Startseite > Medizintechnik > E-Health > Ungebremst durch das Internet der Dinge

IT-Sicherheit in der Medizintechnik

Ungebremst durch das Internet der Dinge

9. März 2018, 11:30 Uhr | Jens Fuderholz

Mehr Digitalisierung bedeutet auch höhere Anforderungen an die Datensicherheit.

MDR, Blockchain, Security by Design – es sind nicht nur diese Schlagwörter, die in der Diskussion um mehr IT-Sicherheit in der Medizintechnik häufig fallen. Wenn Daten vom Rettungswagen bis zur Krankenversicherung geteilt werden, findet sich in der Infrastruktur oft mehr als eine Sicherheitslücke.

Der Blick in die einschlägigen Regelwerke hilft oft wenig: Auch die neue Medizinprodukteverordnung (MDR) formuliert nur generische Vorgaben, nimmt Anwender wie Hersteller in die Pflicht. Konkreter werden die Vorgaben der amerikanischen Food and Drug Administration (FDA) in den FDA Guidance to Cybersecurity. Sie fordern deutlich präziser als die MDR IT-Sicherheit nach dem Stand der Technik ein. Dabei versteht sich die Behörde als Vermittler zwischen Herstellern und Anwendern. Von den Herstellern fordert sie zum Beispiel, bei ihren Sicherheitskonzepten auch die Systemumwelt zu berücksichtigen – wie die Anmelde- und Authentifikationsverfahren, Nutzungshäufigkeiten und die Zahl der berechtigen Personen. Anwender müssen hingegen sicherstellen, dass alle Updates eingespielt werden, Firewalls korrekt konfiguriert sind und Lösungen gegen den Befall durch Schadsoftware geschützt werden. Die FDA fordert auch, dass Anwender einfach Fehler melden können, Bugs und Angriffsversuche sollen über ein einfaches Reporting.

IT-Sicherheit als Produktbestandteil

Hans-Peter Bursig, Geschäftsführer des ZVEI-Fachverbands Elektromedizinische Technik, verweist darauf, dass auch bislang schon ein hoher Sicherheitsstandard galt: »Die IT-Sicherheit hat schon immer zu den Voraussetzungen für die CE-Kennzeichnung von Medizinprodukten gehört«. Verändert habe sich in den vergangenen Monaten die Art der Bedrohung, meint Bursig. »Darauf reagiert die Industrie genau wie die Anwender, indem analysiert wird, welche Vorfälle das sind und indem daraus dann die Konsequenzen gezogen werden.« Das heiße dann beispielsweise auch, dass auch auf Geräteseite intensiver hinschaut wird, welche möglichen Angriffspunkte es gibt und wie diese, so gut es geht, verschlossen werden.

Erst im vergangenen Jahr hat der Verband ein Positionspapier »Medizintechnik braucht Cybersicherheit« vorgelegt, in dem er Cybersicherheit als integralen Produktbestandteil jedes Medizinprodukts fordert und zwar über den gesamten Produktlebenszyklus hinweg. In diesem Positionspapier fordert der Verband auch: »Hersteller sollten Prozesse entwickeln, mit denen sie Hinweise auf Sicherheitslücken oder neue Gefährdungen von Anwendern, Forschern oder anderen Kreisen erhalten und verarbeiten. Ein gemeinsamer Informationspool der Hersteller von
Medizinprodukten kann dazu beitragen, dass entsprechende Hinweise schnell verbreitet werden und alle Betroffenen zügig geeignete Gegenmaßnahmen ergreifen können.« Dazu, so formuliert der ZVEI, sollten »Hersteller von Medizinprodukten [...] den regelmäßigen Austausch mit Anwendern zum Thema Cybersicherheit suchen.« Die Erkenntnisse sollten in die Produktentwicklung und die Produktpflege zurückfließen.

Für Bursig, der sich auch im Expertenbeirat der MT-Connect engagiert, ist klar, dass Sicherheit bei der Entwicklung stets mitgedacht werden muss: »Bereits in der Entwicklungsphase spielt die IT-Sicherheit eine wichtige Rolle«. Schon zu Beginn der Entwicklung sei klar, dass das Gerät in einem Netzwerk arbeiten soll. Damit steht fest, dass es Angriffsstellen von außen gibt, auf die man achten muss. »Das Prinzip von Security by Design bedeutet aber, dass ich nicht nur die Schnittstellen zum Netzwerk absichere, sondern mir auch bei der Software-Architektur des Geräts Gedanken mache, wie der Schaden durch einen Angriff von außen minimiert werden kann.«

Security by Design Geschäftsmodell

Dieser Weg des Security by Design wird wahrscheinlich auch bei den Anwendern auf Wohlwollen stoßen. »Endprodukte-Sicherheit ist im Prinzip ein Geschäftsmodell, das sich vielfach für die Hersteller in unserer Branche auf der Funktionsebene gar nicht rechnet und von uns Kunden eigens bezahlt werden muss«, stellt Dr. Manfred Criegee-Rieck, Abteilungsleiter Informationsverarbeitung am Klinikum Nürnberg fest. Seiner Meinung nach ist Sicherheit eine innewohnende Produkteigenschaft, die Anwender nicht explizit fordern müssten. Nur seien die Hersteller vielfach nicht bereit, IT-Sicherheit als Produkteigenschaft zu liefern, sondern betrachten dies als gesonderte Anforderung die separat bezahlt werden muss oder auf Drittanbieter ausgelagert wird. »Wenn Sie ein Auto kaufen, dann sorgt der Hersteller doch üblicherweise für die Bremsen und somit zur Sicherstellung der Verkehrssicherheit!«