Healthcare IT & Security

Cybersicher von Design bis Update

16. Januar 2023, 15:38 Uhr | Dr. Abtin Rad, TÜV SÜD

Fortsetzung des Artikels von Teil 1

Sicher mit Testlabor

Testlabore wie beispielsweise vom TÜV Süd verfügen meist über mehrere Jahre oder Jahrzehnte Erfahrung mit den regulatorischen Anforderungen und der Anwendung technischer Standards für Medizinprodukte sowie der Testung der Medizingeräte unter anspruchsvollsten Bedingungen. Ein TÜV-Prüfdienstleister ist zusätzlich vom Medical Device Single Audit Program (MDSAP) akkreditiert, das die Übereinstimmung von Medizinprodukten mit Standards der USA, Kanada, Japan, Brasilien und Australien
sicherstellt.

In den speziell eingerichteten Testlaboren können Medizintechnikhersteller die Sicherheit von Medizingeräten und Software testen lassen. Dazu gehören Produkttests, um die Einhaltung der aktuellen Cybersecurity-Vorschriften und -Standards zu gewährleisten – darunter IEC 81001-5-1, IEC TR 60601-4-5, IEC 62304, MDCG 2019-16 und weitere anwendbare Anforderungen. Auch Schwachstellenanalysen und Penetrationstests der Geräte und Software werden durchgeführt, ebenso sind Compliance-Vorschriften Teil der Prüfungen.

Am Ende wird ein detaillierter Testreport bereitgestellt, ggf. auf Wunsch gemeinsam mit einem optionalen Report zur Einhaltung der Vorschriften der EU und der FDA. So wird die Medizinprodukteindustrie bei der Lösung wesentlicher Cybersicherheitsrisiken unterstützt und es ist sichergestellt, dass neue Medizinprodukte und innovative Gesundheitssoftware cybersicher auf den Markt kommen.

Sicherheitslücken minimieren

Insgesamt bleibt festzuhalten: Die wachsende Bedrohung der Cybersicherheit für onlinefähige Medizinprodukte erfordert von Herstellern und Softwareentwicklern eine proaktive Herangehensweise. Sie müssen ihre Produkte so konzipieren, dass sie möglichst wenige Risiken für die Cybersicherheit aufweisen. Die IEC 81001-5-1 liefert dafür einen detaillierten Fahrplan, den Hersteller und Softwareentwickler übernehmen und dadurch die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg sicherstellen können. Nun muss sie umgesetzt werden. (uh)

Spezifische Aktivitäten aus der IEC 81001-5-1
Klausel 4: Beschreibt die Einführung und Anwendung eines Qualitätsmanagementsystems mit Überlegungen zur Produktsicherheit sowie zu einem Risikomanagementsystem. Klausel 5: Stellt eine Anforderungsanalyse für Gesundheitssoftware auf mit Schwerpunkt softwarespezifische Sicherheitsrisiken, Design und Integrationstests. Zu letzteren gehören Bedrohungsabwehr-, Schwachstellen- und Penetrationstests. Klausel 6: Gibt Vorgaben zur Erstellung eines Wartungsplans für die Software, der rechtzeitige Updates zum Schutz gegen Cyberbedrohungen und die Implementierung von Änderungen managt und dokumentiert. Klausel 7: Stellt sicher, dass potenzielle Schwachstellen und Bedrohungen erfasst werden, deren Risiken bewertet und daraus Maßnahmen zur Kontrolle und einer laufenden Überwachung erarbeitet werden. Klausel 8: Legt eine allgemeine Strategie für Produktentwicklung, Wartung und Support fest. Durch ein Konfigurationsmanagement mit Änderungskontrollen und -historie sowie Informationen über externe Komponenten werden Sicherheitslücken erfassbar. Klausel 9: Beschreibt die Einrichtung eines Benachrichtigungssystems für mögliche Sicherheitsrisiken sowie deren Prüfung und Analyse und den geeigneten Problemlösungsprozess

Spezifische Aktivitäten aus der IEC 81001-5-1

Klausel 4: Beschreibt die Einführung und Anwendung eines Qualitätsmanagementsystems mit Überlegungen zur Produktsicherheit sowie zu einem Risikomanagementsystem.
Klausel 5: Stellt eine Anforderungsanalyse für Gesundheitssoftware auf mit Schwerpunkt softwarespezifische Sicherheitsrisiken, Design und Integrationstests. Zu letzteren gehören Bedrohungsabwehr-, Schwachstellen- und Penetrationstests.
Klausel 6: Gibt Vorgaben zur Erstellung eines Wartungsplans für die Software, der rechtzeitige Updates zum Schutz gegen Cyberbedrohungen und die Implementierung von Änderungen managt und dokumentiert.
Klausel 7: Stellt sicher, dass potenzielle Schwachstellen und Bedrohungen erfasst werden, deren Risiken bewertet und daraus Maßnahmen zur Kontrolle und einer laufenden Überwachung erarbeitet werden.
Klausel 8: Legt eine allgemeine Strategie für Produktentwicklung, Wartung und Support fest. Durch ein Konfigurationsmanagement mit Änderungskontrollen und -historie sowie Informationen über externe Komponenten werden Sicherheitslücken erfassbar.
Klausel 9: Beschreibt die Einrichtung eines Benachrichtigungssystems für mögliche Sicherheitsrisiken sowie deren Prüfung und Analyse und den geeigneten Problemlösungsprozess