Vom Design zur Praxis: Sichere Sensoren für das Gesundheitswesen entwickeln

18. Februar 2026·Perspektive·Luís Silva, Software Engineer

Vom Design zur Praxis: Sichere Sensoren für das Gesundheitswesen entwickeln

Beim Aufbau neuer Technologie stösst man irgendwann auf etwas Unvermeidliches: die reale Welt. Um Teams in Pflegeeinrichtungen spürbar und präzise zu entlasten, müssen wir mit unseren Systemen direkt im Alltag der Institutionen präsent sein. Das bedeutet, Sensoren einzusetzen – das „Nervensystem“, das es unserer Plattform ermöglicht, die Aktivität innerhalb eines Standorts zu verstehen und das Personal bei seiner Arbeit zu unterstützen.

Bei Teton besteht unser Produkt aus vielen Schichten, doch alles beginnt mit den Sensoren, die wir in den Zimmern der betreuten Personen installieren. Sie liefern die Daten, auf die übergeordnete Modelle, Arbeitsabläufe und Erkenntnisse angewiesen sind. Die Installation von Hardware in derart persönlichen, sensiblen Umgebungen bringt mehrere Verantwortlichkeiten mit sich. Die Geräte müssen sich nahtlos in die Umgebung einfügen, ohne Aufmerksamkeit zu erregen, aber sie müssen auch absolut sicher sein.

Daraus ergeben sich klare Fragen: Was bedeutet Sicherheit für Hardware, die in diesen Räumen platziert wird? Welche Schutzmassnahmen benötigen diese Geräte? Und wie stellen wir sicher, dass Partner den Daten, die wir erfassen, und den Systemen, die wir betreiben, vertrauen können?

Für uns beginnt dieses Vertrauen an der Basis.

Die Bedrohungsanalyse

Bevor wir darüber sprechen, wie wir unsere Geräte absichern, müssen wir klären, wogegen wir sie absichern. Hier kommt der Gedanke eines Bedrohungsmodells ins Spiel. Ein Bedrohungsmodell ist einfach eine Beschreibung der Risiken, die wir berücksichtigen, und der Annahmen, die wir über die Umgebung treffen, in der unsere Geräte betrieben werden. Es bestimmt, wie wir Hardware, Software und betriebliche Abläufe gestalten.

Sobald man Hardware in einem Zimmer platziert, wird die Diskussion über Sicherheit sehr konkret. Menschen fragen sich naturgemäss, was das Gerät tut. Wie funktioniert es? Kann es mich sehen? Kann es mich hören? Kann es mich verfolgen? Dies sind keine Geräte, die in einem abgeschlossenen Serverschrank verstaut sind. Sie befinden sich im privaten Rückzugsbereich einer Person, manchmal in den schwierigsten Momenten ihres Lebens, und wir tragen die Verantwortung, auf diese Bedenken einzugehen und dafür zu sorgen, dass man sich in der Nähe des Geräts sicher fühlt. Unsere Geräte werden in teilweise überwachten Räumen betrieben, in denen sich Personen, Besucher und Personal täglich um sie herum bewegen. Diese Umgebung prägt, wie wir über Bedrohungen denken und wogegen wir uns schützen müssen.

Wir gehen davon aus, dass jemand kurzen, gelegentlichen Zugriff auf ein Gerät erhalten könnte. Vielleicht ist ein Besucher neugierig, vielleicht interagiert jemand anderes damit. Ein solcher kurzzeitiger Zugriff sollte nicht ausreichen, um ein Gerät zu öffnen, etwas anzuschliessen oder einen Modus auszulösen, der die normalen Schutzmassnahmen umgeht. Gleichzeitig können wir leistungsfähigere Angreifer, also Personen mit Werkzeugen oder Zeit, nicht vollständig ausschliessen, auch wenn dies in der Regel auf einen umfassenderen Einbruch auf Standortebene hindeuten würde. Das bedeutet, dass Vertrauen aus der Systemarchitektur entstehen muss und nicht allein aus dem Grad der Einsehbarkeit des Zimmers.

Die Lieferkette fügt eine weitere Dimension hinzu. Jedes Gerät besteht aus Komponenten, die durch mehrere Hände gehen, und für Teile des Prozesses und der Komponenten verlassen wir uns auf externe Partner. Ein realistisches Bedrohungsmodell muss die Möglichkeit einer Manipulation während dieser Schritte einbeziehen. Wir benötigen vorhersehbare Hardware, vertrauenswürdige Partner und konsistente Fertigungsverfahren.

Da wir eine grosse Flotte von IoT-Geräten betreiben, müssen wir auch Flotteneffekte berücksichtigen. Ein Netzwerk ist nur so stark wie seine schwächsten Glieder. Wir entwerfen unter der Annahme, dass ein einzelnes kompromittiertes Gerät keinen Zugriff auf irgendein anderes Gerät, irgendwelche sensiblen Daten oder irgendeinen Teil des übergeordneten Systems gewähren darf.

Da wir schliesslich im Gesundheitswesen tätig sind, ist der Datenschutz von Anfang an Teil des Bedrohungsmodells. Geräte sollten keine Informationen speichern, die Personen identifizieren oder sensible Details preisgeben könnten. Selbst im schlimmsten Fall eines physischen Zugriffs oder einer vollständigen Kompromittierung sollte ein Angreifer nichts Aussagekräftiges über den Menschen im Raum erfahren können.

Das mag nach viel klingen, doch Sicherheit ernst zu nehmen bedeutet auch, transparent über die Risiken zu sein und klar darzulegen, wie wir ihnen begegnen.

Unsere Sicherheitsprinzipien

Sobald wir die Umgebung, in der unsere Geräte betrieben werden, und die darin enthaltenen potenziellen Bedrohungen verstehen, besteht der nächste Schritt darin, klar zu definieren, wie eine starke, zuverlässige Sicherheit aussehen sollte.

Anstatt Sicherheit als eine Sammlung einzelner Funktionen oder als ein- und ausschaltbare Schutzmassnahmen zu betrachten, gründen wir unsere Arbeit auf eine Reihe von Leitprinzipien. Diese Prinzipien prägen, wie wir alles, was wir in realen Situationen einführen, gestalten und bewerten. Sie halten uns auf das Wesentliche fokussiert und tragen dazu bei, dass unsere Entscheidungen zuverlässig und konsistent bleiben, während sich das Produkt weiterentwickelt.

Minimieren, was das Gerät weiss

Ein Gerät kann nicht preisgeben, was es nicht hat. Unsere Geräte sind so konzipiert, dass sie arbeiten, ohne zu wissen, welche Person sie unterstützen, ohne pflegerische Details und ohne sensible Metadaten. Das Gerät bewusst unwissend zu halten, verringert die Auswirkungen einer möglichen Kompromittierung.

Von der Möglichkeit physischen Zugriffs ausgehen

Selbst in teilweise überwachten Zimmern könnte jemand ein Gerät berühren oder damit interagieren. Wir gehen das Hardware-Design mit der Erwartung an, dass ein kurzer Zugriff vorkommen kann und dass die Sicherheit auch unter diesen Bedingungen gewahrt bleiben muss.

Jedes Gerät als eigene Vertrauensgrenze

Ein einzelnes Gerät sollte niemals zum Einfallstor in den Rest des Systems werden. Wir entwerfen mit Blick auf Eindämmung, sodass ein kompromittiertes Gerät nicht zu einer grösseren, vorhersehbaren Betriebsstörung führt.

Sicher integrieren

Unsere Geräte existieren nicht isoliert. Sie werden in realen Netzwerken betrieben, die von realen Menschen verwaltet werden, und wir müssen sicherstellen, dass wir niemals zu einer Risikoquelle für die Standorte werden, die uns einsetzen. Wir arbeiten eng mit IT-Teams zusammen, um ihre Umgebungen zu verstehen, ihre Anforderungen einzuhalten und Entscheidungen zu treffen, die ihren Sicherheitserwartungen entsprechen. Klare Kommunikation und Zusammenarbeit tragen dazu bei, dass sich unsere Lösung sicher integriert und Partner stets wissen, wie sich das System verhält und was es benötigt.

Transparenz vor Verschleierung

Sicherheit entsteht nicht dadurch, dass man verbirgt, wie die Dinge funktionieren. Wir setzen, wo angebracht, auf offene Standards, dokumentierte Schnittstellen und externe Prüfung. Das hilft uns, Probleme früh zu erkennen und Vertrauen bei unseren Partnern aufzubauen.

Wie prägen diese Prinzipien unser Produkt?

Das erste praktische Ergebnis dieser Prinzipien ist die Art und Weise, wie wir die Beziehung zwischen dem Sensor, der Recheneinheit und dem Standortnetzwerk gestalten.

Unsere zentrale Gerätearchitektur: Sensoren verbinden sich lokal mit einer Recheneinheit; nur die Recheneinheit ist mit dem Standortnetzwerk verbunden

Ein Punkt, der gelegentlich für Verwirrung sorgt, ist die Frage, wie sich die Sensoren tatsächlich mit dem Netzwerk und mit unserem Backend verbinden. Architekturseitig ist nur die Recheneinheit mit dem hausinternen Einrichtungsnetzwerk verbunden. Die Sensoren im Zimmer verbinden sich direkt mit dieser Recheneinheit und mit nichts anderem.

Das bedeutet, dass der Sensorverkehr vollständig innerhalb dieser lokalen Schleife bleibt. Er verlässt das Zimmer nicht, er erscheint nicht im Standortnetzwerk und er wird niemals dem Internet ausgesetzt. Im Ergebnis sind die Sensoren von der Aussenwelt isoliert, was wichtig ist, da Sensoren in der Regel der sensibelste Teil jedes optischen Systems sind. Wir verlassen uns nicht allein auf die Hersteller, mit denen wir zusammenarbeiten. Stattdessen behandeln wir Sensoren als Komponenten, die eingedämmt und kontrolliert werden müssen, und nicht als Geräte, denen man standardmässig vertraut.

Im Rahmen dieses Ansatzes untersuchen wir die von uns eingesetzten Sensoren auch auf Hardware-Ebene. Wir zerlegen Geräte regelmässig, um zu überprüfen, dass sie dem erwarteten Design entsprechen, und um sicherzustellen, dass keine zusätzlichen Komponenten, Funkmodule oder Schnittstellen vorhanden sind, die nicht dort sein sollten. Dabei geht es nicht um Misstrauen gegenüber unseren Lieferanten. Es geht darum, die Hardware, auf die wir angewiesen sind, zu validieren und sicherzustellen, dass sich der sensibelste Teil des Systems genau so verhält, wie wir es annehmen. Eine einfache Zerlegung kann viel offenbaren, und sie hilft uns, das Vertrauen in die Geräte zu wahren, die wir in den Räumlichkeiten einsetzen.

Vergleich der zerlegten Sensoren - Rückseite
Vergleich der zerlegten Sensoren - Vorderseite
⟨⟩
VorderseiteRückseite

Die gesamte Verarbeitung erfolgt lokal auf der Recheneinheit. Der Rohdatenstrom wird vor Ort analysiert, und nur verarbeitete Daten werden an unser Backend gesendet. Zu diesem Zeitpunkt enthalten die Informationen keine persönliche Identität und keine Verknüpfung zur persönlichen Vorgeschichte.

Das Gerät weiss nicht, wen es unterstützt. Es weiss nur, was es im jeweiligen Moment erfasst, sowie das Ergebnis, das die auf der Recheneinheit laufenden Modelle erzeugen.

Wie prägen diese Prinzipien unsere Prozesse?

Diese Prinzipien bestimmen auch, wie wir unsere Geräte bauen, einsetzen und verwalten. Wir montieren unsere Hardware intern aus Komponenten vertrauenswürdiger Lieferanten und führen unsere eigenen technischen Bewertungen durch, bevor etwas in Betrieb genommen wird. Wenn Geräte vor Ort installiert werden, arbeiten wir mit geschulten Installateuren zusammen, die die Umgebungen, die sie betreten, und die von uns erwarteten Standards verstehen.

Jedes Gerät, das wir einsetzen, wird zentral verwaltet. Nichts darf mit unserem Backend kommunizieren, bevor es überprüft und freigegeben wurde. Das trägt dazu bei, dass nur bekannte, verifizierte Hardware Teil der Flotte wird.

Smith UI, unser quelloffenes Werkzeug zur Flottenverwaltung

Smith UI, unser Werkzeug zur Flottenverwaltung, kürzlich quelloffen veröffentlicht.

Sobald Geräte im Einsatz sind, bleiben wir in engem Kontakt mit den IT-Teams der Standorte und überwachen das Verhalten der Geräte als Teil unseres normalen Betriebs. Wenn etwas offline geht oder sich unerwartet verhält, werden Warnmeldungen erzeugt, damit wir die Situation rasch beurteilen können. Das Ziel ist nicht die Überwachung der Standorte selbst, sondern das Wissen darüber, ob unser System so funktioniert, wie es konzipiert wurde.

Wir begrüssen auch Beiträge von aussen.

Wir betreiben ein Bug-Bounty-Kennzeichnungsprogramm und ermutigen Sicherheitsforscher, sich zu melden, wenn sie mögliche Probleme entdecken. Offenheit hilft uns, besser zu werden, und externe Prüfung ist ein wichtiger Bestandteil beim Aufbau widerstandsfähiger Systeme. Um diese Philosophie zu unterstützen, stellen wir unser internes Werkzeug zur Flottenverwaltung, Smith UI, als Open-Source-Software bereit. Dies gibt Partnern und der breiteren Gemeinschaft mehr Einblick darin, wie wir Geräte im grossen Massstab handhaben, und unterstreicht unser Bekenntnis zu Transparenz und Vertrauen.

Abschliessende Gedanken

Geräte in sensiblen Bereichen abzusichern ist nicht einfach, und das sollte es auch nicht sein. In diesen Umgebungen geht es um reale Menschen, reale Verwundbarkeiten und reale Verantwortlichkeiten. Unser Ansatz besteht darin, ehrlich über die Risiken zu sein, die Annahmen, die wir treffen, klar zu benennen und sowohl unsere Hardware als auch unsere Prozesse bewusst zu gestalten. Sicherheit ist keine Checkliste, und sie ist niemals abgeschlossen. Sie ist eine fortlaufende Praxis, die sich weiterentwickelt, während unser Produkt wächst und während wir mehr von Partnern, Forschern und den Standorten lernen, die sich auf uns verlassen. Indem wir unsere Arbeit auf starke Prinzipien gründen, das, was wir bauen, validieren und für Prüfung offen bleiben, möchten wir Systeme schaffen, denen Menschen in den Momenten vertrauen können, in denen Vertrauen am wichtigsten ist.

Erfahren Sie mehr über unseren Sicherheitsansatz

Vereinbaren Sie eine Demo oder besuchen Sie unser Trust Center unter trust.teton.ai für ausführliche Dokumentation.

Book a demo