Cybersecurity: Anforderungen an Medizinprodukte

Laptop Tablet und Smartphone auf dem Tisch

Immer mehr Geräte und Prozesse im Gesundheitswesen werden digitalisiert. Längst übertragen Herzschrittmacher und Insulinpumpen Patientendaten per WLAN, OP-Roboterarme werden über eine Steuerkonsole gelenkt und sämtliche Patienten- sowie Mitarbeiterdaten im System angelegt und gespeichert. Diese Umstellung bietet der Cyberkriminalität eine breite Angriffsfläche. Schlagzeilen wie „Medizinische Geräte im Visier von Hackern“ oder „Hacker-Angriff auf Krankenhaus“ überbringen mittlerweile keine wirklichen Neuigkeiten mehr. In einer Umfrage gaben ganze 25 % der Befragten aus dem Bereich Healthcare an, bereits Opfer einer Cyberattacke geworden zu sein und die durch Cyberkriminalität entstandenen Kosten beliefen sich im Jahr 2017 deutschlandweit auf ca. 71,8 Millionen Euro.

Die wohl bekanntesten Vorfälle im deutschen Raum in Form von Cyberattacken ereigneten sich bisher auf Krankenhäuser. Beispielsweise haben Hacker über den E-Mail-Server eine Ransomware in das Klinikum Neuss in Nordrhein-Westfalen eingeschleust. Drastische Folgen hatte auch der Angriff Ende letzten Jahres auf ein oberbayerisches Klinikum in Fürstenfeldbruck, bei welchem ein Virus den kompletten Betrieb lahmlegte. Notfallpatienten wurden verlegt und Krankenwagen durften die Klinik nicht mehr anfahren. Unternehmen, Regierung aber auch die Bürger sind zu gleichermaßen sensibilisiert. Man ist sich der Gefahr mangelnder Sicherheitsmaßnahmen in vielen IT-Systemen bewusst und so wurden 2017 neue Anforderungen an die Cybersecurity in die Medical Device Regulation aufgenommen. Doch die Maßnahme beruhigt die Deutschen nicht, einer PWC-Studie zufolge, gaben 28 % der Deutschen an, einen Ausfall der Computersysteme während eines Krankenhausaufenthaltes zu befürchten.

Medizingeräte im Visier von Hackern

Doch nicht nur Krankenhäuser stehen im Visier der Hacker, auch Medizingeräte werden vermehrt zur Zielscheibe. Experten weisen immer wieder auf die weitreichenden Sicherheitslücken hin, doch entsprechende Maßnahmen fehlten bislang. Zwei US-Forscher nahmen dies zum Anlass und entwickelten eine sogenannte Killer-App mittels derer, das Fernsteuern von Insulinpumpen möglich ist. Durch einen einfachen Knopfdruck kann so eine Überdosierung oder die Verweigerung des lebenswichtigen Medikaments gesteuert werden. Ihr Exempel statuierten die Forscher zum einen, um das Bewusstsein der realen Bedrohung zu wecken und zum anderen um die Hersteller solcher Geräte zum Handeln zu zwingen.

Die Cybersecurity-Anforderungen korrelieren mit dem technischen Fortschritt. Durch die zunehmende Vernetzung von Medizinprodukten gibt es entsprechend viele Endpunkte für eine Cyberattacke und mit jeder neuen Entwicklung kommt ein neuer Angriffspunkt hinzu, wie die folgende Grafik veranschaulicht. Beliebte Ziele sind jedoch ältere Gerätschaften. Die Betriebssysteme der kostenintensiven Medizingeräte sind aufgrund des langen Lebenszyklus oftmals stark veraltet. Remote-Updates sind somit nur schwer möglich und bieten nicht den notwendigen Schutz, um ein Eingreifen Dritter zu verhindern.

Quelle: Zvei - Die Elektroindustrie

Ein Cyberangriff lässt sich in drei Dimensionen einteilen

Erstens kann die Verfügbarkeit und somit die Funktionsfähigkeit der Geräte angegriffen werden. Ein bekanntes Beispiel dafür, ist die sogenannte Ransomware die, wie im Zwischenfall oben geschildert, per Mail in ein Netzwerk eingeschleust wird. Die Schadprogramme verschlüsseln Rechner eines Netzwerks und machen die betroffenen Geräte funktionsunfähig. Dieses Vorgehen legt den Hackern die Grundlage, um später Lösegeld für die Entschlüsselung der Geräte zu erpressen. 

Zweitens kann aufgrund von Datendiebstahl die Vertraulichkeit beschädigt werden. Dies betrifft interne- wie externe Datensätze wie beispielsweise Gehaltsabrechnungen, Lieferantenverträge sowie sensible Patientendaten. Vor allem Patientendaten sind im Kontext mit Big Data gewinnbringend und werden von Cyberkriminellen oft teuer verkauft. 

Drittens kann die Integrität betroffen sein. Über einen Systemeingriff können Hacker Datensätze verändern und manipulieren. Theoretisch kann so beispielsweise auf Patientenakten zugegriffen und die hinterlegte Medikation verfälscht werden. Folge dessen wäre eine Fehlbehandlung, die schwerwiegende Konsequenzen haben könnte.

______________________________________________________________________________________________________

Sie sind IT-Experte und möchten zum Schutz von Patienten und Personal beitragen? Unsere Berater helfen Ihnen sich optimal auf dem Markt zu platzieren und Ihr volles Potenzial auszuschöpfen!

______________________________________________________________________________________________________

Cybersecurity-Anforderungen für Medizinprodukte

Das Bundesamt für Sicherheit in der Informationstechnik hat einen Leitfaden mit Empfehlungen, Leitlinien für Schutzmaßnahmen und runtergebrochenen Leitfragen zur Sicherung vor Cyberkriminalität in Bezug auf Medizinprodukte veröffentlicht. Folgend haben wir die wichtigsten Punkte übersichtlich für Sie zusammengestellt.

1. Product Lifecycle

Schwachstellen durch die langen Lebensdauern der Medizingeräte sollen durch den Einsatz eines sicheren Entwicklungszyklus geschlossen werden. Durch die Klärung verschiedenster Fragen des Leitfadens können so präventiv alle notwendigen Schritte zur Sicherung der Geräte eingeleitet werden.

2. Nachvollziehbare und effektive Kommunikation

Sicherheitslücken von IT-Produkten werden regelmäßig publiziert. In solch einem Fall ist der Hersteller in der Verantwortung, eventuelle Folgen umgehend und offen an die Käufer zu kommunizieren. Er muss ebenfalls einen entsprechenden Patch zur Verfügung stellen, um die Fehler schnell zu dokumentieren und entsprechend beheben zu können. Wichtig in solch einem Fall ist die Kommunikation von Maßnahmenempfehlungen durch den Hersteller. Alle Punkte müssen für den Adressaten nachvollziehbar sein, effektiv kommuniziert werden und sind für Medizinprodukte-Hersteller verbindlich.

3. Cybersecurity: Empfehlungen für alle Betriebsarten

  • Durch die zunehmende Vernetzung ist es notwendig, alle Schnittstellen eines Produkts und die damit einhergehende Gefahrenquelle zu identifizieren. Dementsprechend lassen sich für netzwerkfähige Medizinprodukte zwei Empfehlungen geben: Zum einen müssen alle Schnittstellen dokumentiert und zum anderen der potenziell schwerwiegendste Schadensfall durch einen Angriff bestimmt werden.
  • Nach Identifikation der Gefahrenquellen werden folgend, relevante Produkteigenschaften zur Bekämpfung dieser Schwachstellen herausgearbeitet.

4. Produktkonfiguration

Konfigurationsmöglichkeiten sind maßgebend für die Cyber-Sicherheit. Die Konfiguration verfügt über wichtige Komponenten wie die Steuerung von Sicherheitsmechanismen. In diesem Kontext sollten Hersteller sich vor wichtige Leitfragen stellen. Diese Fragen betreffen Themen wie den Logoff-Prozess, die Verschlüsselung der Weboberfläche, den Schutz vor Manipulation durch Prüfsummen oder Signaturen sowie die Austauschbarkeit von Passwörtern und Zertifikaten.

5. Servicebetrieb für Medizingeräte

Um einen dauerhaften Schutz zu sichern, ist die Wartung der Medizingeräte absolut verpflichtend. Abhängig vom Gerät können Kalibrierungen oder das Aufspielen einer neuen Software notwendig sein.

6. Technische Dokumentation

Die technische Dokumentation dient dem sicheren Einsatz, der dauerhaften Verwendung und Vorbereitung auf Installationen und Konfiguration beim Kunden.

Cybersecurity ist ein ernst zu nehmendes Thema und beschäftigt Experten aller Branchen. Im Life Sciences Bereich ist dieses durch die direkte Vernetzung mit dem Patienten jedoch besonders brisant. Ausgebildetes Fachpersonal und außerordentliche IT-Talente werden händeringend gesucht. Durch die Schnelllebigkeit des Internets der Dinge können die eigenen Ideen und Ansätze schnell eingebracht werden.

Real Life Sciences ist mit über 10 Jahren Erfahrung fester Bestandteil des Marktes und berät Sie umfassend zu Ihren Karrieremöglichkeiten. Kontaktieren Sie unsere Experten und erhalten Sie exklusiv Ihre persönliche Karriereberatung. Um Sie schnellstmöglich und kompetent beraten zu können, haben Sie hier vorab die Möglichkeit, Ihren Lebenslauf hochzuladen. Ihr Fach-Berater wird schnellstmöglich mit passenden Angeboten auf Sie zukommen. 

Der Real Life Sciences Service Cycle

24 Jun 2020

In der Arbeitswelt 4.0 müssen Prozesse effizient und ressourcenschonend sein. Die Personalbeschaffung wird daher zunehmend ausgelagert und Unternehmen bedienen sich vermehrt den Services unserer Personalberatung. Wir informieren Sie in diesem Artikel ausführlich über unsere Services – unser Versprechen an Sie.

Ein Ausblick auf die neue alte Arbeitswelt 

12 Mai 2020

In der aktuellen Arbeitswelt 4.0 stehen die Digitalisierung und damit auch flexible Arbeitsmodelle im Vordergrund. In unserer “So arbeitet Deutschland”-Studie gaben die Befragten Arbeitnehmer an, dass lediglich 12 Prozent der Arbeit im Homeoffice erledigt wird. Bei Ausbruch der Corona-Pandemie standen damit viele Unternehmen vor der Herausforderung, großflächig auf Homeoffice umzurüsten.

Jobprofil Quality Assurance Manager: Alles was Sie wissen müssen

13 Jul 2020

Qualitätsmanagement ist für Unternehmen weltweit ein wichtiger Bereich, um die eigenen Qualitätsstandards nach innen und außen sicherzustellen. Ein Quality Assurance Manager sorgt dafür, dass Vorgaben zur Qualität von Service, Prozessen, Produkten oder Dienstleistungen sichergestellt ist. Hier haben wir alle wichtigen Informationen zu dieser Jobposition für Sie zusammengestellt.

Digitalisierung: Wie sollten Unternehmen umdenken?

04 Jun 2020

Beim Stichwort „Digitalisierung“ denken wir allzu schnell an Technik. Doch hinter dem viel genutzten Schlagwort verbergen sich viele Einzelaspekte, die Unternehmen für eine erfolgreiche digitale Transformation berücksichtigen sollten. Das Schwerste daran: Digitalisierung erfordert ein Umdenken. Wir zeigen Ihnen die zentralen Stellschrauben.