Cybersicherheit für medizintechnische Geräte unterscheidet sich grundlegend von der anderer Branchen. Neben dem Datenschutz spielt vor allem die Sicherheit der Patienten eine wichtige Rolle. Deshalb wird in diesem Beitrag erklärt, wie Compliance-Anforderungen am besten erfüllt werden können.
Compliance mit medizinischen Cybersicherheitsstandards ist aufgrund der territorialen Fragmentierung und der Unterschiede zwischen einzelnen Geräteklassen eine ziemliche Herausforderung
Vernetzte Medizinprodukte versprechen viele Vorteile für Patienten und Gesundheitsdienstleister: Sie verarbeiten Daten effizienter, liefern Informationen zum Gesundheitszustand eines Patienten in Echtzeit und erlauben niedrigere Verweilzeiten im Krankenhaus. Das „Internet of Medical Things“, kurz IoMT, ist ein wachsender Markt.
Die Palette der Anwendungen ist mittlerweile breit gefächert und reicht von der Remote-Überwachung von Vitalwerten wie im Falle von Covid-19-Patienten, über die Datenverarbeitung bis hin zu Medikationssystemen wie Infusions- und intelligenten Insulinpumpen oder medizinischen Marihuana-Inhalatoren. Andere Gerätetypen helfen bei Aufgaben innerhalb der medizinischen Versorgungskette und erleichtern die Datenverarbeitung. Hierzu zählen intelligente Inventar-Etiketten und Datenterminals, die sich in komplexe, miteinander verbundene Backend-Datensysteme von Gesundheitsdienstleistern einbinden lassen.
Inzwischen gehen unterschiedlichste Geräteklassen online. Für Sicherheitsüberlegungen bleibt oft zu wenig Zeit, und das hat Folgen. IoMT-Cybersicherheit wird für Behörden, Kunden, Sicherheitsexperten und Anbieter von medizintechnischen Geräten gleichermaßen zum Problem. Schwachstellen kosten potenziell Menschenleben, verursachen hohe Kosten bei der Behebung, und sie öffnen Ransomware-Angriffen Tür und Tor. Nicht zuletzt lockt die Pandemie verstärkt Hacker an, die aus der Situation Kapital schlagen.
Standards in der medizinischen Cybersicherheit
Die Regulierungs- und Standardisierungslandschaft für medizintechnische Geräte und Produkte ist einigermaßen unübersichtlich. Für jedes Gerät gelten andere Vorschriften, je nach der Region, in der es verkauft oder betrieben wird, je nach Gerätetyp und sogar je nach Art des betriebenen Marketings. Und die unterschiedlichen medizinischen Verbände geben ihre eigenen Cybersicherheitsrichtlinien und Verfahrensempfehlungen heraus. Die wichtigsten medizinischen Cybersicherheitsstandards sind:
Food and Drug Administration (FDA)
Die US-amerikanische Food and Drug Administration (FDA) hat den Auftrag, die Sicherheit von Medizinprodukten zu regulieren, die in den USA vermarktet und verkauft werden, inklusive der Software, die als eigenständiges medizinisches Tool eingesetzt wird. Die FDA veröffentlicht zahlreiche „Guidance Documents“, darunter zwei Cybersicherheitsstandards, erkennt aber auch zahlreiche andere Cybersicherheitsstandards an.
Die FDA geht davon aus, dass Anbieter eventuell bereits über eine Art von Compliance-Programm zur Cybersicherheit verfügen, und erlaubt es Herstellern, bestehende Compliance-Erklärungen für die Konformität mit der Guidance der FDA wiederzuverwenden. Das Guidance Document Appropriate Use of Voluntary Consensus Standards (2018) der FDA definiert dieses Verfahren.
Das FDA-eigene Guidance Document Medical Device Cybersecurity umfasst zwei wichtige Dokumente: „Premarket“- und „Postmarket“ Guidance. Die Premarket Guidance stellt Anforderungen an einen sicheren Design- und Entwicklungsprozess und deckt eine umfassende Liste von Themen ab, wie z. B. Authentifizierung und Autorisierung, Passwortschutz, physische und kryptografische Schutzmaßnahmen, Kommunikations- und Update-Sicherheit sowie Daten- und Code-Integrität.
Die Postmarket Guidance ist eher verfahrensorientiert. Sie befasst sich mit den Anforderungen an die Wartung nach der Inbetriebnahme, mit Verfahren für die Reaktion auf und den Umgang mit Vorfällen sowie mit Software-Updates. Gemäß dieser Guidance müssen Hersteller eine Richtlinie zur Offenlegung von Sicherheitslücken einführen und nachgelagerte Käufer oder die FDA selbst über in ihren Produkten aufgedeckte Sicherheitslücken informieren. Das gilt hauptsächlich für Fälle, bei denen ein Risiko für den Patienten besteht. In anderen Fällen erlaubt die FDA das Ausbringen von Software-Updates, ohne dass die Betroffenen benachrichtigt oder das Produkt neu zertifiziert werden müssten.
National Institute of Standards and Technology (NIST)
Das US-amerikanische NIST ist in vielen Bereichen als Cybersicherheitsbehörde anerkannt. Medizinische Standards bilden da keine Ausnahme. Zu den wichtigsten zählt der NIST SP 1800-8-Standard „Securing Wireless Infusion Pumps in Healthcare Delivery Organizations“. Dieser wurde in Zusammenarbeit mit einigen branchenführenden Unternehmen entwickelt. Er basiert auf dem NIST Cybersecurity Framework und ordnet seine Anforderungen dem Bereich Cybersicherheit für Medizinprodukte zu. Zudem wird auf mehrere nicht-staatliche Cybersicherheitsstandards verwiesen. Das Dokument befasst sich mit Cybersicherheitsaspekten über den gesamten Lebenszyklus eines Geräts hinweg und beschreibt die erforderlichen Kontrollen, um die Netzwerkinfrastruktur, die Infusionspumpe selbst, die Remote-Server, mit denen sie verbunden ist, und das Unternehmensnetzwerk, in dem sie installiert wird, zu schützen. Dazu zählt auch eine Anleitung für Funktionstests anhand derer man die Umsetzung der Anforderungen überprüfen kann. Ein weiteres Dokument des NIST ist SP800-66 – „An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule“, das Anbieter dabei unterstützt, die HIPAA-Vorgaben in konkrete Begriffe zu fassen. Dazu werden die Anforderungen in eine Reihe technischer Fragen übersetzt, die als Grundlage für die eigentliche Implementierung dienen.
Diabetes Technology Society (DTS)
Die Diabetes Technology Society war eine der ersten, die den Bedarf von Cybersicherheitsvorgaben speziell für vernetzte Medizinprodukte erkannt hat. Der Standard for Wireless Diabetes Device Security (DTSec) behandelt den Zertifizierungsprozess für intelligente Insulinpumpen und verwandte Geräte. Für technische Belange verweist der Standard auf die Common Criteria-Standardfamilie (ISO/IEC 15408), für die die DTSec ein eigenes Schutzprofil entwickelt hat. Dieser Standard ist ein komplexes technisches Dokument, das die Liste der Bedrohungen und notwendigen Sicherheitsanforderungen umreißt.
Underwriters Laboratories (UL)
UL, ein wichtiger Akteur auf dem globalen Zertifizierungsmarkt, hat mehrere Cybersicherheitsstandards für eingebettete Geräte im Rahmen der UL 2900-Familie veröffentlicht. UL betreibt ein Cybersecurity Assurance Program (CAP), das Unternehmen und Geräte zertifiziert, darunter auch Medizinprodukte. Unter diesen Standards ist UL 2900-1 der zentrale Standard, auf den sich die übrigen beziehen. Der Standard wurde von der FDA für die Zertifizierung von Medizinprodukten anerkannt. UL 2900-2-1 oder „Software Cybersecurity for Network-Connectable Products, Part 2-1: Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems” ist ein weiterer Standard innerhalb dieser Familie, der sich medizinischen Produkten und Systemen widmet. Die meisten Vorgaben werden dabei UL 2900-1 zugeordnet. Dazu kommt eine Reihe von Anforderungen speziell für die Cybersicherheit von Medizinprodukten.
National Electrical Manufacturers Association (NEMA)
Die US-amerikanische NEMA ist ein Herstellerverband für unterschiedliche Industriezweige, einschließlich der Medizintechnik. Die NEMA veröffentlicht einen in der Branche verbreiteten Standard unter dem Namen Manufacturer Disclosure Statement for Medical Device Security (MDS2). Dabei handelt es sich um einen Fragebogen mit etwa 200 Fragen, die ein umfassendes Themenspektrum abdecken, von Datenschutz über Autorisierung bis hin zu physischem Schutz, sowie einem begleitenden Leitfaden, der die Bedeutung und mögliche Antworten auf diese Fragen näher erläutert. Es gibt zuhauf andere Versionen und Programme rund um den MDS2, wobei viele medizinische Fachgesellschaften ihre eigene Version anbieten.
The Medical Device Innovation, Safety and Security Consortium (MDISS)
Die MDISS ist eine gemeinnützige Organisation der Medizinindustrie, die ihren Mitgliedern ein Netzwerk von Sicherheitstestlabs zur Verfügung stellt. Dazu kommt das MDRAP-Programm zur Zertifizierung von Medizinprodukten. Das Zertifizierungsdokument ist ein Fragebogen, der auf dem oben genannten MDS2-Standard basiert, aber weitere Fragen und Details zur Risikobewertung und zum Schwachstellenmanagement gemäß MDISS enthält.
Die MDISS ist derzeit aktiv daran beteiligt, eine Variante des ISA/IEC 62443-Standards für die Medizinindustrie zu entwickeln. ISA/IEC 62443 selbst ist ein weithin bekannter und maßgeblicher Cybersicherheits-Standard im Bereich IACS (Industrial Automation and Control Systems).
Open Web Application Security Project (OWASP)
OWASP ist eine gemeinnützige, Community-basierte Organisation, die in den Bereichen der allgemeinen AppSec und Websicherheit eine einflussreiche Rolle spielt. Seit kurzem befasst sie sich im Rahmen des OWASP-Projekts „Internet of Things“ mit der Sicherheit von eingebetteten Geräten. OWASP bietet den OWASP Secure Medical Device Deployment Standard an, einen Leitfaden für die Cybersicherheit von Medizinprodukten, der sich auf Einsatzszenarien konzentriert. Er ist eine nützliche Quelle für Cybersicherheits-Experten, die nach Anleitungen zur Cybersicherheit für den Organisationsprozess, die Netzwerkinfrastruktur und das Gerät selbst suchen.
International Electrotechnical Commission (IEC)
Die IEC ist ein globales Standardisierungsgremium, das sich mit einer Vielzahl von Themen befasst, einschließlich von Cybersicherheit im Allgemeinen und Cybersicherheit für Medizinprodukte im Besonderen. Der Standard IEC 62304, „Medical device software - Software life cycle processes“ regelt die Prozesse der Softwareentwicklung und Beschaffung für Medizinprodukte. Es befasst sich mit allgemeinen praktischen Problemen. Dazu zählt der Umgang mit älterer Software und Software, die aus Quellen stammt, die nicht über einen ordnungsgemäßen Software-Management- und Entwicklungsprozess verfügen. Wie in der Medizinbranche üblich, konzentriert sich das Risikomanagement des Standards auf das Patientenrisiko. Konformitätsprogramme zu diesem Standard sind über verschiedene Zertifizierungsorganisationen erhältlich, darunter der TÜV SÜD und die UL.
Institute of Electrical and Electronics Engineers (IEEE)
Das IEEE ist ein Berufsverband mit einem breiten Spektrum an Publikationen und Standardisierungsaktivitäten. Im Bereich der medizinischen Cybersicherheit umfasst das IEEE Building Code for Medical Device Software Security Best Practices zur Entwicklung eingebetteter Geräte einschließlich des organisatorischen Prozesses, sichere Kodierungstechniken, Kryptographie, Code-Integrität, Härtung und Prüfung – eine hilfreiche Übersicht, allerdings ohne konkrete Anforderungen.
International Medical Device Regulators Forum (IMDRF)
Das IMDRF veröffentlicht die Principles and Practices for Medical Device Cybersecurity, die verfahrenstechnische Sicherheitsaspekte bei Medizinprodukten abdecken. Sie behandeln Themen wie den Produktlebenszyklus von der Entwicklung bis zur Prüfung, den Sicherheitsprozess einschließlich der Risikobewertung und allgemeiner Konstruktionsprinzipien, Verfahren zur Offenlegung von Sicherheitslücken und Vorfallsreaktion, den Umgang mit veralteten Geräten und vieles mehr. Wie die FDA-Guidance unterscheidet das Dokument nach Pre- und Postmarket-Aspekten und zitiert eine große Zahl der zugehörigen Standards und regulatorischen Guidance-Dokumente für die Medizinindustrie.
Cybersicherheit im Internet of Medical Things
Vernetzte Medizinprodukte folgen den gleichen etablierten Designmustern wie andere vernetzte Geräten:
Eingeschränkte Endpunktgeräte sind kleine, eingebettete Geräte, ausgestattet mit medizinischen Sensoren (wie Thermometern) und/oder Aktoren (wie medizinische Dispenser und Pumpen). Aufgrund ihrer begrenzten Größe und der internen Ressourcen verfügen sie normalerweise nicht über eine eigene Internetverbindung. Stattdessen verbinden sie sich mit einem lokalen Gateway über Kurzstrecken-Kommunikationsprotokolle, vorwiegend WLAN und Bluetooth – obwohl auch Infrarot, Kurzstrecken-Funkprotokolle über 802.15.4 und ähnliche verwendet werden. Einige dieser Geräte sind batteriebetrieben und verfügen kaum über genügend CPU-Leistung, um eine ordentliche Kryptographie zu ermöglichen. Dadurch sind sie schwer abzusichern.
Appliances und Gateway-Geräte mit vollem Funktionsumfang sind Medizinprodukte mit einer unabhängigen Internetverbindung und einer ordentlichen bis hohen Rechenleistung. Sie werden in der Regel an das Stromnetz angeschlossen und haben keine größeren Einschränkungen in Bezug auf Kryptographie und andere Sicherheitsfunktionen. Einige verwenden sogar Standardbetriebssysteme, etwa eingebettete und reguläre Varianten von Linux und Windows. Gateways sind beispielsweise dedizierte Geräte, die die Kommunikation von schwächeren Endpunktgeräten, wie den oben beschriebenen, zusammenführen und weiterleiten. Weitere Beispiele sind leistungsstarke, medizinische Endpunktgeräte wie MRTs und CT-Scanner, die über erhebliche Leistung und Rechenressourcen verfügen und direkt mit dem Service-Backend kommunizieren.
Backend-Geräte sind die Server und Cloud-Dienste, die das vernetzte Daten-Backend bilden, in dem medizinische Daten gespeichert, verarbeitet und für Patienten und Pflegepersonal bereitgestellt werden. Meist handelt es sich dabei um herkömmliche PCs, Cloud- und Mainframe-Computer. Ihre Funktionsweise ist, was die Sicherheit anbelangt, nicht spezifisch für die Branche.
Was die Cybersicherheit für Medizinprodukte von anderen Branchen unterscheidet, ist der inhärente Zugriff auf sensible Daten und die möglichen Auswirkungen auf die Patientensicherheit. Dies mündet direkt in eine eng gefasste regulatorische Landschaft, die sowohl den Schutz von Patientendaten als auch funktionale Sicherheitsanforderungen umfasst. Die nicht ganz unbeträchtlichen Aktivitäten von Behörden und Industrie haben zu neuen technologischen und verfahrenstechnischen Standards geführt. Einige dieser Standards schreiben mittels staatlicher Vorschriften Compliance-Anforderungen fest, an anderer Stelle versprechen sie den Anbietern Wettbewerbsvorteile.
Datenschutz und sensible Daten
Medizinische Daten zählen zu den sensibelsten Daten überhaupt: Befunde, Diagnosen, Messwerte und Behandlungspläne. Entsprechend wertvoll sind diese Daten für die verschiedenen datenerfassenden und -verarbeitenden Parteien. Es verwundert also kaum, dass Aufsichtsbehörden in den USA, der EU und weltweit dazu umfassende Datenschutzbestimmungen erlassen haben.
Die Erhebung, Verarbeitung, Aufbewahrung und Weitergabe medizinischer Daten unterliegt anderen Richtlinien und Beschränkungen als die von Finanzdaten, personenbezogenen Daten und anderen sensiblen Daten. Am bekanntesten ist sicherlich das US-amerikanische HIPAA-Datenschutzgesetz, das laut offizieller Beschreibung „nationale Standards zum Schutz von Krankenakten und anderen persönlichen Gesundheitsinformationen von Personen festlegt und für Krankenversicherer, Abrechnungsstellen im Gesundheitswesen und Gesundheitsdienstleister gilt, die bestimmte Transaktionen im Gesundheitswesen elektronisch durchführen.“ Die Vorgaben gelten auch für Hersteller und Betreiber von Medizinprodukten, die sensible medizinische Daten erfassen, verarbeiten und übertragen. Verstöße werden geahndet.
Patientensicherheit
In vielen Fällen sammeln medizinische Geräte nicht nur Daten und geben sie an einen Upstream-Server weiter, sondern sind aktiv an der Behandlung beteiligt. So muss ein medizinisches Inhalationsgerät den Wirkstoff gemäß einem Behandlungsplan sorgfältig dosieren. Im Umkehrschluss führt eine falsch dosierende Insulinpumpe möglicherweise zu schweren Schäden. Selbst Messungen von medizinischen Geräten ohne Aktoren wirken sich indirekt auf die Behandlung aus.
Patientensicherheit spielt demzufolge eine zentrale Rolle bei der Risikoanalyse für Medizinprodukte, und sie betrifft Funktionen, Sicherheit und Cybersicherheit. Das wiederum wirkt sich auf die Produktanforderungen aus. Die Patientensicherheit hat oberste Priorität, auch dann, wenn das unter Umständen zu Lasten der Cybersicherheit geht. Üblicherweise legt man bei der Risikobewertung folgende Skala zugrunde:
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Niedrig: keine Gefahr von Gesundheitsschäden
Mittel: Gefahr von begrenzten Verletzungen oder Schäden für den Patienten
Hoch: Gefahr schwerer Verletzungen oder Todesfolge
Risikoanalysen beschäftigen sich üblicherweise damit, ob und in welchem Ausmaß ein Angreifer Kontrolle über ein Gerät erlangen kann. Bei Medizinprodukten geht es eher um die Auswirkungen und Begleiterscheinung in der physischen Welt. Wird beispielsweise eine Station zur Patientenüberwachung von Hackern kompromittiert und versendet jetzt Spam-Nachrichten, liefert aber immer noch korrekte medizinische Daten, oder werden medizinische Pumpen gekapert und als Teil eines DDoS-Botnetzes ferngesteuert, funktionieren aber ordnungsgemäß, so ist das weniger besorgniserregend. Ganz anders, wenn ein Angriff dazu führt, dass falsche Diagnosen gestellt oder Medikamente falsch dosiert werden.
Automatisierte Tools unterstützen Compliance
Compliance mit medizinischen Cybersicherheitsstandards ist aufgrund der territorialen Fragmentierung und der Unterschiede zwischen einzelnen Geräteklassen eine ziemliche Herausforderung. Wie in anderen Branchen hilft der Einsatz automatisierter Tools. Sie analysieren die Sicherheitslage für jedes Gerät, erlauben es, die notwendigen Maßnahmen schnell umzusetzen und decken viele Geräte ab. Gegenüber anderen verfügbaren Methoden haben automatisierte Tools einige Vorteile oder sie ergänzen existierende Verfahren.
Man kann beispielsweise die Firmware der Geräte scannen und den Sicherheitslevel in verschiedenen Versionen desselben Produkts nachverfolgen. Auch die Käufer profitieren, denn sie haben die Möglichkeit, die Firmware-Images eines Geräts sicherheitstechnisch überprüfen zu lassen, statt sich nur auf die Versprechungen des Anbieters zu verlassen. Eine automatisierte Überprüfung findet Architektur- und Konfigurationsprobleme – Ergebnisse, die man heranziehen kann, um alternative Produkte in Betracht zu ziehen. Man kann sogar einzelne Versionen vergleichen, um die Auswirkungen von Software-Updates bereits vor dem Rollout zu testen.
Die Cybersicherheit von Medizinprodukten wird oft durch Sicherheitslücken beeinträchtigt, die durch Zulieferer, die Software von Drittanbietern oder Open-Source-Komponenten entstehen. Jeder Anbieter, aber auch die Käufer profitieren deshalb von einer Software-Stückliste (Bill of Materials, BoM), um sämtliche Produkte und Komponenten auf bekannte Sicherheitslücken und andere Schwachstellen wie potenzielle 0-Days hin zu untersuchen.
*Der Autor: Leo Dorrendorf, Security Architecture Team Leader bei Vdoo