Für Entwickler und Hersteller vernetzter Medizinprodukte wird die IT-Sicherheit zunehmend zur Herausforderung. Ein umfassendes Risikomanagement hilft, bestehende Vorgaben bestmöglich umzusetzen.
Das Gesundheitswesen steht in der Coronapandemie im Fokus der öffentlichen Wahrnehmung. Dabei ist die Branche doppelt betroffen: Zum einen musste die Intensivpflege zeitweise bis an die Belastungsgrenze gehen und allerorten fordern Politik und Medien medizinische und epidemiologische Expertise. Zum anderen nahmen Cyberangriffe im Gesundheitsweisen massiv zu. Nach Angaben des „2021 Global Threat Intelligence Report“ des Technologiedienstleisters NTT sich die Zahl der Fälle im Gesundheitswesen 2020 im Vergleich zum Vorjahr verdreifacht (vgl. MED engineering Newsletter vom 26.08.2021). Vier von fünf Herstellern von Medizinprodukten waren 2019 schon mindestens einmal Ziel einer Attacke. Die Telemedizin und Remote-Betreuung waren dabei am stärksten betroffen.
Fast jedes vierte medizinische Produkt ist mit dem Internet verbunden oder anderweitig an ein Netzwerk angeschlossen. Waren es bereits 2017 rund 337 Millionen Geräte, wird die Zahl Schätzungen zufolge bis zum Jahr 2030 auf 125 Milliarden ansteigen. Dazu gehören auch digitale Gesundheits-Anwendungen (DiGA), deren Entwicklung durch das deutsche „Digitale-Versorgung-Gesetz“ (DVG) sowie weitere europäische Initiativen unterstützt wird. In der möglichst kontaktlosen Patientenversorgung bekommen sie eine besondere Aufmerksamkeit.
Wenig Erfahrung und gravierende FolgenDie Ziele der Angriffe reichen von Erpressungsversuchen (Ransomware) bis zur Wirtschaftsspionage. So sind neben Pharmaunternehmen und Kliniken auch Forschungseinrichtungen betroffen. Manipulationen in sensiblen medizinischen Bereichen gefährden im schlimmsten Fall die Sicherheit der Patienten und Anwender. Die Hersteller und Einrichtungen haben jedoch auch in weniger gravierenden Fällen mit erheblichen und nachhaltigen wirtschaftlichen Folgen zu rechnen – zum Beispiel durch den Imageverlust, wenn kritische Sicherheitslücken bekannt werden.
Ein sicheres Produkt erfordert wirksame Sicherheitsmaßnahmen und einen eindeutigen Anforderungskatalog. Viele Hersteller haben jedoch einerseits wenig Erfahrung mit Cybersicherheit und andererseits fehlen klare Leitfäden, zum Beispiel wie „Security by Design“ bei Medizinprodukten umzusetzen ist. Zudem gibt es nur wenige industriespezifische Standards wie beispielsweise den Technischen Report IEC TR 60601-4-5 („Medical electrical equipment – Part 4-5: Guidance and interpretation – Safety-related technical security specifications“).
Risikomanagement vom Entwurf bis zur
AußerbetriebnahmeUm sämtliche Risiken und Gefahren zu identifizieren, sollte die Cybersicherheit ein zentraler Aspekt jeder Entwicklungsstufe sein. Weil viele Sicherheitslücken erst dann sichtbar werden, nachdem ein Produkt auf dem Markt ist, muss das Risikomanagement den gesamten Lebenszyklus bis hin zur Außerbetriebnahme umfassen. Das heißt, auch wenn das Produkt bereits vertrieben wird, muss es fortlaufend überwacht werden. Dazu gehören ein Meldesystem, ein Problemlösungsprozess und regelmäßige Updates. Dabei ist zu bedenken, dass medizinische Geräte für eine deutlich längere Betriebslebensdauer ausgelegt werden als beispielsweise Haushaltselektronik oder Software im privaten Anwendungsbereich.
Die europäische Datenschutzgrundverordnung (DSGVO) definiert bereits hohe Anforderungen an die Datensicherheit. Die Verordnungen EU 2017/46 (In-vitro-Diagnostic Device Regulation, IVDR) und EU 2017/745 (Medical Device Regulation, MDR) stellen Anforderungen an die Cybersicherheit und fordern u. a. Maßnahmen zur IT-Sicherheit nach dem „allgemein anerkannten Stand der Technik“. Je nach Produktklasse eines Medizinprodukts, ausgehend von der Einteilung durch die MDR, ergeben sich für den europäischen Marktzugang umfangreiche Sicherheits- und Leistungsanforderungen.
Für einige Teilbereiche existieren sinnvolle Hilfestellungen. Der Leitfaden MDCG 2019-16 konkretisiert beispielsweise die Anforderungen an ein Sicherheitsrisikomanagement über den gesamten Produktlebenszyklus. Die US-amerikanische Überwachungsbehörde für Lebens- und Arzneimittel FDA beleuchtet mit dem Leitfaden „Postmarket Management of Cybersecurity in Medical Devices“ die Cybersicherheitsaspekte bereits im Umlauf befindlicher Produkte. Das ist auch für Hersteller außerhalb des amerikanischen Markts hilfreich.
Fortlaufend kontrollieren und testenEin umfassendes Risikomanagement bildet die Grundlage für ein sicheres Medizinprodukt. Zusätzlich sind fortlaufende Kontrollen wie Schwachstellen-Scans, Penetrationstests und Fuzzing notwendig, um die sichere Funktion zu gewährleisten – auch in der Betriebsphase.
Indem Hersteller und Entwickler die vorhandenen Normen und Spezifikationen umsetzen, stellen sie sicher, dass ihr medizinisches Produkt dem Stand der Technik entspricht. Den Aufsichtsbehörden bzw. Benannten Stellen muss als Teil des Zertifizierungsprozesses ein Nachweis über die Cybersicherheit des Medizinprodukts erbracht werden.
Dieser Beitrag erschien in der Ausgabe 1/21 der MED engineering.
Autor: Dr. Abtin Rad, TÜV SÜD Product Service GmbH
