ZVEI-Stellungnahme zu potenziell gefährlichen Manipulationen an Bildern und der Verbreitung von Schadsoftware

Angesichts der Verunsicherung, die solche Berichte auslösen, ist folgendes festzuhalten: 

1.Manipulationen an Dateien, Datensätzen und Nachrichten außerhalb des einzelnen Medizingeräts kann dessen Herstellers nicht ver- oder beantworten.  Es ist also im Einzelfall zu hinterfragen, wie der „Angreifer“ Zugang zu Arbeitsplätzen und Dateien des IT-Netzwerks bekam.

2.Unmittelbare, lokale  Bedienungen eines Medizingeräts (auch mit schädlicher Absicht) können im Hinblick auf dessen Verfügbarkeit im Notfall aus Sicht des Herstellers immer nur als „autorisierter Zugriff“ bewertet werden. Üblicherweise können Plausibilitätsprüfungen zwar zu Benachrichtigungen führen, während jedoch eine Blockade der wesentlichen medizinischen Funktionen (bei unplausiblen Betriebsparametern) im Gegenzug die Verfügbarkeit des Medizingeräts beeinträchtigen könnte. 

3.Grundsätzlich ist zu beachten, dass sowohl aus gesetzlicher Sicht wie auch aus Anwendersicht die Verfügbarkeit und Gefährdungsfreiheit des Medizingeräts an oberster Stelle steht. Es ist daher im Einzelfall abzuwägen, ob Maßnahmen gegen einen theoretischen Angriff, der mit einfachen Mitteln anderweitig erkannt würde, nicht die Verfügbarkeit oder die Gefährdungsfreiheit in unvertretbarem Maß einschränken würden.

4.In der bisherigen Beobachtung tatsächlicher IT-Zwischenfälle mit Medizingeräte sind KEINE zielgerichteten Angriffe gegen bestimmte Personen noch gegen die medizinspezifische Software oder Implementierungen in Medizingeräten bekannt geworden. Vielmehr wurden allgemein sichtbare Schwachstellen verbreiteter Standardsoftware angegriffen.

5.Das Umgehen oder Eliminieren bestehender IT-Absicherungen stellt in den geschilderten Vorfällen ein wichtiges Element dar. Dies zeigt, dass technische Maßnahmen durch unkoordinierten Betrieb  oder unberechtigte Bedienung immer umgangen werden können. Deshalb sollte der Fokus auf der Umsetzung  organisatorischer Maßnahmen sowie auf der Verantwortung des IT-Netzwerkbetreibers liegen. Die Konsequenzen der Entfernung von IT-Absicherungen am vernetzten Medizingerät liegen im Verantwortungsbereich des jeweiligen Betreibers. 

Fazit: 

A.)Der Fachverband Elektromedizinische Technik des ZVEI ist der Meinung, dass die ausgewogene Umsetzung der medizintechnischen Schutzziele (nämlich: Gefährdungsfreiheit, Verfügbarkeit und Informationssicherheit) einen großen Beitrag daran hat, dass in Deutschland die medizinische Diagnostik auf Weltklasse-Niveau ist und allen Patienten zur Verfügung steht. Die Abwägung der Schutzziele übernimmt der jeweilige Hersteller im Hinblick auf die Einsatzumgebung und die Zweckbestimmung. Eine einseitige, extern vorgegebene  Fokussierung auf lediglich eines dieser Ziele hätte aus Sicht der medizinischen Versorgung erhebliche Nachteile. 

B.)Die Berichterstattung über mögliche Angriffsmöglichkeiten ist wichtig. Die daraus resultierende Diskussion sollte die Aufmerksamkeit der Betreiber und Hersteller auf wirksamere Sicherheitsmaßnahmen lenken. Der ZVEI Fachverband Elektromedizinische Technik fördert durch Konferenzen und Positionspapiere seit einigen Jahren die angemessene technische UND organisatorische Absicherung vernetzter Medizingeräte.

C.)Nicht nur die Herstellung, auch der Betrieb von vernetzten Medizingeräten und der zugehörigen IT-Netzwerke muss den einschlägigen Verfahren für Informationssicherheit folgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Grundschutzkatalog den Stand der Technik festgelegt und alle Spezifikationen kostenlos bereitgestellt.

Weitere Informationen liefern u. a. die BSI Empfehlungen zur Handhabung von Schwachstellen oder Kapitel 

2.2 der „Cybersicherheitsanforderungen für netzwerkfähige medizinische Geräte“, das sich auf die verstärkte Offenlegung koordinierter Sicherheitslücken fokussiert. Auch gilt die Empfehlung der niederländischen NCSC als eine der besten in diesem Bereich. Darüber hinaus ist der CVD-Prozess* in den Normen ISO / IEC 29147 und 30111 dokumentiert. 

*CVD = Coordinated Vulnerability Disclosure, „abgestimmte Offenlegung von Sicherheitslücken“