academy
qtec Blogbeitrag Cybersicherheit bei Medizinprodukten| qtec-group

Cybersecurity bei Medizinprodukten

7. April 2020

Stellen sie sich vor, es soll ein MRT bei einem Patienten durchführt werden. Die Untersuchung kann allerdings nicht gemacht werden, da der Kontrastmittelinjektor von einem Virus befallen ist, welcher das System verschlüsselt, wenn kein „Lösegeld“ gezahlt wird.

Klingt nach Science-Fiction aus Hollywood? Lassen sie sich versichern, es ist wirklich so passiert. In einem Krankenhaus in Nordamerika im Jahr 2017. Aufgrund einer Sicherheitslücke konnte sich der Computervirus „WannaCry“ auf mehr als 200.000 Computern weltweit ausbreiten und hat somit erheblichen Schaden angerichtet. Gerade im Gesundheitssektor eine kritische Situation.

Entwicklungsfehler können nicht mit Software gesichert werden

Der digitale Fortschritt macht auch bei Medizinprodukten nicht halt. Denn er bietet – neben denkbaren Gefahren – sehr viele Möglichkeiten, mehr Funktionalität für Patienten und mehr Gebrauchskomfort für die Anwender zu erreichen. Aber sowohl Leistung als auch Gebrauchstauglichkeit müssen abgesichert werden, damit dadurch keine Gefährdungssituation entstehen kann, die zu einem Schaden führen könnte. Da sowohl die MDR als auch die IVDR nicht im Detail auf das Thema Cybersecurity bei Medizinprodukten eingehen, wurde im Dezember 2019 ein sehr umfassendes Guidance Dokument der MDCG herausgegeben. (MDCG 2019-16)

Was bedeutet das für die Hersteller von Medizinprodukten?

Das oben genannte Beispiel ist eines, bei dem es konkret um die Leistungsfähigkeit des Medizinproduktes geht. Doch auch das Thema Datensicherheit darf nicht vernachlässigt werden. Denn nicht nur der Schaden am Produkt oder am Patienten ist ein Schaden, sondern auch, wenn sensible Daten – wie Patientenakten oder Analysedaten – „erbeutet“ werden.

Somit ist die Aufgabe klar: Ein Medizinprodukt muss gegen äußere Eingriffe geschützt werden, die dazu führen, dass das Produkt nicht mehr oder nur eingeschränkt funktionstüchtig ist. Außerdem müssen die übermittelten Daten in jedem Status integer und gesichert sein.

Dafür bedarf es im Grunde genommen, dass das Risikomanagement in noch engerer Abstimmung mit IT-Sicherheitsexpert*innen erfolgen und bereits bei der Entwicklungsplanung anfangen muss. Denn: Man kann Entwicklungsfehler nicht mit Software fixen!

Ebenso müssen die Marktbeobachtungsaktivitäten auf alle möglichen Sicherheitslücken, die das eigene Produkt betreffen könnten, ausgeweitet werden.

  • Welchen Einfluss haben Sicherheitsupdates vom Betriebssystemhersteller auf das Produkt und die Sicherheitsfunktionen?
  • Was ist, wenn das Betriebssystem nicht mehr unterstützt und mit Sicherheitsupdates versorgt wird?
  • Inwieweit muss das System gegen vorsätzliche Veränderungen durch den Benutzer abgesichert werden?

Am Ende kann man an alles gedacht haben, aber wenn die Gesundheitseinrichtung Sicherheitslücken hat, wie soll man sich dagegen schützen? Das ist im Rahmen des Risikomanagements die Aufgabe des Hersteller: Alle denkbaren Sicherheitsrisiken ermitteln, bewerten, wenn möglich beseitigen und verbleibende Restrisiken kommunizieren.

qtec Blogbeitrag Cybersicherheit bei Medizinprodukten Grafik| qtec-group

Wie bei allen Medizinprodukten hört die Arbeit nach der Entwicklung und dem Inverkehrbringen nicht auf. Gerade bei Produkten, die Software enthalten, ist es umso wichtiger, dass ein guter Wartungszyklus implementiert wird, um neu entdeckte Sicherheitslücken zeitnah adressieren zu können. Realisiert werden kann dies nur über ein tief reichendes Sicherheitssystem, welches den Lebenszyklus eines solchen Produktes unterstützt. Die abgebildete Grafik aus dem Guidance Dokument (Life Cycle stages, MDCG 2019-16 Guidance on Cybersecurity for medical devices, Seite 14) veranschaulicht, welche Phasen zum Lebenszyklus gehören. Aufhören kann man erst, wenn das in Verkehr gebrachte Produkt außer Betrieb genommen wurde bzw. der definierte Lebenszyklus beendet ist.

“Secure by Design“

Um ein tiefgreifendes Sicherheitssystem zu erreichen, gibt es insgesamt acht Aspekte / notwendige Maßnahmen, die während des gesamten Lebenszyklus eines Produktes zu beachten sind.

  1. Sicherheitsmanagement:
    Sicherstellen, dass alle notwendigen sicherheitsrelevanten Aktivitäten über den gesamten Lebenszyklus ordentlich geplant, dokumentiert und ausgeführt werden.
  2. Spezifikation von Sicherheitsanforderungen:
    Identifizierung aller Sicherheitsanforderungen, die notwendig sind, um Geheimhaltung, Integrität und Verfügbarkeit von Daten, Funktion und Service sicherzustellen.
  3. Sicherheit durch Design:
    Verhindern von Sicherheitsrisiken bereits in der Entwicklung von Produkten. Sicherheit, auch Cybersicherheit, muss damit ausdrücklich in den Entwicklungsablauf eingebunden werden.
  4. Sichere Implementierung:
    Es müssen geeignete Prozesse definiert werden, wodurch Produktverbesserungen auf sichere Weise implementiert werden können.
  5. Sicherheitsverifizierung und -validierung:
    Dokumentation aller durchgeführten sicherheitsrelevanten Tests, um sicher zu stellen, dass alle Sicherheitsanforderungen erfüllt sind und die Sicherheit des Produkts, wenn es gemäß Zweckbestimmung genutzt wird, intakt ist.
  6. Handhabung von sicherheitsrelevanten Problemen / Fehlermanagement:
    Es muss sichergestellt sein, dass Prozesse definiert sind, die den Umgang mit sicherheitsrelevanten Problemen adressieren.
  7. Sicherheitsupdates:
    Prozesse die sicherstellen, dass Sicherheitsupdates und Sicherheitspatches in Bezug auf das Produkt getestet wurden, das Problem adressieren und anschließend dem Anwender zeitnah zur Verfügung gestellt werden.
  8. Sicherheitsrichtlinien:
    Richtlinien und Anwenderdokumentationen, die darauf ausgerichtet sind, dem Benutzer Anleitungen zur Integration, Konfiguration und Aufrechterhaltung der Sicherheitsstandards zur Verfügung zu stellen.

Nur ein Zusammenspiel aller Aspekte mit dem Ziel, ein umfangreiches Sicherheitssystem der Produktsicherheit zu etablieren, kann auch sicherstellen, dass das Produkt vor äußeren Eingriffen geschützt wird.

Über den Tellerrand hinausschauen

Wenn man als Hersteller dem Wettbewerber ebenbürtig sein will oder sogar überlegen, gilt es, sich der Herausforderung zu stellen. Sie sind bereit dazu, aber es klingt nach einer überwältigenden Aufgabe und Begriffe wie IDS, IPS, Logs und Sandbox sind eher Neuland? Wir helfen Ihnen gerne, die Anforderungen zu sortieren und Ihr Produkt – und damit auch Ihr Unternehmen – gegenüber ungewollten Eingriffen zu schützen. Schenken Sie uns Ihr Vertrauen und wir werden Ihr Partner.

 
| qtec-group

Unser Expertenwissen für Ihren Erfolg

Wir haben fundiertes Fachwissen bei der Zulassung von Medizinprodukten weltweit. Ich beantworte Ihre Fragen rund um die MDR und stelle auf Wunsch ein Projekt-Team für Sie zusammen.

Kontakt +49 451 808 503 60

Fachbeitrag von qtec-group

qtec-group ist Teil unseres vielköpfigen Expert*innen Teams.
Hier finden Sie alle Beiträge:

Alle Beiträge von qtec-group

qtec Newsletter Isometische Figur

Unser Newsletter „qonzentrat“

kompakt, professionell und präzise

Profitieren Sie von unserem Fachwissen.

Jetzt anmelden

Ähnliche Beiträge

qtec group | Clinical Month 2024| qtec-group

qtec group | Clinical Month 2024

4. Dezember 2023

Clinical Month 2024

weiterlesen
20 Jahre Zulassung von Medizintechnik| qtec-group
22. November 2023

20 Jahre Zulassung von Medizintechnik

weiterlesen
| qtec-group
20. Juni 2023

Regulatory Affairs Update 25/23

weiterlesen