Mit der fortschreitenden Digitalisierung und Vernetzung des Gesundheitswesens gewinnt auch das Thema Cybersicherheit eine immer größere Bedeutung, ein Aspekt, der auch in den neuen europäischen Regularien für Medizinprodukte Beachtung findet. In der Praxis tauchen jedoch immer wieder vernetzte Medizin‑, IoT- oder Altenpflegeprodukte auf, die Schwachstellen aufweisen. Werden solche Schwachstellen bei Cyberangriffen ausgenutzt, können schnell Gesundheit und Leben von Patienten auf dem Spiel stehen. Aus diesem Grund verfolgt auch das BSI das Thema mit zunehmender Wachsamkeit und hat dazu mehrere Projekte zur Untersuchung der Cybersicherheit in der Branche ins Leben gerufen. Zu zwei dieser Projekte, dem Projekt “ManiMed – Manipulation von Medizinprodukten” und dem Projekt “eCare – Digitalisierung in der Pflege”, wurden jetzt die Ergebnisse veröffentlicht.
Projekt eCare
Im Rahmen des Projekts “eCare” wurden insgesamt sechs derzeit am Markt verfügbare vernetzte Pflegegeräte auf ihre Cybersicherheit untersucht. Die Autoren der Studien kommen nach ihrer Auswertung zu dem Ergebnis, dass “das vorgefundene IT-Sicherheitsniveau mit schlecht bis sehr schlecht” zu bewerten ist. Die Kritik der Autoren beschränkt sich jedoch nicht darauf, dass bei allen Untersuchungen mittlere bis schwere Schwachstellen aufgedeckt wurden, sondern umfasst auch die Prozesse zur Cybersicherheit. So gehen die Autoren davon aus, dass keines der Geräte mit einem professionellen Penetrationstest untersucht wurde, und leiten aus ihren Ergebnissen auch ab, dass das IT-Sicherheitsmanagement bei der Entwicklung der Geräte für die Hersteller von untergeordneter Bedeutung war. Auch entsprechende Hilfestellungen, wie z.B. die Empfehlung des BSI zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte, seien nicht hinreichend berücksichtigt worden. Abschließend halten die Autoren fest, dass “das freiwillig erreichte Sicherheitsniveau in weiten Teilen nur unzureichende Sicherheit bietet”, und plädieren damit für eine strengere Regulierung, die konkrete Vorgaben zur Cybersicherheit beinhaltet.
Projekt ManiMed
Im Projekt “ManiMed” wurden insgesamt zehn vernetzte Medizinprodukte aus fünf verschiedenen Produktkategorien einer tiefgehenden Cybersicherheitsanalyse unterzogen. Dabei wurden, wie der Abschlussbericht eindrucksvoll zeigt, mehr als 150 Schwachstellen an die Hersteller gemeldet. Als anfällig erwies sich bei den Untersuchungen die begleitende Infrastruktur. Auf diese sollten Hersteller, die ihre Cybersicherheit verbessern oder überprüfen wollen, folglich ein besonderes Augenmerk legen. Darüber hinaus stellen die Autoren fest, dass “die IT-Sicherheitslage von Hersteller zu Hersteller sehr unterschiedlich ist und stark vom Reifegrad des einzelnen Herstellers abhängt”. Als entscheidende Faktoren für eine Erhöhung des Cybersicherheitsniveaus bei Medizinprodukten sehen die Autoren konkrete gesetzliche Vorgaben einerseits und andererseits eine verstärkte Motivation der Hersteller für die proaktive Auseinandersetzung mit Cybersicherheit.
Handlungsempfehlungen und Guidance für Hersteller
Hersteller von Medizinprodukten, vernetzten Pflegeprodukten und anderen digitalen Anwendungen im Gesundheitsbereich sollten die Ergebnisse der Studie nutzen, ihre eigenen Prozesse auf die entdeckten Fehlerquellen zu untersuchen und entsprechende Fehler zu vermeiden. Es gilt dabei, die einschlägigen gesetzlichen Verpflichtungen im Bereich der Cybersicherheit sowie zum Umgang mit Schwachstellen zu beachten, um vermeidbaren Haftungsrisiken zu entgehen. Verwiesen sei hier insbesondere auf Anhang I, Ziffer 17.2 MDR (PDF), wonach ausdrücklich eine “State-of-the-art”-Softwareentwicklung auch mit Bezug zur IT-Sicherheit gefordert wird. Hersteller sind danach verpflichtet, die Anforderungen an Maßnahmen der Betreiber mit Bezug zur IT-Sicherheit zu definieren. Wird diese Verpflichtung verletzt, kann dies die Haftung des Herstellers im Schadensfalle begründen.
Weitere konkrete Handlungsempfehlungen für die Umsetzung der mit der MDR (später auch der In-vitro-Diagnostik-Verordnung, IVDR) definierten Anforderungen an die IT-Sicherheit bietet neben dem bereits genannten Leitfaden des Expertenkreises CyberMed auch der Leitfaden der Medical Device Coordination Group, MDCG, Guidance on Cybersecurity for medical devices. Als hilfreich kann sich auch die Beachtung der Empfehlung der Interessengemeinschaft der Benannten Stellen, IG-NB (PDF), erweisen. Dort werden zentrale Fragen bei der Bewertung der IT-Sicherheit von Medizinprodukten aufgeworfen sowie Verweise auf die wesentlichen Gesetze und Normen gegeben. Ergänzende Informationen sind auch in den FDA Cybersecurity Guidances zu finden.
Durch die Beachtung und das proaktive Auseinandersetzen mit den einschlägigen gesetzlichen Anforderungen und Guidance-Dokumenten über den gesamten Lebenszyklus der Produkte von der Entwicklung über die Konstruktion bis hin zur Produktbeobachtung im Feld hinweg können sowohl die präventiven als auch die in zunehmendem Umfang relevanten reaktiven Aspekte von Cybersicherheit ausreichend berücksichtigt werden.