Cybersecurity ist im Gesundheitswesen ein wichtiges Thema – das auch Medizinprodukte und die In-Vitro-Diagnostik (IVD) betrifft. Vorgeschrieben sind schon jetzt Penetrationstests. Dabei simulieren so genannte Ethical Hacker einen IT-Angriff auf ein Medizinprodukt oder IVD. So finden sie Schwachstellen, bevor diese von Dritten ausgenutzt werden. Beim so genannten Fuzzing beispielsweise provozieren die Prüferinnen und Prüfer Fehlverhalten von Software, indem sie zufällige, teils manipulierte Daten einspeisen.
Neuer Report zeigt Schwachstellen auch bei medizinischen Geräten
Regulatorische Vorgaben zu Cybersecurity bei Medizinprodukten zu wenig konkret
Aber: Bislang enthalten weder die regulatorischen Vorgaben der EU noch die zugehörigen Guidance-Dokumente konkrete Leitlinien dazu. EU-Verordnungen wie die Medical Device Regulation (MDR) für Medizinprodukte und die In-Vitro Diagnostics Regulation (IVDR) machten zwar Vorgaben zur Cybersecurity. „Aber der zugehörigen europäischen Leitlinie MDCG 2019-16, die die Anforderungen an den Prozess klären soll, fehlen entscheidende Details. Gleiches gilt für die internationale Norm IEC 81001-5-1, die sich mit IT-Sicherheit im Software-Lebenszyklus befasst“, sagt Dr. Abtin Rad, Experte für Cybersicherheit und Künstliche Intelligenz bei Tüv Süd. „Die von der EU für das kommende Jahr angekündigte Harmonisierung bietet die Chance, anhand einer einheitlichen EU-Norm die teils bestehenden länderspezifischen Standards zu vereinheitlichen.“
KI in der Medizin: Was Medical Device Regulation und der Artificial Intelligence Act fordern
Zu diesen Themen hat Tüv Süd ein Whitepaper veröffentlicht. Es geht bestehenden Lücken anhand konkreter Fragen aus Sicht von Herstellern und Unternehmen auf den Grund: Diese Fragen sollten verbesserte Standards in Zukunft beantworten.
Aussagen zur Prüftiefe von Medizinprodukten unterschiedlicher Risikoklassen fehlen bisher
Eine zugehörige Norm, so heißt es, sollte künftig klären, was, wo, wie und in welchem Umfang zu prüfen ist. So lässt sich gewährleisten, dass netzwerkfähige Produkte im Sinne der Patienten auch tatsächlich cyber-sicher sind. „Noch fehlen zum Beispiel genaue Aussagen darüber, ob es eine geringere Prüftiefe für Medizinprodukte und IVDs mit geringerem Risiko geben sollte, obwohl dies ja nahe liegt“, sagt Jan Küfner, Senior Product Specialist für Cybersecurity bei Tüv Süd.
- Muss zum Beispiel bei einer Software für jedes Release ein vollständiger Penetrationstest erfolgen?
- Wie sind Ethernet und Bluetooth- Verbindungen zu prüfen?
- Wann ist Fuzzing überhaupt erforderlich und in welchem Umfang?
Künstliche Intelligenz: Cyberagentur ist Manipulationen auf der Spur
Fortschritt bei IT-Werkzeugen macht die Bedrohungslage dynamisch
Weil sich die IT-Werkzeuge weiterentwickeln und neue Software oder Updates neue Schwachstellen generieren können, wandelt sich die Bedrohungslage zudem ständig. So unterstützt Künstliche Intelligenz nicht nur die Medizinerinnen und Mediziner, sondern auch die Angreifer. Um zum Beispiel in kürzester Zeit große Mengen an medizinischen Daten zu analysieren, müssen Ultraschallgeräte oder Hämoglobinzähler digital vernetzt werden. Das bietet aber zugleich eine größere Angriffsfläche für Cyberattacken.
Künstliche Intelligenz für die Medizin muss ethisch gut gemacht sein
Unsichere Produkte bergen damit Risiken für die Patientensicherheit, die Datensicherheit und den Datenschutz. Bei manipulierten Daten besteht zudem die Gefahr von falschen Diagnosen und Therapieansätzen oder einer Gefährdung der öffentlichen Gesundheit, etwa bei Fehleinschätzungen zum Infektionsgeschehen. Eine verweigerte oder verzögerte Marktzulassung, Entschädigungszahlungen und Imageschäden wären weitere Folgen.
Mehr als klassische Cybersecurity-Methoden für Medizinprodukte und IVD
Schwachstellenanalysen, Penetrationstests oder so genannte Fuzzing-Kampagnen gehören zu den Dienstleistungen, die auch Expertinnen und Experten von Tüv Süd übernehmen. Dabei greifen sie auf ein weltweites Netzwerk zurück. Um das Patientenrisiko im Fokus zu halten, bieten klassische Cybersecurity-Methoden nicht immer passgenaue Lösungen – die Tüv-Süd-Fachleute haben sich allerdings auf Medizinprodukte und IVD spezialisiert. Auf Basis der ermittelten Risiken können Unternehmen maßgeschneiderte Lösungen für Netzwerke, mobile oder Web-Anwendungen entwickeln.
Zum Whitepaper:
Cybersicherheit von Medizinprodukten: Die Lücke in den aktuellen EU-Verordnungen