Cybersicherheit in der Medizintechnik verbessern

Verschiedene Krankenhäuser in Deutschland sind bereits Opfer von direkten Cyberangriffen geworden. Auch aus diesem Grund hat die Bundesregierung den Gesundheitsbereich in den Geltungsbereich des IT-Sicherheitsgesetzes eingeschlossen. Einrichtungen, die zur Gruppe der kritischen Infrastruktur zählen, sind damit verpflichtet, ein IT-Sicherheitskonzept auf dem Stand der Technik zu implementieren und regelmäßig zu aktualisieren.

Krankenhäuser und Arztpraxen haben ein hohes Interesse an wirksamen Maßnahmen zur Cybersicherheit. Ein umfassendes  Cybersicherheitskonzept muss dabei auch medizintechnische Geräte einschließen, die innerhalb des jeweiligen Netzwerkes betrieben werden. Umgekehrt gilt, dass Cybersicherheit nicht allein eine Sache der Medizintechnik ist. Medizintechnische Geräte müssen aber einen Beitrag zur Cybersicherheit des gesamten Systems einer Einrichtung leisten.

Vom Positionspapier „Medizintechnik braucht Cybersicherheit“ zur BSI-Empfehlung

Der ZVEI hat deshalb im Jahr 2017 ein Positionspapier mit dem Titel „Medizintechnik braucht Cybersicherheit“ veröffentlicht. Parallel dazu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) begonnen, eine Empfehlung für die Hersteller von netzwerkfähigen Medizinprodukten zu erarbeiten. Der ZVEI hat an der Empfehlung aktiv mitgearbeitet. Die endgültige Fassung der BSI-Empfehlung„Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ ist im Mai 2018 veröffentlicht worden.

Die BSI-Empfehlung gibt keine technischen Lösungswege vor. Diese wären wahrscheinlich schon nach kurzer Zeit veraltet. Die Empfehlung adressiert deshalb verschiedene sicherheitsrelevante Themen in Form eines Fragenkatalogs. Der Hersteller kann dann eine Lösung wählen, die mit der Zweckbestimmung des jeweiligen Geräts und der geplanten Einsatzumgebung am besten zu vereinbaren ist. Für die Hersteller von Medizinprodukten bietet die Empfehlung damit eine gute Hilfestellung, um alle Aspekte des Themas Cybersicherheit abzudecken. Für die Anwender liefert die Empfehlung eine gute Referenz, um vom Hersteller die im Produkt umgesetzten Cybersicherheitsmaßnahmen zu erfragen.

Nächster Schritt: Hilfestellung für Anwender von Medizintechnik

Aktuell arbeitet der ZVEI zusammen mit anderen Verbänden der industriellen Gesundheitswirtschaft und Vertretern von Anwendern daran, ein Format zu entwickeln, mit dem die Hersteller den Anwendern alle relevanten Informationen zu den Cybersicherheitsmaßnahmen in den Geräten zur Verfügung stellen können. Damit sollen die Anwender, insbesondere die IT-Sicherheitsbeauftragten in medizinischen Einrichtungen, in die Lage versetzt werden, die jeweiligen Medizinprodukte zügig und sicher in das eigene Netzwerk zu integrieren.

Dabei muss jedoch eine Balance zwischen der Zweckbestimmung des Geräts und den damit verbundenen Kommunikationsanforderungen und den Sicherheitsmaßnahmen gefunden werden. Außerdem ist zu beachten, dass gesetzliche Anforderungen die Hersteller von Medizinprodukten dazu verpflichten, zum Schutz von Patienten und Anwendern bestimmte Maßnahmen umzusetzen. Diese Maßnahmen können auch die Netzwerkumgebung betreffen und stehen eventuell im Gegensatz zu Sicherheitsmaßnahmen auf der Ebene des IT-Netzes der Einrichtung. Sicherheitsupdates für Betriebssysteme können zum Beispiel in der Regel erst auf Medizinprodukten installiert werden, wenn sie vom Hersteller des Medizinproduktes freigegeben worden sind. Weitere Informationen finden sich im ZVEI-Positionspapier „IT-Sicherheit in Medizintechnik und Krankenhaus-IT“.

Gute Hilfestellung durch die BSI-Empfehlung nutzen

Die BSI-Empfehlung für netzwerkfähige Medizinprodukte ist geeignet, die Cybersicherheit in deutschen Gesundheitseinrichtungen zu verbessern. Der ZVEI empfiehlt allen Herstellern von Medizinprodukten, die BSI-Empfehlung bei der Produktentwicklung zu beachten und den Anwendern entsprechende Informationen zur Verfügung zu stellen.