Durch die zunehmende Digitalisierung und Vernetzung im Gesundheitswesen tauchen vermehrt Schwachstellen in vernetzten Medizin-, IoT- und Altenpflegeprodukten auf. Werden solche Schwachstellen entdeckt oder sogar ausgenutzt, stellt dies für die Hersteller der Produkte oft ein großes Problem dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher die Projekte „Manimed – Manipulation von Medizinprodukten“ und „Ecare – Digitalisierung in der Pflege“ aufgesetzt, um die IT-Sicherheit ausgewählter Produkte bewerten zu können. Die Ergebnisse beider Projekte wurden Anfang 2021 veröffentlicht.
Im Fokus des Projekts Ecare stehen vernetzte Medizin- und IoT-Produkte, die im Bereich der Alten- oder Krankenpflege Anwendung finden. Hierzu zählen beispielsweise Geräte zur Vitaldatenmessung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
Tipps für die Cybersicherheit von Medizinprodukten
Im Projekt Manimed wurden insgesamt zehn vernetzte Medizinprodukte aus fünf unterschiedlichen Kategorien sowie die dazugehörigen Infrastrukturkomponenten tiefgehenden IT-sicherheitstechnischen Prüfungen unterzogen. Sie alle kamen nach 2014 auf den Markt und es waren bis zum Projekt keine Schwachstellen bekannt geworden.
Konkret wurden untersucht:
- implantierbare Herzschrittmacher und implantierbare Kardioverter-Defibrillatoren,
- Insulinpumpen,
- Beatmungsgeräte,
- Infusions- und Spritzenpumpen sowie
- Patientenmonitore.
Die Untersuchung ergab zum Teil keine Schwächen, zum Teil Systemabstürze, deren Ursachen aber vom Hersteller behoben wurden, aber auch grundsätzlich Mängel, die einen verhältnismäßig einfachen Zugang zu Geräten und damit zu Dosierungseinstellungen ermöglichten.
Neben dem aktuellen IT-Sicherheitsstand dieser Produktauswahl zeigt das Projekt mögliche Strategien auf, wie sich Prozesse zur Behebung und Veröffentlichung von Schwachstellen erfolgreich handhaben und koordinieren lassen.
Die beiden Studien ermöglichen es Herstellern von Medizinprodukten, die IT-Sicherheitseigenschaften ihrer Produkte zu verbessern. Der Ratschlag des BSI an die Hersteller: Es sei wichtig, nicht nur koordiniert vorzugehen, sondern auch etablierte Prozesse zu nutzen, wenn jemand Schwachstellen in Medizinprodukten entdeckt.
Studien helfen, die eigenen Prozesse zu justieren
Miriam Schuh, Teamleader Healthcare bei Reuschlaw, rät Herstellern, „die Ergebnisse der Studie zu nutzen, ihre eigenen Prozesse auf die entdeckten Fehlerquellen zu untersuchen und entsprechende Fehler zu vermeiden“. Es gelte dabei, die einschlägigen gesetzlichen Verpflichtungen im Bereich der Cybersicherheit sowie zum Umgang mit Schwachstellen zu beachten, um vermeidbaren Haftungsrisiken zu entgehen. Sie verweist hier vor allem auf Anhang I, Ziffer 17.2 MDR, wonach ausdrücklich eine „State-of-the-art“-Softwareentwicklung auch mit Bezug zur IT-Sicherheit gefordert ist. „Hersteller sind danach verpflichtet, die Anforderungen an Maßnahmen der Betreiber mit Bezug zur IT-Sicherheit zu definieren. Wird diese Verpflichtung verletzt, kann dies die Haftung des Herstellers im Schadensfalle begründen“, so Schuh.
Der Manimed-Abschlussbericht:
http://hier.pro/zAfrJ
Der Ecare-Abschlussbericht:
http://hier.pro/tTvtb
Mehr zum Thema Cybersecurity:
