ZVEI-Kampagne Cybersicherheit in der Medizintechnik

Der ZVEI gestaltet aktiv das Thema Cybersicherheit in der Medizintechnik. Sachgerechte Lösungen werden u.a. in ZVEI-Positionspapieren wie „Medizintechnik braucht Cybersicherheit" thematisiert. Speziell im Bereich Cybersicherheit hat der ZVEI das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv dabei unterstützt, eine Empfehlung für „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte" zu entwickeln, welche im Mai 2018 veröffentlicht wurde. Diese BSI-Empfehlung soll Hersteller von netzwerkfähigen Medizinprodukten, flankierend zu den regulatorischen Vorgaben, bei der Implementierung und Aufrechterhaltung eines angemesseneren Cybersicherheitsniveaus nach dem Stand der Technik unterstützen. 

Parallel dazu hat der ZVEI einen Austausch mit dem BSI sowie weiteren Verbänden von Industrie und Anwendern ins Leben gerufen, um ein koordiniertes Vorgehen für mehr Cybersicherheit im deutschen Gesundheitssystem zu erreichen. Zunächst unter dem Titel "Strategiegespräch Cybersicherheit Medizintechnik" entstanden, hat sich daraus der “Expertenkreis CyberMed” innerhalb der Allianz für Cybersicherheit gegründet. Der Expertenkreis bildet die zentrale Anlaufstelle für Hersteller und Anwender bei Fragen rund um Cybersicherheit für Medizintechnik.

Bei dem MDS2-Formblatt handelt es sich um einen umfassenden Fragenkatalog zu Cybersicherheitsaspekten von Medizinprodukten mit breiter Akzeptanz und praktischer Relevanz. Daher bietet es eine bisher nicht dagewesene Vergleichbarkeit von Sicherheitseigenschaften verschiedener Produkte und/oder unterschiedlicher Hersteller einer Geräteklasse. Bei dem MDS2 handelt es sich um ein freiwilliges Dokument, das nicht Bestandteil der gesetzlich verpflichtenden Unterlagen ist.

Als maschinenlesbares und standardisiertes Dokument erleichtert das MDS2 die Kommunikation zwischen Herstellern und Betreibern. Mit dem MDS2 können Hersteller die Betreiber in strukturierter Form über (cyber-)sicherheitsrelevante Merkmale und Funktionen ihrer Geräte informieren. Dadurch können Betreiber einen sicheren Betrieb besser realisieren, da sie die möglichen Cyber-Risiken von vernetzten Medizinprodukten, in Bezug auf Informationssicherheit und Einsatzumgebung, gerätespezifisch beurteilen können. Zudem kann die operative Sicherheit in der Einsatzumgebung des Betreibers proaktiv unterstützt werden, indem MDS2 regelmäßig durch den Hersteller aktualisiert und dies auch kommuniziert wird. Das MDS2-Formular kann sowohl im Beschaffungsprozess als auch bei der Umsetzung von Cybersicherheitskonzepten in Gesundheitseinrichtungen eingesetzt werden.

Der Gesetzgeber muss sicherstellen, dass alle Beteiligten im Gesundheitssystem, insbesondere Hersteller und Betreiber, Klarheit haben bezüglich der Verantwortlichkeit, die sie für einen sicheren Betrieb haben. KRITIS und die EU-DSGVO haben insofern einen wichtigen Beitrag zum Sicherheitsbewusstsein geleistet. 

Durch die rasante Weiterentwicklung der IT-Landschaften in Kliniken, immer neue Cyberbedrohungen und entsprechende Gegenmaßnahmen im Bereich der IT Security, kann nur ein zeitnaher, breiter Dialog und eine praktische anwendbare Gesetzgebung zu mehr Sicherheit führen. Initiativen wie die des ZVEI sind schneller und einfacher umzusetzen, als Gesetzgebung und Normung. Die Politik sollte der „Guidance“ mehr Gewicht verleihen und die entsprechenden unabhängigen Plattformen schaffen. 

Der ZVEI organisiert seit einiger Zeit einen Austausch zwischen Herstellern, Betreibern und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Cybersicherheit von netzwerkfähigen Medizinprodukten. Der Dialog zwischen Herstellern, Betreibern und dem Gesetzgeber ist dringend notwendig, um Grauzonen in den Verantwortlichkeiten zu erkennen und zu adressieren. 

IT-Sicherheit ist aber vor allem eine Frage von Ressourcen, also Geld und Personal. Die Politik sollte deshalb sicherstellen, dass Gesundheitseinrichtungen in Deutschland ausreichende Mittel für die IT-Sicherheit zur Verfügung stehen.

Aus den anwendbaren Normen von Qualitäts- und Risikomanagement in der Medizintechnik können im Hinblick auf Informationssicherheit die folgenden Aufgaben abgeleitet werden:

1. Sichere Werkzeuge, Umgebung, Kommunikation in Entwicklung und Beschaffung
2. Entwicklungs- und Produktionsprozesse, die zu sicheren Medizinprodukten führen
3. Die Medizingeräte müssen Sicherheitsfunktionen implementieren, z.B. Verschlüsselung, Zugriffsschutz, Signatur, Virenschutz
4. Technische Dokumentation der Anforderungen für sichere Konfiguration und Betrieb
5. Sicherstellen, dass das Medizinprodukt dauerhaft aktuell gehalten werden kann

Damit medizintechnische Geräte und Software innerhalb des Krankenhauses sicher Daten austauschen und ihre Funktion erfüllen können, muss die Absicherung des IT-Netzes im Krankenhaus höchste Priorität haben. Dafür braucht es ein umfassendes Sicherheitskonzept für das eigene Netzwerk und die darin betriebenen IT-Systeme und Medizingeräte, aus dem sich strukturelle und organisatorische Maßnahmen ableiten lassen. Eine Unterstützung bieten die ZVEI-Positionspapiere „IT-Sicherheit in Medizintechnik und Krankenhaus-IT“ und „Sichere medizinisches Subnetze“.

Ein wichtiger Baustein des Sicherheitskonzeptes ist ein klar definiertes System von Zugriffs- und Nutzungsrechten. Wichtig ist, dass das Rechtemanagement permanent überwacht wird. Auf ungewöhnliche oder nicht autorisierte Zugriffe auf Daten muss schnell reagiert werden. So können Cyberangriffe erkannt und abgewehrt werden. 

Die wichtigste Voraussetzung für alle Maßnahmen ist ein grundlegendes Bewusstsein der Mitarbeiter für die Gefährdung der eigenen IT-Infrastruktur. 

Nein, wenn Geräte mit aktueller Software verwendet werden und die Vorgaben des Herstellers an den sicheren Betrieb eingehalten werden. 

Selbst im Falle eines realen Cyberangriffs auf das Krankenhaus gibt es für sämtliche OP-Prozeduren risikomindernde Maßnahmen, die sicherstellen, dass Patienten nicht gefährdet werden.

Ganz klare Antwort: Ja! 

Das ist das wesentliche Ziel der Medizingerätegesetzgebung. Die darauf aufbauende CE-Kennzeichnung bestätigt die Sicherheit des Produkts. Wichtig ist aber auch, dass die Vorgaben des Herstellers an den sicheren Betrieb eingehalten werden. 

Für den Einsatz von vernetzten Medizinprodukten im Krankenhaus gelten besondere Bedingungen. Oft ist es so, dass automatische Updates, die die Medizinprodukte sicherer und zuverlässiger machen könnten, erst spät oder verzögert in der Klinik eingesetzt werden können, weil die Freigabeprozesse  komplex und langwierig sind. 

An Medizinprodukte werden hohe gesetzliche Sicherheits- und Qualitätsanforderungen gestellt, die der Hersteller erfüllen muss. Das schließt auch Anforderungen an den sicheren Betrieb in IT-Netzen ein. Bei Software-Updates muss der Hersteller überprüfen, ob sich durch die Anpassung der Software neue Aspekte ergeben, welche die Sicherheit oder den bestimmungsgemäßen Gebrauch des Medizinproduktes verändern. Das gilt auch für Anti-Viren-Software, weil diese möglicherweise die Funktionen des Medizinproduktes beeinflussen kann. Neue Software darf deshalb erst dann auf Medizinprodukte aufgespielt werden, wenn der Hersteller die Software nach einer gründlichen Überprüfung freigegeben hat. Regelmäßige automatische Updates können deshalb hier oft noch nicht zum Einsatz kommen.

Vernetzte Medizingeräte bieten entscheidende Vorteile in der Gesundheitsversorgung. Durch die Vernetzung werden allerdings auch Krankenhäuser zum Ziel von Cyberattacken. Diese Angriffe können sich gezielt gegen medizinische Einrichtungen richten oder diese zufällig treffen. In der Vergangenheit sind deutsche Krankenhäuser bereits mehrfach mit Ransomware angegriffen worden, teilweise mit massiven Folgen für den Betrieb. Dabei kamen zu keiner Zeit Patienten direkt zu Schaden.

Um gegen Angriffe gewappnet zu sein, müssen Betriebs- und Netzwerkumgebung sorgfältig abgesichert werden. Betreiber sind dabei nicht allein in der Verantwortung. Auch Hersteller von vernetzten Medizinprodukten müssen bereits während des Designs mögliche Cybersecurity-Risiken bewerten und entsprechende Maßnahmen zur Risikominimierung implementieren. Die Sicherheit eines IT-Systems gegen Angriffe hängt vom Zusammenspiel einer Vielzahl von Maßnahmen ab. Denn das erforderliche Sicherheitsniveau kann nur erreicht werden, wenn alle Beteiligten ihrer Verantwortung gerecht werden und gemeinsam dran arbeiten, Cybersicherheit zu gewährleisten.