Cybersecurity: Anforderungen an Medizinprodukte

Immer mehr Geräte und Prozesse im Gesundheitswesen werden digitalisiert. Längst übertragen Herzschrittmacher und Insulinpumpen Patientendaten per WLAN, OP-Roboterarme werden über eine Steuerkonsole gelenkt und sämtliche Patienten- sowie Mitarbeiterdaten im System angelegt und gespeichert. Diese Umstellung bietet der Cyberkriminalität eine breite Angriffsfläche. Schlagzeilen wie „Medizinische Geräte im Visier von Hackern“ oder „Hacker-Angriff auf Krankenhaus“ überbringen mittlerweile keine wirklichen Neuigkeiten mehr. In einer Umfrage gaben ganze 25 % der Befragten aus dem Bereich Healthcare an, bereits Opfer einer Cyberattacke geworden zu sein und die durch Cyberkriminalität entstandenen Kosten beliefen sich im Jahr 2017 deutschlandweit auf ca. 71,8 Millionen Euro.

Die wohl bekanntesten Vorfälle im deutschen Raum in Form von Cyberattacken ereigneten sich bisher auf Krankenhäuser. Beispielsweise haben Hacker über den E-Mail-Server eine Ransomware in das Klinikum Neuss in Nordrhein-Westfalen eingeschleust. Drastische Folgen hatte auch der Angriff Ende letzten Jahres auf ein oberbayerisches Klinikum in Fürstenfeldbruck, bei welchem ein Virus den kompletten Betrieb lahmlegte. Notfallpatienten wurden verlegt und Krankenwagen durften die Klinik nicht mehr anfahren. Unternehmen, Regierung aber auch die Bürger sind zu gleichermaßen sensibilisiert. Man ist sich der Gefahr mangelnder Sicherheitsmaßnahmen in vielen IT-Systemen bewusst und so wurden 2017 neue Anforderungen an die Cybersecurity in die Medical Device Regulation aufgenommen. Doch die Maßnahme beruhigt die Deutschen nicht, einer PWC-Studie zufolge, gaben 28 % der Deutschen an, einen Ausfall der Computersysteme während eines Krankenhausaufenthaltes zu befürchten.

Medizingeräte im Visier von Hackern

Doch nicht nur Krankenhäuser stehen im Visier der Hacker, auch Medizingeräte werden vermehrt zur Zielscheibe. Experten weisen immer wieder auf die weitreichenden Sicherheitslücken hin, doch entsprechende Maßnahmen fehlten bislang. Zwei US-Forscher nahmen dies zum Anlass und entwickelten eine sogenannte Killer-App mittels derer, das Fernsteuern von Insulinpumpen möglich ist. Durch einen einfachen Knopfdruck kann so eine Überdosierung oder die Verweigerung des lebenswichtigen Medikaments gesteuert werden. Ihr Exempel statuierten die Forscher zum einen, um das Bewusstsein der realen Bedrohung zu wecken und zum anderen um die Hersteller solcher Geräte zum Handeln zu zwingen.

Die Cybersecurity-Anforderungen korrelieren mit dem technischen Fortschritt. Durch die zunehmende Vernetzung von Medizinprodukten gibt es entsprechend viele Endpunkte für eine Cyberattacke und mit jeder neuen Entwicklung kommt ein neuer Angriffspunkt hinzu, wie die folgende Grafik veranschaulicht. Beliebte Ziele sind jedoch ältere Gerätschaften. Die Betriebssysteme der kostenintensiven Medizingeräte sind aufgrund des langen Lebenszyklus oftmals stark veraltet. Remote-Updates sind somit nur schwer möglich und bieten nicht den notwendigen Schutz, um ein Eingreifen Dritter zu verhindern.

Quelle: Zvei - Die Elektroindustrie

Ein Cyberangriff lässt sich in drei Dimensionen einteilen

Erstens kann die Verfügbarkeit und somit die Funktionsfähigkeit der Geräte angegriffen werden. Ein bekanntes Beispiel dafür, ist die sogenannte Ransomware die, wie im Zwischenfall oben geschildert, per Mail in ein Netzwerk eingeschleust wird. Die Schadprogramme verschlüsseln Rechner eines Netzwerks und machen die betroffenen Geräte funktionsunfähig. Dieses Vorgehen legt den Hackern die Grundlage, um später Lösegeld für die Entschlüsselung der Geräte zu erpressen.

Zweitens kann aufgrund von Datendiebstahl die Vertraulichkeit beschädigt werden. Dies betrifft interne- wie externe Datensätze wie beispielsweise Gehaltsabrechnungen, Lieferantenverträge sowie sensible Patientendaten. Vor allem Patientendaten sind im Kontext mit Big Data gewinnbringend und werden von Cyberkriminellen oft teuer verkauft.

Drittens kann die Integrität betroffen sein. Über einen Systemeingriff können Hacker Datensätze verändern und manipulieren. Theoretisch kann so beispielsweise auf Patientenakten zugegriffen und die hinterlegte Medikation verfälscht werden. Folge dessen wäre eine Fehlbehandlung, die schwerwiegende Konsequenzen haben könnte.

______________________________________________________________________________________________________

Sie sind IT-Experte und möchten zum Schutz von Patienten und Personal beitragen? Unsere Berater helfen Ihnen sich optimal auf dem Markt zu platzieren und Ihr volles Potenzial auszuschöpfen!

Kontakt

______________________________________________________________________________________________________

Cybersecurity-Anforderungen für Medizinprodukte

Das Bundesamt für Sicherheit in der Informationstechnik hat einen Leitfaden mit Empfehlungen, Leitlinien für Schutzmaßnahmen und runtergebrochenen Leitfragen zur Sicherung vor Cyberkriminalität in Bezug auf Medizinprodukte veröffentlicht. Folgend haben wir die wichtigsten Punkte übersichtlich für Sie zusammengestellt.

1. Product Lifecycle

Schwachstellen durch die langen Lebensdauern der Medizingeräte sollen durch den Einsatz eines sicheren Entwicklungszyklus geschlossen werden. Durch die Klärung verschiedenster Fragen des Leitfadens können so präventiv alle notwendigen Schritte zur Sicherung der Geräte eingeleitet werden.

2. Nachvollziehbare und effektive Kommunikation

Sicherheitslücken von IT-Produkten werden regelmäßig publiziert. In solch einem Fall ist der Hersteller in der Verantwortung, eventuelle Folgen umgehend und offen an die Käufer zu kommunizieren. Er muss ebenfalls einen entsprechenden Patch zur Verfügung stellen, um die Fehler schnell zu dokumentieren und entsprechend beheben zu können. Wichtig in solch einem Fall ist die Kommunikation von Maßnahmenempfehlungen durch den Hersteller. Alle Punkte müssen für den Adressaten nachvollziehbar sein, effektiv kommuniziert werden und sind für Medizinprodukte-Hersteller verbindlich.

3. Cybersecurity: Empfehlungen für alle Betriebsarten

Durch die zunehmende Vernetzung ist es notwendig, alle Schnittstellen eines Produkts und die damit einhergehende Gefahrenquelle zu identifizieren. Dementsprechend lassen sich für netzwerkfähige Medizinprodukte zwei Empfehlungen geben: Zum einen müssen alle Schnittstellen dokumentiert und zum anderen der potenziell schwerwiegendste Schadensfall durch einen Angriff bestimmt werden.
Nach Identifikation der Gefahrenquellen werden folgend, relevante Produkteigenschaften zur Bekämpfung dieser Schwachstellen herausgearbeitet.

4. Produktkonfiguration

Konfigurationsmöglichkeiten sind maßgebend für die Cyber-Sicherheit. Die Konfiguration verfügt über wichtige Komponenten wie die Steuerung von Sicherheitsmechanismen. In diesem Kontext sollten Hersteller sich vor wichtige Leitfragen stellen. Diese Fragen betreffen Themen wie den Logoff-Prozess, die Verschlüsselung der Weboberfläche, den Schutz vor Manipulation durch Prüfsummen oder Signaturen sowie die Austauschbarkeit von Passwörtern und Zertifikaten.

5. Servicebetrieb für Medizingeräte

Um einen dauerhaften Schutz zu sichern, ist die Wartung der Medizingeräte absolut verpflichtend. Abhängig vom Gerät können Kalibrierungen oder das Aufspielen einer neuen Software notwendig sein.

6. Technische Dokumentation

Die technische Dokumentation dient dem sicheren Einsatz, der dauerhaften Verwendung und Vorbereitung auf Installationen und Konfiguration beim Kunden.

Cybersecurity ist ein ernst zu nehmendes Thema und beschäftigt Experten aller Branchen. Im Life Sciences Bereich ist dieses durch die direkte Vernetzung mit dem Patienten jedoch besonders brisant. Ausgebildetes Fachpersonal und außerordentliche IT-Talente werden händeringend gesucht. Durch die Schnelllebigkeit des Internets der Dinge können die eigenen Ideen und Ansätze schnell eingebracht werden.

Real Life Sciences ist mit über 10 Jahren Erfahrung fester Bestandteil des Marktes und berät Sie umfassend zu Ihren Karrieremöglichkeiten. Kontaktieren Sie unsere Experten und erhalten Sie exklusiv Ihre persönliche Karriereberatung. Um Sie schnellstmöglich und kompetent beraten zu können, haben Sie hier vorab die Möglichkeit, Ihren Lebenslauf hochzuladen. Ihr Fach-Berater wird schnellstmöglich mit passenden Angeboten auf Sie zukommen.

Datenschutz in der Gesundheitsbranche

06 Mai 2019

Seit dem 25. Mai 2018 gilt auch für die europaweite Gesundheitsbranche die EU-Datenschutz-Grundverordnung (DSGVO). Im Gesundheitswesen ist ein geeignetes Datenschutzkonzept für jedes Krankenhaus und jede Arztpraxis unerlässlich. Doch was gilt es zu beachten und was ändert sich für die Patienten?

Gesundheitsförderung am Arbeitsplatz

18 Jun 2019

Heutzutage verbringen Arbeitnehmer einen Großteil ihrer Zeit an ihren Arbeitsplätzen. Im folgenden Artikel erfahren Sie alles Wichtige über die betriebliche Gesundheitsförderung, die relevantesten Handlungsfelder und die Vorteile der Gesundheitsförderung.

Innovation der Medizintechnik – 3D-Druck

27 Feb 2019

Der 3D-Druck ist ein innovatives Fertigungsverfahren zur Herstellung von Modellen, Mustern, Prototypen, Werkzeugen und Endprodukten in der Industrie, im Modellbau und in der Forschung. Zu den ersten Anwendungsbereichen dieser Technologie zählt vor allem die Medizintechnik.

Real Staffing – die Gehaltsumfrage 2019 startet

15 Apr 2019

ir bei Real glauben daran, dass Sie als Teil der Life Sciences Branche einen Eindruck von dem Wert Ihrer täglichen Arbeit bekommen sollten. Deshalb haben wir uns dafür entschieden, unsere Gehaltsumfrage neu durchzuführen, um Ihnen die aktuellsten Informationen liefern zu können.