News

28.06.2019

ZVEI-Stellungnahme zu potenziell gefährlichen Manipulationen an Bildern und der Verbreitung von Schadsoftware

In der letzten Zeit sind Berichte veröffentlich worden, in denen DICOM eine Rolle bei der Verbreitung von potenziell gefährlichen Manipulationen an Bildern und der Verbreitung von Schadsoftware haben kann. Tatsächlich sind die meisten Szenarien aus rein technischer Sicht vorstellbar, basieren jedoch regelmäßig auf dem Zusammenspiel abgestimmter Manipulation an mehreren Stellen.

Angesichts der Verunsicherung, die solche Berichte auslösen, ist folgendes festzuhalten: 

 

1.Manipulationen an Dateien, Datensätzen und Nachrichten außerhalb des einzelnen Medizingeräts kann dessen Herstellers nicht ver- oder beantworten.  Es ist also im Einzelfall zu hinterfragen, wie der „Angreifer“ Zugang zu Arbeitsplätzen und Dateien des IT-Netzwerks bekam.

 

2.Unmittelbare, lokale  Bedienungen eines Medizingeräts (auch mit schädlicher Absicht) können im Hinblick auf dessen Verfügbarkeit im Notfall aus Sicht des Herstellers immer nur als „autorisierter Zugriff“ bewertet werden. Üblicherweise können Plausibilitätsprüfungen zwar zu Benachrichtigungen führen, während jedoch eine Blockade der wesentlichen medizinischen Funktionen (bei unplausiblen Betriebsparametern) im Gegenzug die Verfügbarkeit des Medizingeräts beeinträchtigen könnte. 

 

3.Grundsätzlich ist zu beachten, dass sowohl aus gesetzlicher Sicht wie auch aus Anwendersicht die Verfügbarkeit und Gefährdungsfreiheit des Medizingeräts an oberster Stelle steht. Es ist daher im Einzelfall abzuwägen, ob Maßnahmen gegen einen theoretischen Angriff, der mit einfachen Mitteln anderweitig erkannt würde, nicht die Verfügbarkeit oder die Gefährdungsfreiheit in unvertretbarem Maß einschränken würden.

 

4.In der bisherigen Beobachtung tatsächlicher IT-Zwischenfälle mit Medizingeräte sind KEINE zielgerichteten Angriffe gegen bestimmte Personen noch gegen die medizinspezifische Software oder Implementierungen in Medizingeräten bekannt geworden. Vielmehr wurden allgemein sichtbare Schwachstellen verbreiteter Standardsoftware angegriffen.

 

5.Das Umgehen oder Eliminieren bestehender IT-Absicherungen stellt in den geschilderten Vorfällen ein wichtiges Element dar. Dies zeigt, dass technische Maßnahmen durch unkoordinierten Betrieb  oder unberechtigte Bedienung immer umgangen werden können. Deshalb sollte der Fokus auf der Umsetzung  organisatorischer Maßnahmen sowie auf der Verantwortung des IT-Netzwerkbetreibers liegen. Die Konsequenzen der Entfernung von IT-Absicherungen am vernetzten Medizingerät liegen im Verantwortungsbereich des jeweiligen Betreibers. 

 

Fazit: 

 

A.)Der Fachverband Elektromedizinische Technik des ZVEI ist der Meinung, dass die ausgewogene Umsetzung der medizintechnischen Schutzziele (nämlich: Gefährdungsfreiheit, Verfügbarkeit und Informationssicherheit) einen großen Beitrag daran hat, dass in Deutschland die medizinische Diagnostik auf Weltklasse-Niveau ist und allen Patienten zur Verfügung steht. Die Abwägung der Schutzziele übernimmt der jeweilige Hersteller im Hinblick auf die Einsatzumgebung und die Zweckbestimmung. Eine einseitige, extern vorgegebene  Fokussierung auf lediglich eines dieser Ziele hätte aus Sicht der medizinischen Versorgung erhebliche Nachteile. 

 

B.)Die Berichterstattung über mögliche Angriffsmöglichkeiten ist wichtig. Die daraus resultierende Diskussion sollte die Aufmerksamkeit der Betreiber und Hersteller auf wirksamere Sicherheitsmaßnahmen lenken. Der ZVEI Fachverband Elektromedizinische Technik fördert durch Konferenzen und Positionspapiere seit einigen Jahren die angemessene technische UND organisatorische Absicherung vernetzter Medizingeräte.

 

C.)Nicht nur die Herstellung, auch der Betrieb von vernetzten Medizingeräten und der zugehörigen IT-Netzwerke muss den einschlägigen Verfahren für Informationssicherheit folgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Grundschutzkatalog den Stand der Technik festgelegt und alle Spezifikationen kostenlos bereitgestellt.

 

Weitere Informationen liefern u. a. die BSI Empfehlungen zur Handhabung von Schwachstellen oder Kapitel 

2.2 der „Cybersicherheitsanforderungen für netzwerkfähige medizinische Geräte“, das sich auf die verstärkte Offenlegung koordinierter Sicherheitslücken fokussiert. Auch gilt die Empfehlung der niederländischen NCSC als eine der besten in diesem Bereich. Darüber hinaus ist der CVD-Prozess* in den Normen ISO / IEC 29147 und 30111 dokumentiert. 

 

*CVD = Coordinated Vulnerability Disclosure, „abgestimmte Offenlegung von Sicherheitslücken“

Elektromedizinische Technik

Das könnte Sie ebenfalls interessieren:

Weiterführend
Meistbesuchte Seiten

Publikationen

Mehr

Industrie

Mehr

Mobilität

Mehr

Energie

Mehr

Gesundheit

Mehr
 
Wir sind die Elektro- und Digitalindustrie

Unsere Vision ist die All-Electric-Society. Unsere Mission: Gemeinsam treiben wir als ZVEI mit unseren Mitgliedern aus der…

Zum Video

 

Video on demand

Jahresauftakt-Pressekonferenz

Das Jahr 2021 ist für die Elektro- und Digitalindustrie insgesamt sehr erfolgreich gewesen.

 

Watts On

Telemedizin: Muss ich noch zum Arzt?

Videokontrolle beim Zahnarzt und Fern-OP: Durch den Fortschritt der Technologie können in der Medizin Operationen von Tausenden…

Watts On

Klimafreundliche Jobs der Zukunft

Immer mehr Menschen benutzen öffentliche Verkehrsmittel oder essen weniger tierische Produkte, um die Umwelt zu schützen. Können…

Watts On

Das doppelte Leben unserer Elektronik

Wir werfen weltweit jährlich 53,6 Millionen Tonnen Elektrogeräte weg. Wie können wir das ändern? In einer neuen Folge Watts On…