IT-Sicherheit bei Medizingeräten

Was vernetzte Geräte sicherer macht

Fotolia_119610514_Subscription_XXL_Quellepgottschalk.jpg
Damit viele Geräte ohne Bedenken vernetzt werden können, müssen sich sowohl Betreiber als auch Hersteller mit der Cybersicherheit befassen Bild: Fotolia.com / pgottschalk
Anzeige
Zum Schutz eines vernetzten Medizingeräts vor Angriffen kann der Hersteller einiges beitragen. Dräger Medical beispielsweise berücksichtigt das schon in der Entwicklung und informiert Anwender auf einer eigenen Website über aktuelle Maßnahmen.

Hannes Molsen
Dräger, Lübeck

Die Sicherheit von Medizingeräten hat neuerdings dem reibungslosen Betrieb, der vor 15 Jahren noch im Vordergrund stand, bei den Prioritäten den Rang abgelaufen. Denn aus „Geräten“ sind in der Zwischenzeit „Dinge“ geworden, die mehr oder weniger stark an ein Netzwerk angebunden sind: Ein Anästhesiegerät ist beispielsweise vernetzt, weil der Anästhesist oder Operateur über das Patientendatenmanagementsystem, das PDMS, bei Bedarf die Akte, weitere Befunde oder Röntgenbilder abrufen möchte.

Noch ist die Häufigkeit der Vernetzung zwar überschaubar, aber das ändert
sich spürbar. Zum Beispiel könnten
künftig Beatmungsgeräte auf einer Intensivstation ferngesteuert werden, um die Gefahr einer Ansteckung durch hoch-infektiöse Patienten für das Klinikpersonal und andere Patienten zu minimieren. Medizingeräte zu vernetzen bedeutet aber nicht, sie direkt ins Internet zu „hängen“. Zumeist betreiben Kliniken die Geräte in abgeschirmten Netzwerken, von denen – wenn überhaupt – nur eine gesicherte Schnittstelle ins Internet führt.

Hersteller können Kliniken auf dem Weg zu mehr IT-Sicherheit aber auch produktseitig unterstützen. Ein Beispiel dafür ist es, Medizingeräte wie ein Anästhesiegerät technisch so auszustatten, dass sie ihr Netzwerk-Interface bei einer erkannten Störung im separaten Netz sofort abschalten. Die Therapiefunktionen bleiben dabei erhalten.

Diesen gedanklichen Ansatz unterstützt der Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI) in seinem aktuellen Positionspapier „Medizintechnik braucht Cybersicherheit“. Gefordert werden „risikobasiert abgestufte Cybersicherheits-Maßnahmen“.

Schon in der Entwicklung ist die IT-Sicherheit ein Thema

Dräger geht auf diesem Weg aber noch weiter. So hat das Lübecker Unternehmen beispielsweise den „Sicheren Entwicklungsprozess“ eingeführt. Er soll die Vertraulichkeit, Integrität oder Verfügbarkeit eines Medizingeräts und der mit ihm erzeugten oder ausgetauschten Informationen so sicher wie möglich machen. Für den Hersteller steckt dahinter die Erkenntnis, dass niemand hundertprozentige Sicherheit garantieren kann. IT-Sicherheit ergibt sich vielmehr aus Risikomanagement und Zusammenarbeit mit der Klinik als Betreiber.

Eine Risikobewertung zum Beispiel berücksichtigt die Eintrittswahrscheinlichkeit einer Störung und das zu erwartende Schadensausmaß. Wie wahrscheinlich eine Störung ist, hängt dabei einerseits von der Erreichbarkeit beziehungsweise der Zugangsmöglichkeit zu einem Gerät ab – hier ist also auch der Betreiber gefragt. Andererseits sind die Ressourcen und Fähigkeiten, die ein potenzieller Angreifer zur Verfügung haben müsste, sowie ein mögliches Motiv für einen Angriff ins Kalkül zu ziehen.

IT-Sicherheit ist schon beim Entwickeln Thema

Bei der Produktentwicklung gibt es heute einige spezielle Anforderungen, die Hersteller beachten sollten. Das bedeutet beispielsweise, schon bei der Software-Entwicklung für Medizingeräte Angriffe zu simulieren und mögliche Sicherheitslücken, die dabei gefunden werden, zu schließen. Daher lässt Dräger viele neue Produkte schon während einer frühen Phase der Entwicklung im eigenen Labor und von externen Partnern versuchsweise „hacken“, um so Schwachstellen aufdecken und beseitigen zu können. Bei der Sicherheitsausrüstung seiner Produkte muss ein Hersteller jedoch auch das Sicherheitsniveau der Klinikinfrastruktur beachten.

Zusätzlich gibt es heute eine Reihe von Gesetzen und Vorschriften, die bei der Produktentwicklung zu beachten sind. In puncto Sicherheit haben neben der FDA in den USA auch Japan und China eigene Zulassungsanforderungen eingeführt. Abgesehen von den für Hersteller verbindlichen ISO/IEC-Standards ist es darüber hinaus sinnvoll, auch die Betreiberverordnungen zu berücksichtigen.

Betreiber erwarten heute, dass ihre Geräte selbst nach längerer Nutzung noch sicher betrieben werden und Updates erhalten können. Maßnahmen für IT-Sicherheit lassen sich aber nicht einfach für alle Zeit „verordnen“ und als Status Quo festlegen. IT-Security ist, wie viele andere Bereiche der Medizintechnik, einem ständigen Wandel unterworfen. Der sichere Entwicklungsprozess bei Dräger sieht in diesem Zusammenhang vor, die Geräte so auszurüsten, dass auch nachträgliche Sicherheits-Patches möglich sind.

Potenzielle Schwachstellen auf der Website melden

Doch nicht alle Bedrohungen sind vorhersehbar. Die Erfahrung zeigt, dass Offenheit gegenüber Anregungen und Kritik Dritter dabei helfen kann, die Sicherheit der Produkte kontinuierlich zu verbessern. Dräger hat daher eigens einen Bereich für Produktsicherheit mit einem „Coordinated Disclosure Statement“ auf seiner Webseite eingerichtet. Dieser richtet sich an Anwender, Entwickler oder IT-Sicherheitsforscher, die dort vorhandene oder potenzielle Schwachstellen bei Dräger-Geräten melden können. Bei groß angelegten Cyber-Angriffen wie „Wannacry“ erhalten die Betreiber der Geräte hier Informationen darüber, inwieweit Produkte betroffen sein könnten und welche Maßnahmen der Hersteller trifft.


Weitere Informationen

Informationen, wie das Unternehmen mit Cyber-Sicherheit umgeht: www.draeger.com/cybersecurity

Im Bereich für Produktsicherheit können Anwender, Entwickler oder IT-Sicherheitsforscher Probleme melden und sich Betreiber bei aktuellen Angriffen informieren

https://static.draeger.com/security/


Einfallstore für Hacker und Viren

Das Risiko eines unberechtigten oder unbeabsichtigten Zugriffs auf ein Gerät ist grundsätzlich nicht ausschließbar – und das kann auch Gerätefunktionen beeinträchtigen. Jeder Punkt, an dem Daten in ein Gerät gelangen können, ist ein potenzieller Angriffspunkt. Hierzu zählen neben der Benutzeroberfläche die Netzwerkintegration innerhalb eines Klinikbereichs oder USB-Anschlüsse. Entsprechend können schon Zugangskontrollen helfen, das Risiko für Störungen zu begrenzen. Auch Regeln, wie zum Beispiel mit USB-Sticks sicher umzugehen ist, sind sinnvoll. Sie können vor dem unbeabsichtigten Übertragen von Viren schützen.

Bei der Umsetzung solcher Maßnahmen ist die enge Zusammenarbeit von Medizintechnik-Abteilung und IT-Abteilung eines Krankenhauses zu empfehlen.



Hier finden Sie mehr über:
Anzeige

Aktuelle Ausgabe

Titelthema: Kreislaufwirtschaft

Pile_of_used_syringes,_everyday_drug_therapy

Weniger Plastik-Abfälle sind selbst bei Medizinprodukten machbar

Newsletter

Jetzt unseren Newsletter abonnieren

medicine&technology

Die englische Ausgabe finden Sie hier als PDF.

Sie erscheint 2 Mal im Jahr mit europaweiter Verbreitung.

Alle Webinare & Webcasts

Webinare aller unserer Industrieseiten

Aktuelles Webinar

Multiphysik-Simulation

Medizintechnik: Multiphysik-Simulation

Whitepaper

Whitepaper aller unserer Industrieseiten

Kalender

Termine für die Medizintechnik-Branche

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de