Leitfaden für Medizinprodukte
TÜV fordert Cybersecurity-Norm
Verpflichtende Penetrationstests für Medizinprodukte und In-vitro-Diagnostika - der TÜV Süd fordert eine EU-weite Norm für Cybersecurity-Tests. Dazu liefert die Benannte Stelle ein Whitepaper als Vorschlag für konkrete Leitlinien zur Cybersicherheit.
| Eine zugehörige Norm soll klären, was, wo, wie und in welchem Umfang zu prüfen ist. So lässt sich gewährleisten, dass netzwerkfähige Produkte im Sinne der Patienten auch tatsächlich cyber-sicher sind. |
|---|
Weder die regulatorischen Vorgaben der EU noch die zugehörigen Guidance-Dokumente enthalten bislang Cybersicherheit-Leitlinien. »Noch fehlen zum Beispiel genaue Aussagen darüber, ob es eine geringere Prüftiefe für Medizinprodukte und IVDs mit geringerem Risiko geben sollte, obwohl dies ja nahe liegt«, sagt Jan Küfner, Senior Product Specialist für Cybersecurity bei TÜV Süd.
Wie wird Software und Konnektivität geprüft?
Muss zum Beispiel bei einer Software für jedes Release ein vollständiger Penetrationstest erfolgen? Wie sind Ethernet und Bluetooth- Verbindungen zu prüfen? Wann ist Fuzzing überhaupt erforderlich und in welchem Umfang? Beim Penetrationstest simulieren sogenannte Ethical Hacker einen IT-Angriff auf ein Medizinprodukt oder IVD. So finden sie Schwachstellen, bevor diese von Dritten ausgenutzt werden. Beim so genannten Fuzzing provozieren die Prüferinnen und Prüfer Fehlverhalten von Software, indem sie zufällige, teils manipulierte Daten einspeisen. Das von TÜV SÜD veröffentlichte White Paper geht bestehenden Lücken anhand konkreter Fragen aus Sicht von Herstellern und Unternehmen auf den Grund. Diese Fragen sollten verbesserte Standards in Zukunft beantworten.
EU-Verordnungen wie die Medical Device Regulation (MDR) für Medizinprodukte und die In-Vitro Diagnostics Regulation (IVDR) machen zwar Vorgaben zur Cybersecurity. »Aber der zugehörigen europäischen Leitlinie MDCG 2019-16, die die Anforderungen an den Prozess klären soll, fehlen entscheidende Details. Gleiches gilt für die internationale Norm IEC 81001-5-1, die sich mit IT-Sicherheit im Software-Lebenszyklus befasst«, sagt Dr. Abtin Rad, Experte für Cybersicherheit und Künstliche Intelligenz bei TÜV Süd. »Die von der EU für das kommende Jahr angekündigte Harmonisierung bietet die Chance, anhand einer einheitlichen EU-Norm die teils bestehenden länderspezifischen Standards zu vereinheitlichen.«
Prüfumfang bei dynamischer Bedrohungslage
Weil sich die IT-Werkzeuge weiterentwickeln und neue Software oder Updates neue Schwachstellen generieren können, wandelt sich die Bedrohungslage ständig. So unterstützt Künstliche Intelligenz nicht nur die Mediziner, sondern auch die Angreifer. Um in kürzester Zeit große Mengen an medizinischen Daten zu analysieren, müssen Ultraschallgeräte oder Hämoglobinzähler zudem digital vernetzt werden. Das wiederum bietet eine größere Angriffsfläche für Cyberattacken.
Unsichere Produkte bergen Risiken für die Patientensicherheit, die Datensicherheit und den Datenschutz. Bei manipulierten Daten besteht zudem die Gefahr von falschen Diagnosen und Therapieansätzen oder einer Gefährdung der öffentlichen Gesundheit, etwa bei Fehleinschätzungen zum Infektionsgeschehen. Eine verweigerte oder verzögerte Marktzulassung, Entschädigungszahlungen und Imageschäden wären weitere Folgen.
Prüf-Tools für cybersichere Medizinprodukte
Der TÜV Süd übernimmt unter anderem Schwachstellenanalysen, Penetrationstests oder Fuzzing-Kampagnen. Dabei greifen sie auf ein weltweites Netzwerk von Pentest-Laboren1 zurück. Um stets das Patientenrisiko im Fokus zu halten, konzentrieren sich die Pentest-Experten auf Medical Devices und IVDs. In dieser Hinsicht bieten klassische Cybersecurity-Methoden nicht immer passgenaue Lösungen.
Auf Basis der ermittelten Risiken können Unternehmen maßgeschneiderte Lösungen für Netzwerke, mobile oder Web-Anwendungen entwickeln. Mittels seiner Vorgehensweise verkürzt der Prüfdienstleister die Time-to-Market für IVDs und Medical Devices deutlich. Dr. Alexander Stock, Projektleiter IVD-Prüfungen bei TÜV Süd: »Dabei arbeiten wir vernetzt mit unseren Experten in Singapur, Japan, Indien, China und den USA. In Cybersicherheits-Trainings schulen wir auch externe Entwickler zur Zweckbestimmung von Medizinprodukten oder den unterschiedlichen landesspezifischen regulatorischen Anforderungen.« (uh)
| TÜV Süd Whitepaper |
|---|
| Cybersicherheit von Medizinprodukten – die Lücke in den aktuellen EU-Verordnungen |
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
E-Health // Digitalisierung
Deutsche wollen E-Rezept und sogar KI beim Arzt
Siemens Healthineers
Niedrigfeld-MRT im Rennen um Deutschen Zukunftspreis
Krebsvorsorge mit Casio
Neue Kamera zur Gebärmutterhalsspiegelung
Sony Healthcare
Hellstes medizinisches 4K-Display
Anwenderforum EMV, 22.11.23, München
Jetzt anmelden und Frühbucherrabatt sichern!
Gematik läßt digitale Identität zu
Die Gesundheitskarte kommt 2024 aufs Handy
Streit über Beatmungsgeräte
Philips wird einige Kläger entschädigen
Medizintechnik im Portrait | Doctorderma
Per App mal schnell zum Hautarzt
UKCA- und CE-Zertifizierung
TÜV Süd darf Medizinprodukte für UK zulassen
Antworten zu Schrems-II & Cyberrisiken
Wie sicher sind Gesundheitsdaten in der Cloud?
Cybersicherheit im Gesundheitswesen
Resilienz gegen Hacker
Healthcare IT & Security
Cybersicher von Design bis Update
