ZUSAMMENFASSUNG DER WESENTLICHEN PUNKTE DURCH EMERGO:

• US-Behörden und Einkaufsorganisationen im Gesundheitswesen fordern bessere Verschlüsselung bei Medizinprodukten.
• Die Einhaltung des Federal Information Processing Standard (FIPS) 140-2 wird zur angemessenen Verschlüsselung empfohlen.
• Die Compliance mit FIPS 140-2 sollte am besten früh in der Entwicklungsphase von Medizinprodukten berücksichtigt werden.

Da Cybersicherheitslücken ein immer dringenderes Problem für die Medizinproduktebranche darstellen, wird Verschlüsselung zu einer wichtigen Maßnahme. In den USA kann die Einhaltung des Standards FIPS 140-2 bei vernetzten Produkten und Software eine ausreichende Verschlüsselung bieten, um Patienten und Nutzerdaten zu schützen.

Unten beantworten wir mehrere häufig gestellte Fragen zum FIPS 140-2 und zur Anwendung von Verschlüsselung bei Medizinprodukten.

Definition von Verschlüsselung

Verschlüsselung wird allgemein als eine geheime Umwandlung von Daten unter Verwendung eines Verschlüsselungsschlüssel definiert, um lesbare Daten in eine unlesbare Form zu konvertieren. Verschlüsselung verschleiert Daten, um deren Enthüllung, Diebstahl oder Missbrauch zu verhindern.

Wie wird Verschlüsselung bei Medizinprodukten angewandt?

Bei Medizinprodukten ist eine Verschlüsselung notwendig, um die Privatsphäre und Sicherheit der Patienten zu schützen. Deshalb hat die US FDA Leitlinien für die Cybersicherheit von Medizinprodukten vor der Markteinführung  und nach der Markteinführung (beide auf Englisch) veröffentlicht, in denen sie den Einsatz von Verschlüsselung empfiehlt, um eine sichere Datenübermittlung für vernetzte Produkte sicherzustellen.

Was ist FIPS 140-2?

FIPS 140-2 ist US-Standard für die Informationsverarbeitung, der vom National Institute of Science and Technology (NIST) entwickelt wurde. FIPS 140-2 definiert die Qualität der Verschlüsselung und enthält Vorgaben zur Implementierung der Verschlüsselung in Medizinprodukten und anderen Produkten. Diese Vorgaben sollen den Schutz der Daten sicherstellen, wenn das Produkt unbenutzt ist und wenn Daten vom Produkt empfangen oder gesendet werden.

Wann müssen Medizinprodukte FIPS 140-2 einhalten?

Die Compliance mit FIPS 140-2 ist ein möglicher Weg zum Nachweis der sicheren Verschlüsselung, den viele Einkäufer wie Krankenhäuser und Kliniken verlangen. Die US Veterans Health Administration (VA) verlangt zum Beispiel die Compliance mit FIPS 140-2 bei allen Medizinprodukten und Software, die Daten über drahtlose Technologien übermitteln. Da die VA eine der größten Gesundheitsorganisationen in den USA ist, ist die Einhaltung von FIPS 140-2 für alle Hersteller Pflicht, die mit der Behörde Geschäfte machen wollen.

Was muss bei der Implementierung von FIPS 140-2 bei Medizinprodukten beachtet werden?

Hersteller von Medizinprodukten, die die Vorgaben des FIPS 140-2 einhalten wollen, sollten die folgenden Punkte beachten:

• Der Standard sollte früh in der Entwicklungsphase des Produkts berücksichtigt werden, um sicherzustellen, dass alle für die Verschlüsselung verwendeten Komponenten die Leistungsvorgaben einhalten.
• Hersteller müssen möglicherweise bestimmte Designmerkmale beachten, wie zum Beispiel die Manipulationssicherheit des Produkts, die von den Software- oder Hardware-Komponenten des Produkts unabhängig ist.
• Wie bei der Norm IEC 60601 können Produkte nach Abschluss des Designs nur schwer und unter einem hohen Kostenaufwand für die Compliance mit FIPS 140-2 nachgerüstet werden.

Haltung der US FDA gegenüber FIPS 140-2 und Verschlüsselung bei Medizinprodukten

Obwohl die US-Behörde derzeit die Einhaltung des FIPS 140-2 noch nicht verlangt, ist es wahrscheinlich, dass die FDA in Zukunft mehr Augenmerk auf die Cybersicherheit von drahtlosen oder vernetzten Produkten legt.

„Die FDA hat mehrere Anfragen nach Zusatzinformationen als Reaktion auf neue 510(k)-Anträge für vernetzte Produkte gestellt, in denen sie mehr Daten zur Software-Qualität und Sicherheit anfordert“, meint Laura Élan, Leiterin für digitale Gesundheit und Cybersicherheit bei UL. 

Élan fügt hinzu, dass mehr und mehr Einkaufsorganisationen in Krankenhäusern und anderen großen Gesundheitsdienstleistern detaillierte Nachweise zur Sicherheit und Verschlüsselung anfordern.

Weitere Ressourcen zur Cybersicherheit von Emergo:

• Unterstützung in Bezug auf die Cybersicherheit für vernetzte Medizinprodukte und Software
• Beratungsleistungen in Bezug auf drahtlose Vernetzung von Medizinprodukten
• Unterstützung beim Designprozess und bei der Softwarevalidierung für Medizinprodukte
• Webinar (auf English): Cybersicherheits-Normen und Richtlinien der US FDA