BSI-Studie zur Cyber­si­cher­heit bei Medi­zin­pro­duk­ten veröffentlicht

Mit der fort­schrei­ten­den Digi­ta­li­sie­rung und Ver­net­zung des Gesund­heits­we­sens gewinnt auch das The­ma Cyber­si­cher­heit eine immer grö­ße­re Bedeu­tung, ein Aspekt, der auch in den neu­en euro­päi­schen Regu­la­ri­en für Medi­zin­pro­duk­te Beach­tung fin­det. In der Pra­xis tau­chen jedoch immer wie­der ver­netz­te Medizin‑, IoT- oder Alten­pfle­ge­pro­duk­te auf, die Schwach­stel­len auf­wei­sen. Wer­den sol­che Schwach­stel­len bei Cyber­an­grif­fen aus­ge­nutzt, kön­nen schnell Gesund­heit und Leben von Pati­en­ten auf dem Spiel ste­hen. Aus die­sem Grund ver­folgt auch das BSI das The­ma mit zuneh­men­der Wach­sam­keit und hat dazu meh­re­re Pro­jek­te zur Unter­su­chung der Cyber­si­cher­heit in der Bran­che ins Leben geru­fen. Zu zwei die­ser Pro­jek­te, dem Pro­jekt “Mani­Med – Mani­pu­la­ti­on von Medi­zin­pro­duk­ten” und dem Pro­jekt “eCa­re – Digi­ta­li­sie­rung in der Pfle­ge”, wur­den jetzt die Ergeb­nis­se ver­öf­fent­licht.

Pro­jekt eCare

Im Rah­men des Pro­jekts “eCa­re” wur­den ins­ge­samt sechs der­zeit am Markt ver­füg­ba­re ver­netz­te Pfle­ge­ge­rä­te auf ihre Cyber­si­cher­heit unter­sucht. Die Autoren der Stu­di­en kom­men nach ihrer Aus­wer­tung zu dem Ergeb­nis, dass “das vor­ge­fun­de­ne IT-Sicherheitsniveau mit schlecht bis sehr schlecht” zu bewer­ten ist. Die Kri­tik der Autoren beschränkt sich jedoch nicht dar­auf, dass bei allen Unter­su­chun­gen mitt­le­re bis schwe­re Schwach­stel­len auf­ge­deckt wur­den, son­dern umfasst auch die Pro­zes­se zur Cyber­si­cher­heit. So gehen die Autoren davon aus, dass kei­nes der Gerä­te mit einem pro­fes­sio­nel­len Pene­tra­ti­ons­test unter­sucht wur­de, und lei­ten aus ihren Ergeb­nis­sen auch ab, dass das IT-Sicherheitsmanagement bei der Ent­wick­lung der Gerä­te für die Her­stel­ler von unter­ge­ord­ne­ter Bedeu­tung war. Auch ent­spre­chen­de Hil­fe­stel­lun­gen, wie z.B. die Emp­feh­lung des BSI zu Cyber-Sicherheitsanforderungen an netz­werk­fä­hi­ge Medi­zin­pro­duk­te, sei­en nicht hin­rei­chend berück­sich­tigt wor­den. Abschlie­ßend hal­ten die Autoren fest, dass “das frei­wil­lig erreich­te Sicher­heits­ni­veau in wei­ten Tei­len nur unzu­rei­chen­de Sicher­heit bie­tet”, und plä­die­ren damit für eine stren­ge­re Regu­lie­rung, die kon­kre­te Vor­ga­ben zur Cyber­si­cher­heit beinhaltet.

Pro­jekt ManiMed 

Im Pro­jekt “Mani­Med” wur­den ins­ge­samt zehn ver­netz­te Medi­zin­pro­duk­te aus fünf ver­schie­de­nen Pro­dukt­ka­te­go­rien einer tief­ge­hen­den Cyber­si­cher­heits­ana­ly­se unter­zo­gen. Dabei wur­den, wie der Abschluss­be­richt ein­drucks­voll zeigt, mehr als 150 Schwach­stel­len an die Her­stel­ler gemel­det. Als anfäl­lig erwies sich bei den Unter­su­chun­gen die beglei­ten­de Infra­struk­tur. Auf die­se soll­ten Her­stel­ler, die ihre Cyber­si­cher­heit ver­bes­sern oder über­prü­fen wol­len, folg­lich ein beson­de­res Augen­merk legen. Dar­über hin­aus stel­len die Autoren fest, dass “die IT-Sicherheitslage von Her­stel­ler zu Her­stel­ler sehr unter­schied­lich ist und stark vom Rei­fe­grad des ein­zel­nen Her­stel­lers abhängt”. Als ent­schei­den­de Fak­to­ren für eine Erhö­hung des Cyber­si­cher­heits­ni­veaus bei Medi­zin­pro­duk­ten sehen die Autoren kon­kre­te gesetz­li­che Vor­ga­ben einer­seits und ande­rer­seits eine ver­stärk­te Moti­va­ti­on der Her­stel­ler für die pro­ak­ti­ve Aus­ein­an­der­set­zung mit Cybersicherheit.

Hand­lungs­emp­feh­lun­gen und Gui­dance für Hersteller

Her­stel­ler von Medi­zin­pro­duk­ten, ver­netz­ten Pfle­ge­pro­duk­ten und ande­ren digi­ta­len Anwen­dun­gen im Gesund­heits­be­reich soll­ten die Ergeb­nis­se der Stu­die nut­zen, ihre eige­nen Pro­zes­se auf die ent­deck­ten Feh­ler­quel­len zu unter­su­chen und ent­spre­chen­de Feh­ler zu ver­mei­den. Es gilt dabei, die ein­schlä­gi­gen gesetz­li­chen Ver­pflich­tun­gen im Bereich der Cyber­si­cher­heit sowie zum Umgang mit Schwach­stel­len zu beach­ten, um ver­meid­ba­ren Haf­tungs­ri­si­ken zu ent­ge­hen. Ver­wie­sen sei hier ins­be­son­de­re auf Anhang I, Zif­fer 17.2 MDR (PDF), wonach aus­drück­lich eine “State-of-the-art”-Softwareentwicklung auch mit Bezug zur IT-Sicherheit gefor­dert wird. Her­stel­ler sind danach ver­pflich­tet, die Anfor­de­run­gen an Maß­nah­men der Betrei­ber mit Bezug zur IT-Sicherheit zu defi­nie­ren. Wird die­se Ver­pflich­tung ver­letzt, kann dies die Haf­tung des Her­stel­lers im Scha­dens­fal­le begründen.

Wei­te­re kon­kre­te Hand­lungs­emp­feh­lun­gen für die Umset­zung der mit der MDR (spä­ter auch der In-vitro-Diagnostik-Verordnung, IVDR) defi­nier­ten Anfor­de­run­gen an die IT-Sicherheit bie­tet neben dem bereits genann­ten Leit­fa­den des Exper­ten­krei­ses Cyber­Med auch der Leit­fa­den der Medi­cal Device Coor­di­na­ti­on Group, MDCG, Gui­dance on Cyber­se­cu­ri­ty for medi­cal devices. Als hilf­reich kann sich auch die Beach­tung der Emp­feh­lung der Inter­es­sen­ge­mein­schaft der Benann­ten Stel­len, IG-NB (PDF), erwei­sen. Dort wer­den zen­tra­le Fra­gen bei der Bewer­tung der IT-Sicherheit von Medi­zin­pro­duk­ten auf­ge­wor­fen sowie Ver­wei­se auf die wesent­li­chen Geset­ze und Nor­men gege­ben. Ergän­zen­de Infor­ma­tio­nen sind auch in den FDA Cyber­se­cu­ri­ty Gui­dan­ces zu fin­den.

Durch die Beach­tung und das pro­ak­ti­ve Aus­ein­an­der­set­zen mit den ein­schlä­gi­gen gesetz­li­chen Anfor­de­run­gen und Guidance-Dokumenten über den gesam­ten Lebens­zy­klus der Pro­duk­te von der Ent­wick­lung über die Kon­struk­ti­on bis hin zur Pro­dukt­be­ob­ach­tung im Feld hin­weg kön­nen sowohl die prä­ven­ti­ven als auch die in zuneh­men­dem Umfang rele­van­ten reak­ti­ven Aspek­te von Cyber­si­cher­heit aus­rei­chend berück­sich­tigt werden.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.