ZUSAMMENFASSUNG DER WESENTLICHEN PUNKTE DURCH EMERGO:

• Das Risikomanagement in Bezug auf die Cybersicherheit von Medizinprodukten muss Hersteller, Behörden und Endanwender einbinden, damit es wirksam ist.
• Das Verständnis, wie ein Produkt in ein breiteres Gesundheitsnetz passt, ermöglicht ein besseres Verständnis möglicher Sicherheitslücken.
• Kleinere Gesundheitsdienstleister mit geringeren Ressourcen werden großteils in Bezug auf Tools zum Cybersicherheits-Risikomanagement für Medizinprodukte vernachlässigt.

Die Minderung möglicher Cybersicherheitsrisiken bei Medizinprodukten hängt davon ab, ob Interessenvertreter die Sicherheit, den Schutz und die Benutzerfreundlichkeit erfolgreich ausbalancieren können. Außerdem ist ein Verständnis der Endanwender-Umgebung notwendig, so die Vortragenden bei einem Workshop der US Food and Drug Administration.

Am ersten Tag des FDA-Workshops Cybersecurity von Medizinprodukten: eine regulatorische Analyse der Sicherheitslücken (Link auf Englisch) wurde illustriert, dass nur gemeinsame Bemühungen von Herstellern, Gesundheitsdienstleistern und anderen Endanwendern und den Behörden beim Kampf gegen Cyberangriffe wirksam sind. (Der jüngste WannaCry-Ransomware-Angriff auf Gesundheitssysteme auf der ganzen Welt stärkte die Bedeutung des Workshops. Abgesehen von Krankenhausnetzwerken waren auch einige Medizinprodukte von Herstellern wie Siemens und Bayer ebenfalls vom Virus befallen.)

Krankenhäuser: Mikrokosmos für Cybersicherheitsrisiken

Ein wesentlicher Punkt des ersten Workshop-Tags befasste sich damit, dass die Risikominderung von Herstellern, die Medizinprodukte entwickeln und herstellen, und Gesundheitsnetzwerken, in denen die Produkte nicht nur zur Behandlung eingesetzt werden, sondern auch in Netzwerke zusammen mit anderen Produkten und Technologien eingebettet sind, gemeinsam betrieben werden muss.

„Wenn Sie ein Krankenhaus besucht haben, haben Sie nur ein Krankenhaus besucht“, argumentierten Penny Chase, zuständig für die IT- und Cybersicherheitsintegration, und Steve Christey Coley, leitender Ingenieur für Informationssicherheit, beide von der MITRE Corporation.  Die Herausforderung für einzelne Interessenvertreter – Forscher, Hersteller, Krankenhäuser, Patienten und Behörden – sei eine Minderung der Cybersicherheitsrisiken auf eine solche Weise, dass auch andere Interessenvertreter davon profitieren, meinten Chase und Christey Coley.

Kevin McDonald, Leiter für klinische Informationssicherheit an der Mayo-Klinik, betonte noch stärker, dass die einzigartigen Vernetzungen von Geräten und Technologien einer bestimmten Gesundheitseinrichtung eine inhärente Herausforderung in Bezug auf die Sicherheit darstellen. Im Fall der Mayo-Klinik sind laut McDonald Medizinprodukte das schwächste Glied in der Sicherheitskette: Mayo hat ungefähr 25.000 miteinander verbundene Produkte, von denen viele eigene Herausforderungen in Bezug auf die Sicherheit des Netzwerks der Klinik darstellen.

McDonald managt Mitarbeiter, die die Produkte patchen, aktualisieren und wenn notwendig austauschen. In der Klinik wird nun für alle neuen Produkte, die zum Netzwerk hinzugefügt werden sollen, ein umfangreicher Prozess bei der Einbindung durchgeführt. Er merkt jedoch an, dass viele Gesundheitseinrichtungen in den USA jedoch nicht über die umfangreichen Ressourcen der Mayo-Klinik verfügen, was eine Minderung der Cybersicherheitsrisiken erschwert.

Eine Skalierung von Werkzeugen zum Management der Cybersicherheit, sodass sie auch von kleineren Gesundheitseinrichtungen verwendet werden können, steht weiterhin aus, so der leitende Entwickler von Adventium Labs, Todd Carpenter.

„Achtzig Prozent“ der Krankenhäuser und Kliniken in den USA haben „50 Mitarbeiter oder weniger“, meinte Carpenter und fügte hinzu, dass die meisten dieser Einrichtungen keine oder nur wenige Mitarbeiter im Bereich Sicherheit haben. „Wir benötigen Lösungen, die von allen diesen Organisationen verwendet werden können.“

Sicherung von Produkten: Herausforderungen

Die Schwachstelle, die McDonald von der Mayo-Klinik beschrieb, spiegelt die Herausforderungen wider, vor denen Hersteller bei der Entwicklung von Produkten stehen, die in den unterschiedlichsten Umgebungen richtig funktionieren sollen.

Ken Hoyme, Leiter für Produkt- und Systemsicherheit bei Boston Scientific, listete mehrere wesentliche Faktoren auf, die Hersteller und Kunden bei der Vermeidung oder Minderung von Cybersicherheitslücken berücksichtigen sollten:

• Skalierbarkeit: Ist Ihre Sicherheitslösung zu komplex, um auch von kleineren Einrichtungen, das heißt, von den meisten Einrichtungen verwendet zu werden?
• Kenntnis des Bestands: Welche Software von Drittanbietern setzen Sie ein und stellt diese ein Sicherheitsproblem dar?
• „Zusammensetzbarkeit“: Können Sie ein sicheres System aus unsicheren Komponenten bauen? Einzelne Produkte werden unabhängig voneinander entwickelt, geprüft und zugelassen – wie bewerten Sie die Sicherheit eines Produkts, das als Teil eines Netzwerks aus Produkten arbeitet?

Hoyme wies außerdem darauf hin, dass der breite Einsatz von kommerzieller Software und Betriebssysteme mit Lebenszyklen zwischen drei und sieben Jahren bei Medizinprodukten, die üblicherweise eine Lebensdauer zwischen 10 und 15 Jahren haben, ein wesentliches Sicherheitsrisiko darstellt. Stattdessen sollten Hersteller längerfristige Betriebssysteme in ihren Produkten einsetzen, um Updates und Patches zu minimieren.

Es werden weitere Berichte von Emergo über den Workshop folgen.

Weitere Leistungen und Ressourcen von Emergo:

• Beratungsleistungen für Medizinprodukte-und IVD-Unternehmen zu FDA-Vorschriften
• Beratung zum Risikomanagement für Medizinprodukte nach ISO 14971
• Whitepaper (auf Englisch): FDA-Vorschriften in Bezug auf Cybersicherheit für Medizinprodukte