qtec Blogbeitrag Cybersicherheit bei Medizinprodukten

Cybersecurity bei Medizinprodukten

Stellen sie sich vor, es soll ein MRT bei einem Patienten durchführt werden. Die Untersuchung kann allerdings nicht gemacht werden, da der Kontrastmittelinjektor von einem Virus befallen ist, welcher das System verschlüsselt, wenn kein „Lösegeld“ gezahlt wird.

Klingt nach Science-Fiction aus Hollywood? Lassen sie sich versichern, es ist wirklich so passiert. In einem Krankenhaus in Nordamerika im Jahr 2017. Aufgrund einer Sicherheitslücke konnte sich der Computervirus „WannaCry“ auf mehr als 200.000 Computern weltweit ausbreiten und hat somit erheblichen Schaden angerichtet. Gerade im Gesundheitssektor eine kritische Situation.

Entwicklungsfehler können nicht mit Software gesichert werden

Der digitale Fortschritt macht auch bei Medizinprodukten nicht halt. Denn er bietet – neben denkbaren Gefahren – sehr viele Möglichkeiten, mehr Funktionalität für Patienten und mehr Gebrauchskomfort für die Anwender zu erreichen. Aber sowohl Leistung als auch Gebrauchstauglichkeit müssen abgesichert werden, damit dadurch keine Gefährdungssituation entstehen kann, die zu einem Schaden führen könnte. Da sowohl die MDR als auch die IVDR nicht im Detail auf das Thema Cybersecurity bei Medizinprodukten eingehen, wurde im Dezember 2019 ein sehr umfassendes Guidance Dokument der MDCG herausgegeben. (MDCG 2019-16)

Was bedeutet das für die Hersteller von Medizinprodukten?

Das oben genannte Beispiel ist eines, bei dem es konkret um die Leistungsfähigkeit des Medizinproduktes geht. Doch auch das Thema Datensicherheit darf nicht vernachlässigt werden. Denn nicht nur der Schaden am Produkt oder am Patienten ist ein Schaden, sondern auch, wenn sensible Daten – wie Patientenakten oder Analysedaten – „erbeutet“ werden.

Somit ist die Aufgabe klar: Ein Medizinprodukt muss gegen äußere Eingriffe geschützt werden, die dazu führen, dass das Produkt nicht mehr oder nur eingeschränkt funktionstüchtig ist. Außerdem müssen die übermittelten Daten in jedem Status integer und gesichert sein.

Dafür bedarf es im Grunde genommen, dass das Risikomanagement in noch engerer Abstimmung mit IT-Sicherheitsexperten erfolgen und bereits bei der Entwicklungsplanung anfangen muss. Denn: Man kann Entwicklungsfehler nicht mit Software fixen!

Ebenso müssen die Marktbeobachtungsaktivitäten auf alle möglichen Sicherheitslücken, die das eigene Produkt betreffen könnten, ausgeweitet werden.

  • Welchen Einfluss haben Sicherheitsupdates vom Betriebssystemhersteller auf das Produkt und die Sicherheitsfunktionen?
  • Was ist, wenn das Betriebssystem nicht mehr unterstützt und mit Sicherheitsupdates versorgt wird?
  • Inwieweit muss das System gegen vorsätzliche Veränderungen durch den Benutzer abgesichert werden?

Am Ende kann man an alles gedacht haben, aber wenn die Gesundheitseinrichtung Sicherheitslücken hat, wie soll man sich dagegen schützen? Das ist im Rahmen des Risikomanagements die Aufgabe des Hersteller: Alle denkbaren Sicherheitsrisiken ermitteln, bewerten, wenn möglich beseitigen und verbleibende Restrisiken kommunizieren.

qtec Blogbeitrag Cybersicherheit bei Medizinprodukten Grafik

Wie bei allen Medizinprodukten hört die Arbeit nach der Entwicklung und dem Inverkehrbringen nicht auf. Gerade bei Produkten, die Software enthalten, ist es umso wichtiger, dass ein guter Wartungszyklus implementiert wird, um neu entdeckte Sicherheitslücken zeitnah adressieren zu können. Realisiert werden kann dies nur über ein tief reichendes Sicherheitssystem, welches den Lebenszyklus eines solchen Produktes unterstützt. Die abgebildete Grafik aus dem Guidance Dokument (Life Cycle stages, MDCG 2019-16 Guidance on Cybersecurity for medical devices, Seite 14) veranschaulicht, welche Phasen zum Lebenszyklus gehören. Aufhören kann man erst, wenn das in Verkehr gebrachte Produkt außer Betrieb genommen wurde bzw. der definierte Lebenszyklus beendet ist.

“Secure by Design“

Um ein tiefgreifendes Sicherheitssystem zu erreichen, gibt es insgesamt acht Aspekte / notwendige Maßnahmen, die während des gesamten Lebenszyklus eines Produktes zu beachten sind.

  1. Sicherheitsmanagement:
    Sicherstellen, dass alle notwendigen sicherheitsrelevanten Aktivitäten über den gesamten Lebenszyklus ordentlich geplant, dokumentiert und ausgeführt werden.
  2. Spezifikation von Sicherheitsanforderungen:
    Identifizierung aller Sicherheitsanforderungen, die notwendig sind, um Geheimhaltung, Integrität und Verfügbarkeit von Daten, Funktion und Service sicherzustellen.
  3. Sicherheit durch Design:
    Verhindern von Sicherheitsrisiken bereits in der Entwicklung von Produkten. Sicherheit, auch Cybersicherheit, muss damit ausdrücklich in den Entwicklungsablauf eingebunden werden.
  4. Sichere Implementierung:
    Es müssen geeignete Prozesse definiert werden, wodurch Produktverbesserungen auf sichere Weise implementiert werden können.
  5. Sicherheitsverifizierung und -validierung:
    Dokumentation aller durchgeführten sicherheitsrelevanten Tests, um sicher zu stellen, dass alle Sicherheitsanforderungen erfüllt sind und die Sicherheit des Produkts, wenn es gemäß Zweckbestimmung genutzt wird, intakt ist.
  6. Handhabung von sicherheitsrelevanten Problemen / Fehlermanagement:
    Es muss sichergestellt sein, dass Prozesse definiert sind, die den Umgang mit sicherheitsrelevanten Problemen adressieren.
  7. Sicherheitsupdates:
    Prozesse die sicherstellen, dass Sicherheitsupdates und Sicherheitspatches in Bezug auf das Produkt getestet wurden, das Problem adressieren und anschließend dem Anwender zeitnah zur Verfügung gestellt werden.
  8. Sicherheitsrichtlinien:
    Richtlinien und Anwenderdokumentationen, die darauf ausgerichtet sind, dem Benutzer Anleitungen zur Integration, Konfiguration und Aufrechterhaltung der Sicherheitsstandards zur Verfügung zu stellen.

Nur ein Zusammenspiel aller Aspekte mit dem Ziel, ein umfangreiches Sicherheitssystem der Produktsicherheit zu etablieren, kann auch sicherstellen, dass das Produkt vor äußeren Eingriffen geschützt wird.

Über den Tellerrand hinausschauen

Wenn man als Hersteller dem Wettbewerber ebenbürtig sein will oder sogar überlegen, gilt es, sich der Herausforderung zu stellen. Sie sind bereit dazu, aber es klingt nach einer überwältigenden Aufgabe und Begriffe wie IDS, IPS, Logs und Sandbox sind eher Neuland? Wir helfen Ihnen gerne, die Anforderungen zu sortieren und Ihr Produkt – und damit auch Ihr Unternehmen – gegenüber ungewollten Eingriffen zu schützen. Schenken Sie uns Ihr Vertrauen und wir werden Ihr Partner.

Daniel Porath
Daniel Porath
Ihr Experte zum Thema!