Absicherung von Medizingeräten

IT-Security-Vorgaben und -Hilfsmittel zur Absicherung der funktionalen Sicherheit von Medizingeräten

Die funktionale Sicherheit (functional safety) ist ein maßgeblicher Aspekt zur Freigabe von Medizingeräten. Funktionale Sicherheit hat zum Ziel, medizinische Geräte so auszulegen, dass jede anzunehmende technische Fehlfunktion im Vorfeld erkannt wird und keine Gefährdung für den Menschen darstellt. Die funktionale Sicherheit der Geräte muss von den Geräteherstellern zugesichert werden. Bei der Einschätzung dieser Gefahren setzen die Hersteller u.a. spezifische Risikomanagement-Methoden ein, die z.B. nach der europäischen Medizinprodukteverordnung (MDR) oder nach der amerikanischen Food and Drug Administration (FDA) vorgegeben werden.

Bei der Bewertung von Safety-Risiken sind auch IT-Security-Aspekte zu berücksichtigen. Hier stellt sich für den Hersteller die Frage, wie er seine Medizingeräte Soft- und Hardwaretechnisch durch IT-Security-Maßnahmen so absichert, dass er z.B. die funktionale Sicherheit in den unterschiedlichsten Einsatzszenarien beim Kunden fortwährend zusichern kann.

Insbesondere in der Anbindung ans Internet sehen die Hersteller große Chancen aber auch große Risiken. Zwar werden neue Funktionen und Dienstleistungen erst durch die die Anbindung ans Internet möglich, jedoch wird durch die Anbindung der Medizingeräte an das Internet auch das potentielle Risiko von Cyberangriffen erheblich gesteigert. Für Hacker sind physikalische Systeme und Infrastrukturen äußerst interessant um „ferngesteuert“ Einfluss auf sensible oder kritische Infrastrukturen zu bekommen. Bei medizinischen Geräten wäre es fatal, wenn ein Hacker z.B. Beatmungsfunktionen bei Notfallpatienten im Krankenhaus, bequem von zu Hause aus manipulieren könnte.

Wie hoch die Wahrscheinlichkeit eines Cyberangriffs ist, ist schwer zu sagen. Zwar ist laut FDA bis jetzt kein Cybersecurity-Vorfall bekannt, bei dem ein Medizingerät, das von einem Patienten in Nutzung war, erfolgreich angegriffen worden, jedoch wird es sicherlich dazu kommen und wäre für den Medizingeräteanbieter ein Worstcase-Szenario extremer Tragweite.

Doch wie sichern Medizingerätehersteller ihre Produkte ab? Welche IT-Security-Vorgaben z.B. zur Minderung der Safety-Risiken gibt es?

Leider gibt es hier nicht die eine Antwort, sondern die Antworten sind vielfältig und teilweise auch ungenau. Die Medizinprodukteverordnung (MDR) spricht z.B. von „State-of-the-art IT-Sicherheit“ die ein Medizingerät einzuhalten hat. Doch was heißt hier Stand der Technik?

Wie sichere ich meine Gerätesoftware ab? Wie sichere ich Mess- und Patientendaten? Wie muss das Gerät auf z.B. Denial of Sevice-Angriffe reagieren? Werden bei Cyberangriffen grundlegende Safety-Funktionen noch gewährleistet? Wie sichere ich die Übertragung von Daten in die Cloud ab? Sind die Daten zu verschlüsseln oder reicht die Kommunikationsverschlüsselung? Wie sichere ich Schnittstellen wie WLAN oder Bluetooth ab? Beispiele von Fragen, die der Medizingerätehersteller sich stellen und durch IT-Security-Lösungen nach „Stand der Technik“ beantworten bzw. entwickeln muss.

Verschiedene IT-Security-Normungen und -Richtlinien für Medizinprodukte- und Industrie-Komponentenhersteller helfen bei der Beantwortung z.B. der o.g. Fragen. Relevante Normungen, Richtlinien und Empfehlungen wären z.B. folgende:

Titel / Thema Normen, Richtlinien, Empfehlungen
Softwareentwicklung IEC 62304: Harmonisierte Norm für den Software-Lebenszyklus-Prozess von Medizingeräte-Software
IT-Security-Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) BSI-Dokument für Medizinproduktehersteller: „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“  
TR-02102: Technische Richtlinie des BSI zu Kryptographische Verfahren mit Empfehlungen zu Schlüssellängen
FDA-Cybersecurity-Guidance-Dokumente FDA Guidance Dokumente „Cybersecurity in Medical Devices“, „Postmarket Management of Cybersecurity in Medical Device“ und „Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software“
Leitfaden zur IT Security von Medizinprodukten Vom Johner Institut und weiteren Stellen (u.a. TÜV SÜD, TÜV Nord) entwickelter IT-Security-Leitfaden für Medizinproduktehersteller
Normenreihe IEC 62443 Ganzheitlicher Ansatz für Industrial Security im Produktions- und Automatisierungsbereich. Für Medizingerätehersteller wären die Normteile IEC 62443-4-1 und IEC 62443-4-2 mit Fokus auf die Produktionsprozess- und Komponentensicherheit interessant
Information Security Management System (ISMS) Der Medizingerätehersteller sollte sich nicht nur auf die eigentliche Gerätesicherheit fokussieren, sondern im eigenen Hause übergeordnete Regeln und Verfahren definieren, um die Informationssicherheit sicherzustellen. Die ISO 27001 gibt Vorgaben und Hilfsmittel an die Hand um ein ISMS aufzubauen. Die IEC 62443 definiert im Normteil 2-1 ein Security Management System, das an die ISO 27001 angelehnt ist.
Europäische Datenschutz-Grundverordnung (DSGVO) Eigentlich selbstverständlich, aber auch eine besondere Herausforderung für die Medizinproduktehersteller, ist die Berücksichtigung der europäischen DSGVO für die Verarbeitung von Personen- und Gesundheitsdaten.

Wie der Medizingerätehersteller z.B. die o.g. Normen, Richtlinien und Empfehlungen für seine Produktentwicklung berücksichtigt, ist mit einem Satz nicht erklärt. In den kommenden Blogs werden wir auf spezielle Ansätze zur Berücksichtigung der IT-Security-Vorgaben eingehen.

Blog post by Volker Brunsiek.

To find more press releases related with below topics, click on one of the keywords:

Wie können wir Ihnen helfen?

Sprechen Sie mit einem unserer Spezialisten und erfahren Sie, wie Utimaco Sie unterstützen kann.
Sie haben zwei verschiedene Arten von Downloads ausgewählt, so dass Sie verschiedene Formulare absenden müssen, die Sie über die beiden Tabs auswählen können.

Ihre Download-Sammlung:

    Direkt nach dem Absenden des Formulars erhalten Sie die Links zu den von Ihnen ausgewählten Downloads.

    Ihre Download-Sammlung:

      Für diese Art von Dokumenten muss Ihre E-Mail Adresse verifiziert werden. Sie erhalten die Links für die von Ihnen ausgewählten Downloads per E-Mail, nachdem Sie das unten stehende Formular abgeschickt haben.

      Downloads von Utimaco

      Besuchen Sie unseren Download-Bereich und wählen Sie aus: Broschüren, Datenblätter, White-Papers und vieles mehr. 

      Fast alle können Sie direkt ansehen und speichern (indem Sie auf den Download-Button klicken).

      Für einige Dokumente muss zunächst Ihre E-Mail-Adresse verifiziert werden. Der Button enthält dann ein E-Mail-Symbol.

      Download via e-mail

       

      Der Klick auf einen solchen Button öffnet ein Online-Formular, das Sie bitte ausfüllen und abschicken. Sie können mehrere Downloads dieser Art sammeln und die Links per E-Mail erhalten, indem Sie nur ein Formular für alle gewählten Downloads ausfüllen. Ihre aktuelle Sammlung ist leer.