Betreiber von Krankenhäusern, die zur kritischen Infrastruktur gehören, müssen in den nächsten zwei Jahren ein Sicherheitskonzept auf dem Stand der Technik aufbauen und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen. Denn da es für Krankenhäuser nachweislich eine Gefährdungslage durch Cyberattacken gibt, hat die Bundesregierung im IT-Sicherheitsgesetz die medizinische Versorgung als kritische Dienstleistung definiert – neben Finanzen, Transport und Verkehr.
Wegen der Sicherheitslücken in lebenswichtigen Medizinprodukten bezieht das IT-Sicherheitsgesetz die Krankenhäuser mit ein. Aber: „Hersteller von Medizintechnik sind hier nicht direkt adressiert“, erläutert Hans-Peter Bursig, Geschäftsführer des ZVEI-Fachverbands Elektromedizinische Technik. „Die IT-Sicherheit eines Krankenhauses kann jedoch nicht sichergestellt werden, ohne vernetzten Medizinprodukte zu berücksichtigen.“
Der ZVEI erarbeitet daher gemeinsam mit dem BSI eine Empfehlung zur Cybersicherheit in der Medizintechnik. Ziel der Empfehlung ist es, Anforderungen an netzwerkverbundene Medizinprodukte zu definieren und einen Beitrag zu einem insgesamt höheren Schutzniveau gegen Cyberattacken auf Gesundheitseinrichtungen zu leisten.
Auf dem Medica Tech Forum, das von Spectaris und ZVEI organisiert wird, wurde der Entwurf erstmalig präsentiert. „Wir haben uns bewusst dafür entschieden, auf der Medica zunächst einen Entwurf vorzustellen“, betont Bursig. „Er soll die Diskussion zu dem Thema anregen und Verbesserungen vorantreiben.“ Aus diesem Grund schloss sich an die Präsentation des Entwurfs eine Podiumsdiskussion mit Jens Wiesner, Bundesamt für Sicherheit in der Informationstechnik (BSI), Dr. Stefan Bücken, IT-Sicherheitsbeauftragter Uniklinikum Erlagen, und Dr. Georg Heidenreich, Siemens Healthcare GmbH, an.
„Empfehlungen zur Cybersicherheit von Medizinprodukten können aber nur ein Anfang sein“, so Bursig. „Teilnehmer aus allen Bereichen des Gesundheitssystems sollten diskutieren, wie ein gemeinsames Vorgehen die Sicherheit des deutschen Gesundheitssystems vor Cyberangriffen erhöhen kann.“
Zum ZVEI-Positionspapier „Medizintechnik braucht Cybersicherheit“
