Ich bin Typ-1-Diabetiker. Ich nutze zwei medizinische Geräte, die für meine tägliche Behandlung miteinander verbunden sind. Es ist für meine Gesundheit elementar, dass diese Geräte vertrauenswürdig und sicher miteinander kommunizieren. Außerdem muss sichergestellt sein, dass ich als Patient vor Cyberbedrohungen geschützt bin. Bei DigiCert sichern wir täglich über 28 Milliarden Transaktionen. Im IoT-Bereich haben wir bereits mehr als drei Milliarden Geräte sicher miteinander vernetzt. Unsere Erfahrung in diesem Marktsegment ist also sehr groß. Wir sind ein weltweit führendes Unternehmen mit globaler Präsenz.
Laut der aktuellen PwC-Cybersecurity-Studie »Digital Trust Insights 2023« erwartet jedes vierte deutsche Unternehmen einen signifikanten Anstieg der Attacken auf Infrastrukturen im Zusammenhang mit Industrial Internet of Things (IIoT). Was sollte der erste Schritt sein, um solche Bedrohungen zu mindern?
Mike Nelson: In erster Linie müssen sich Unternehmen der Risiken bewusst sein. Das Verständnis der IT-Risiken beim Einsatz vernetzter Geräte ist eine wesentliche Voraussetzung für die Entwicklung von medizinischen und anderen Arten von IoT-Geräten. Oft können Hacker unentdeckte Sicherheitslücken ausnutzen, indem sie die Geräte auf eine Weise verwenden, die nicht bedacht wurde. Unternehmen müssen solche Risiken berücksichtigen und das Know-how zur Entwicklung von Lösungen aufbauen, die entsprechende Risiken mindern.
Im nächsten Schritt werden die passenden Lösungen zur Risikominimierung und Erhöhung der Sicherheit eingesetzt. Stellen Sie sicher, dass die Daten vertraulich behandelt werden, indem Sie alle Verbindungen ordnungsgemäß authentifizieren und integrieren. Es ist klar, dass Ärzte im Gesundheitswesen ihre Patienten nicht fachgerecht behandeln können, wenn die von verschiedenen Geräten eingespielten Daten nicht stimmen. Das Vertrauen in die erfassten Daten dieser Geräte ist absolut entscheidend.
Die jüngste DigiCert-Studie »State of Digital Trust 2022« hat die Bedeutung von Sicherheit in Bezug auf Marke, Kundenbindung, Umsatz und Marge untersucht. Wie schneidet der deutschsprachige Raum unter Berücksichtigung der Unterschiede in den einzelnen Weltregionen ab?
Mike Nelson: Die DACH-Region ist aus meiner Sicht immer ein Innovator. Es gibt viele gute Technologieanbieter mit entsprechend hoher Innovationskraft, aus der eine Vorreiterposition resultiert. Die DACH-Region insgesamt profitiert von dieser herausragenden Arbeit. Ich denke, dass es in der Realität aber auf den Willen der einzelnen Organisation ankommt, das Richtige auch tatsächlich umzusetzen. Und auch wenn die DACH-Region meiner Beobachtung nach führend ist, bedeutet das nicht, dass alle Organisationen auf dem gleichen Niveau stehen. Leider gibt es mitunter Unternehmen, in denen das Thema IT-Sicherheit nicht die oberste Priorität auf der Führungsebene einnimmt. In der offiziellen Kommunikation ist Security ein wichtiges Thema, aber nicht immer folgen solchen Worten auch die notwendigen Taten.
Bei der B. Braun-Gruppe ist das ganz anders. Die Verantwortlichen haben außergewöhnlich gute Arbeit geleistet, um die Anforderungen und Risiken für das Unternehmen zu ermitteln und dann das Richtige zu tun. Auf Basis dieser Vorarbeit und einer breiten Unterstützung auf der Führungsebene lassen sich die richtigen Maßnahmen durchführen. Die digitale Transformation bei B. Braun erfolgt deshalb auf sichere Weise.
Wenn Sie auf die nächsten fünf Jahre blicken — welche Trends zeichnen sich im Sicherheitsumfeld ab?
Mike Nelson: Künstliche Intelligenz ist jetzt schon Realität. Datenangriffe durch Cyberkriminelle bedrohen unser Vertrauen in digitale Vorgänge. Datenschutz wird also an Bedeutung gewinnen, um sicherstellen zu können, dass die verwendeten Informationen auch vertrauenswürdig und ordnungsgemäß in digitale Prozesse integriert sind.
Ein zweiter Trend ist Quanten-Computing. Aufgrund technischer Innovationen werden wir das in den nächsten drei bis fünf Jahren ganz real erfahren. Unternehmen müssen in der Lage sein, die dafür erforderliche Agilität zu erreichen. Als Anbieter für Public-Key-Infrastrukturzertifikate beschäftigt sich DigiCert sehr stark mit diesem Thema. Unsere Arbeitsgruppen erarbeiten Empfehlungen für Quantum Cybersecurity.
Ein weiterer Großtrend ist die notwendige Interoperabilität zwischen Geräten. Über den neuen Verbindungsstandard »Matter« können Smart-Home-Geräte sicher zusammenarbeiten. Über Alexa oder einem anderen virtuellen Assistenten können Sie also zuhause unterschiedliche Geräte ansteuern, die mit dem Matter-Standard kompatibel sind. Auch im Gesundheitswesen würde eine entsprechende Standardisierung eine bessere Benutzererfahrung ermöglichen. Es gibt Tausende von verschiedenen Geräten in Krankenhäusern, die Daten erfassen und einheitlich kontrolliert werden müssen. Im Gesundheitssektor erwarte ich daher einen großen Bedarf an mehr und sicherer Interoperabilität zwischen diesen Geräten.
Die B. Braun-Gruppe ist eines der weltweit führenden Unternehmen der Medizintechnologie. Mit Blick auf Ihr Digital-Trust-Projekt: Was haben Sie erreicht und verbessert?
Jörn Lubadel, globaler Leiter für klinische IT und Cybersicherheit bei der B. Braun SE: Unsere Kunden wollen ganzheitliche Lösungen. Sie wollen zum Beispiel nicht nur eine Infusionspumpe kaufen, sondern fordern eine Komplettlösung ein, die von der Verschreibung eines Medikaments über dessen Anwendung bis hin zur Dokumentation und ordnungsgemäßen Abrechnung mit dem Versicherungsträger reicht. Das ist ein umfassender Gesamtprozess, der durch Standardisierung, Interoperabilität und Konnektivität für digitales Vertrauen sorgt.
Wie viele andere Medizintechnologieunternehmen auch bedient B. Braun seit Jahren die Anforderungen des Marktes. Wir beobachten genau, in welche Richtung es geht – und das als Familienunternehmen seit 1839. Unsere modernen Infusionspumpen sind wie Mikrocomputer. Sie können sich also vorstellen, dass wir höchste Sicherheit benötigen, wenn so ein Gerät mit elektronischen Gesundheitsakten oder anderen Online-Diensten gekoppelt ist. Unsere Digital-Trust-Strategie ist ganz auf die Erreichung strenger Standards beim Vertrauensmanagement ausgerichtet.
Es ist alles andere als einfach, zwei Plattformen sicher zusammenzubringen — IoT und Produktion bereiten auch in großen Unternehmen häufig Kopfzerbrechen.
Jörn Lubadel: Bei der digitalen Transformation, über die wir sprechen, handelt es sich nicht nur um eine technologische Veränderung. Wenn Sie mit unseren Entwicklern sprechen, lernen Sie schnell, dass sie nicht nur an der Entwicklung von Medizinprodukten arbeiten, sondern auch auf der Kundenseite für das notwenige Sicherheitsbewusstsein sorgen. Gerade hier in Deutschland hört man häufig, dass man der Cloud nicht trauen könne. Man müsse alles lokal vorhalten. Hier gibt es eine Menge Arbeit, um das IT-Sicherheitsverständnis zu verbessern.
Hinzu kommt, dass es in Europa technische Konflikte gibt, die durch unterschiedliche Gesetze verursacht werden. Krankenhäuser sollen Regelungen befolgen, die für den täglichen Einsatz von Medizinprodukten im Krankenhausbetrieb nicht vereinbar sind. Der Komplexitätsgrad ist also immens, und Tools zur Standardisierung von sicherer Kommunikation und Datenverarbeitung, wie eine PKI zum Beispiel, leisten hier einen sehr hilfreichen und notwendigen Beitrag. Ohne Standardisierung werden wir die gewünschten Ziele aus meiner Sicht nicht erreichen. Sonst werden die Kosten dramatisch steigen, was sich wiederum auf unsere Gesellschaft auswirkt, weil die Gesundheitskosten steigen werden.
Wie sieht es mit Angriffen von innen aus? Wie können Organisationen ihre IT-Business-Prozesse und Geschäftsanforderungen auf sichere Weise integrieren?
Jörn Lubadel: Das fängt mit einem geschulten Sicherheitsbewusstsein an. Wir müssen das Verständnis und die Schulung der Mitarbeiter und des medizinischen Personals verbessern. Im täglichen Betrieb kann man in den Krankenhäusern mitunter leicht an Sicherheitsinformationen gelangen. Die Ausbildung ist deshalb in allen Gesundheitseinrichtungen ein Schlüsselthema. Das ist ein kontinuierlicher Prozess, kein einmaliger Vorgang.
Die Implementierung der richtigen IT-Werkzeuge gehört natürlich auch zum Gesamtbild. Denken Sie an E-Mail-Betrug. Es gibt Tools, die Anwendern gefährliche E-Mails aus nicht vertrauenswürdigen Quellen gar nicht erst zustellen. Bei medizinischen Geräten sollte im Grunde das gleiche passieren. Wenn Sie verschiedene Systeme über ein standardisiertes Authentifizierungsverfahren vernetzen, kann sich niemand mit dem falschen System verbinden. Wenn sich die Geräte nicht gegenseitig vertrauen und authentifizieren, passiert nichts.
Was bedeutet das für die Zukunft im Medizinsektor?
Jörn Lubadel: Zukünftig wird das Gesundheitswesen digital sein. Die Gesundheitsfürsorge findet dort statt, wo der Patient ist. Darüber müssen wir sprechen, denn gerade in der Corona-Pandemie haben viele Abläufe und Therapien zuhause stattgefunden. Nehmen wir das Beispiel Heimdialyse. Viele Patienten fühlen sich besser, wenn die Behandlungen zu Hause durchgeführt werden können, anstatt in ein Dialysezentrum fahren zu müssen. Aber wie werden die Daten abgerufen, wo werden sie gespeichert? Wie steht es um die Datenqualität? Wie werden die Daten ausgewertet? Die Frage ist nun einmal, ob potenzielle Risikowerte der Patienten für bestimmte Erkrankungen rechtzeitig erkannt werden können, oder ob die übertragenen Daten überhaupt
von einer vertrauenswürdigen Quelle stammen. Deshalb ist es extrem wichtig, dass wir nicht nur über entsprechende Technologien, sondern auch über höchste Sicherheitsvorkehrungen verfügen.
Schauen wir uns die Praxis an: Insgesamt haben wir bei B. Braun mehr als 5.000 Produkte, aber bleiben wir beim Beispiel der Infusionspumpen, von denen über zwei Millionen Geräte auf dem Markt sind. Entscheidend ist aber nicht die Zahl der Geräte, sondern die über 100 Länder, in denen sie eingesetzt werden. Bei über 100 Ländern sprechen wir von teilweise über 100 unterschiedlichen Vorschriftspaketen, unterschiedlichen Menschen, unterschiedlichen Kulturen, unterschiedlichen Technologien …
Nehmen wir das Beispiel Indonesien, das ich gerade geschäftlich besucht habe. Die indonesische Regierung will bis Ende 2023 ein landesweites elektronisches Patientenaktensystem einführen. Indonesien ist ein Land mit 270 Millionen Einwohnern und mehr als 17.000 Inseln. Alle Einwohner sollen ortsunabhängigen Zugang haben. Und Covid hat exemplarisch veranschaulicht, wie schwierig es ist, Patienten zu behandeln, die irgendwo in einem Dorf leben, wo nicht einmal ein Arzt ansässig ist. Das sind riesige Herausforderungen für die Zukunft im Medizinsektor.
Vielen Dank für das Gespräch.