Software, Produkte, User Auswirkungen der Medical Device Regulation auf die Cybersicherheit

Die Medical Device Regulation (MDR) zielt durch die Vorgabe diverser Kriterien generell auf eine höhere Sicherheit und Leistungsfähigkeit medizintechnischer Lösungen ab.

Im engeren Sinne erstreckt sich der Sicherheitsbegriff der medizintechnischen Regelung zunächst natürlich auf die Patienten- beziehungsweise Nutzersicherheit. Doch schließt dies im digitalen Zeitalter zwingend auch den Bereich der Cybersicherheit mit ein. So finden sich in der MDR und deren Anhängen spezielle Vorschriften, die sich auf Softwareanwendungen und die Softwareentwicklung beziehen. Darüber hinaus hat die Medical Device Coordination Group (MDCG) als Expertengremium, das die Europäische Kommission berät, einen dedizierten Leitfaden zur IT-Sicherheit von Medizinprodukten veröffentlicht. Zudem gibt es spezielle Standards, die eine risikobewusste Herstellung medizinischer Software gewährleisten sollen, was wiederrum die Hersteller zu einer Risiko-Nutzen-Abwägung und Risikoreduktion zwingt.

Anhebung der Risikoklassen

Für höhere Cybersicherheit dürfte die MDR im Gesundheitssektor überdies allein schon durch die Anhebung der Risikoklassen vieler Produkte sorgen. Denn damit verpflichtet sie die Hersteller, sich stärker auf das Qualitätsmanagement zu fokussieren – was bei softwaregestützten Angeboten gleichsam automatisch zu einem höheren Cybersecurity-Level führen kann. Hinzu kommt, dass viele bislang nicht auditierte Anwendungen aufgrund der Einstufung in eine höhere Risikoklasse künftig einem Audit unterzogen werden. Auch dies hilft, eventuelle Sicherheitslücken aufzudecken und zu schließen.

Datenschutz als Voraussetzung für digitale Gesundheitslösungen

Anzumerken bleibt, dass bei allen Angeboten, die persönliche Informationen ihrer Nutzer verarbeiten, weitere gesetzliche Vorgaben gelten. Werden beispielweise Puls- und Blutdruckwerte gespeichert oder gar von einer Gesundheits-App in eine Cloud übertragen, greifen Bestimmungen der Datenschutzgrundverordnung DSGVO. Das Zusammenspiel von MDR und DSGVO lässt künftig ein nochmals gesteigertes Sicherheitsniveau erwarten.

Noch ist es zweifellos zu früh, die Auswirkungen der neuen MDR-Regelungen auf das allgemeine IT-Sicherheitslevel abschließend zu bewerten. Dennoch sollte sich jeder Anbieter softwarebasierter Fitness- und Gesundheitslösungen schon jetzt darüber im Klaren sein, dass es beim Thema Datenschutz und Cybersicherheit eben nicht nur um die Compliance mit staatlichen Vorgaben geht, sondern im Extremfall um die eigene wirtschaftliche Existenz: Wenn ein Fitness-Tracker in die Schlagzeilen gerät, weil – wie geschehen – die Laufrouten der Anwender und ihr Wohnort im Internet frei einsehbar waren, hat der Hersteller das Vertrauen seiner Kunden verspielt. Zudem drohen bei DSGVO-Verstößen empfindliche gesetzlich festgelegte Strafen. Dasselbe gilt für eine Gesundheits-App, die jüngst in etlichen Medienberichten und Fachmagazinen eine Hauptrolle spielte. Diese App bot per Tracking-Schnittstellen außereuropäischen Firmen einen nichtautorisierten Zugriff auf Profildaten ihrer Nutzer und sogar einen Rückschluss auf Diagnosen. Dergleichen widerspricht in eklatanter Weise den Erwartungen der deutschen Bevölkerung: 80 Prozent von ihnen wünschen sich laut einer Studie des Büros für Technikfolgenabschätzung beim Deutschen Bundestag verifizierbare Standards zum Schutz ihrer Privatsphäre.

Im Bereich der IT-Schnittstellen gilt aufgrund des Datensparsamkeitsprinzips stets die Frage, ob eine Schnittstelle tatsächlich für den Behandlungsprozess notwendig ist oder nicht. Außerdem muss geprüft werden, wer Daten einsehen und auswerten kann. Entstehen hier ungewollte Datenabflüsse, drohen zusätzliche Strafen. Gleichzeitig setzt aber das Digitale Versorgung-Gesetz (DVG) eine Interoperabilität voraus. Zudem ist erwiesen, dass gerade der Informationsaustausch Behandlungssicherheit schaffen kann, um das System abrechenbar zu machen. Sofern es eine Gesetzesgrundlage gibt, ist man als Hersteller auf festem Grund, muss jedoch die Schnittstellen nach Stand der Technik technisch und organisatorisch absichern. Dies ist leichter gesagt als getan, da man die komplexen Zusammenhänge der einzelnen Systeme verstehen und diskutieren muss. In diesem Zusammenhang liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer aktuellen Veröffentlichung neueste Sicherheitsanforderungen für digitale Gesundheitsanwendungen. Diese Richtlinien gelten als Stand der Technik und sollten weitestgehend oder sogar gänzlich eingehalten werden. Der Vorteil der Anforderungen ist eine enorme Steigerung der IT-Sicherheit, jedoch steigt dabei auch die Komplexität. Berücksichtigt man die jüngsten Datenschutzskandale bei einigen Gesundheits-Apps ist nachvollziehbar, wieso der Gesetzgeber und die Sicherheitsexperten den Druck erhöhen.

Ein weiteres Problem bezüglich der IT-Schnittstellen beruht häufig nicht auf der IT-Sicherheit an sich, sondern auf der Tatsache, dass es sich um proprietäre Systeme handelt. Hierbei wollen Hersteller den Zugriff durch externe verhindern, um selbstständig die eigenen Software-Module zu verkaufen. Dies ist höchstwahrscheinlich auch der Grund, wieso das DVG Hersteller nun zur Interoperabilität zwingt.

Was der Markt braucht: Regulierung mit Augenmaß

So begrüßenswert einheitliche Sicherheits- und Qualitätsstandards auf dem europäischen Medizintechnikmarkt zweifellos sind, steht gleichwohl die Frage im Raum, ob die Schärfe mancher Regelung den Patienten tatsächlich zugutekommt. Überspitzt formuliert, könnte man beispielsweise sagen, dass auch ein Skalpell ein höchst gefährlicher Gegenstand sei – als Werkzeug für Chirurgen ist es dennoch unersetzlich. Niemandem wäre folglich geholfen, wenn der Gesetzgeber die Sicherheitsanforderungen für Skalpelle so weit in die Höhe schrauben würde, dass deren Herstellung nicht mehr lohnend erschiene. In ähnlicher Weise darf die MDR nicht dazu führen, dass sich Anbieter wegen zu hohen Aufwands und gestiegener Kosten gänzlich aus dem Gesundheitsmarkt zurückziehen. Das wollen offenbar auch die Verantwortlichen auf EU-Ebene vermeiden, denn sie haben mittlerweile schon das zweite Korrigendum zur MDR verabschiedet und durch Ausnahmeregelungen die Situation für etliche Anbieter zumindest zeitweise entschärft.

Hintergrund zur MDR

Im Jahr 2019 hat das Bundesgesundheitsministerium das Digitale-Versorgung-Gesetz (DVG) ausgearbeitet, das den Marktzugang für softwaregestützte Gesundheitslösungen erleichtern soll: Zwar gilt das Gesetz schon seit dem 1. Januar 2020, doch erst kürzlich sind wichtige Durchführungsdetails per Verordnung (Digitale-Gesundheitsanwendungen-Verordnung – DiGAV) auf den Weg gebracht worden. Auch in diesem Gesetz und in der zugehörigen Verordnung sind Sicherheit und Datenschutz von zentraler Bedeutung. Ergänzt wurde die Notwendigkeit des Nachweises positiver Versorgungseffekte.

Die zahlreichen und zum Teil kurzfristig aufeinanderfolgenden gesetzlichen Änderungen für Hersteller von Medizinprodukten haben die Lage für die Hersteller wesentlich verstrickter gemacht. Beispielsweise wurde das Medizinproduktegesetz (MPG) auf Grundlage des Medizinprodukte-Anpassungsgesetzes-EU (MPAnpG-EU) durch das Medizinproduktedurchführungsgesetz (MPDG) abgelöst. Diese Ablösung wurde jedoch durch Art. 19 des „zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ um ein Jahr verschoben.

Festzuhalten ist: Das MPDG gilt ab 25.05.2021. Durch so einen Gesetzeswust muss man sich als Hersteller erstmal durchkämpfen und muss gleichzeitig gesetzeskonform und konkurrenzfähig bleiben. Obwohl es zunächst sehr komplex klingt, werden diese Gesetzesreformen in Zukunft eine Vereinfachung mit sich bringen. Die genauen Zusammenhänge dieser einzelnen Gesetze und wie Sie als Hersteller daraus Ihre Anforderungen selbst ermitteln können, lernen Sie beispielsweise in einer Schulung der Fraunhofer Academy.

Abschließend bleibt festzustellen, dass der Dreiklang aus Gesetzen, Verordnungen und Richtlinien in der Branche zu einer spürbaren Sensibilisierung in Bezug auf die Produktsicherheit beigetragen hat – sowohl bei etablierten Anbietern als auch bei Startups. Für Verbraucher und Patienten bedeutet dies in Zukunft ein breiteres Angebot an sicheren digitalen Lösungen.

Medical Device Regulation

Was bedeutet die neue EU-Richtlinie für den Medizinproduktemarkt?

*Der Autor, Maciej Piwowarczyk vel Dabrowski, ist beim Fraunhofer Institut für Offene Kommunikationssysteme FOKUS im Geschäftsbereich „ESPRI – Vernetzte Sicherheit“ tätig.

(ID:46804321)