News

28.06.2019

ZVEI-Stellungnahme zu potenziell gefährlichen Manipulationen an Bildern und der Verbreitung von Schadsoftware

In der letzten Zeit sind Berichte veröffentlich worden, in denen DICOM eine Rolle bei der Verbreitung von potenziell gefährlichen Manipulationen an Bildern und der Verbreitung von Schadsoftware haben kann. Tatsächlich sind die meisten Szenarien aus rein technischer Sicht vorstellbar, basieren jedoch regelmäßig auf dem Zusammenspiel abgestimmter Manipulation an mehreren Stellen.

Angesichts der Verunsicherung, die solche Berichte auslösen, ist folgendes festzuhalten: 

 

1.Manipulationen an Dateien, Datensätzen und Nachrichten außerhalb des einzelnen Medizingeräts kann dessen Herstellers nicht ver- oder beantworten.  Es ist also im Einzelfall zu hinterfragen, wie der „Angreifer“ Zugang zu Arbeitsplätzen und Dateien des IT-Netzwerks bekam.

 

2.Unmittelbare, lokale  Bedienungen eines Medizingeräts (auch mit schädlicher Absicht) können im Hinblick auf dessen Verfügbarkeit im Notfall aus Sicht des Herstellers immer nur als „autorisierter Zugriff“ bewertet werden. Üblicherweise können Plausibilitätsprüfungen zwar zu Benachrichtigungen führen, während jedoch eine Blockade der wesentlichen medizinischen Funktionen (bei unplausiblen Betriebsparametern) im Gegenzug die Verfügbarkeit des Medizingeräts beeinträchtigen könnte. 

 

3.Grundsätzlich ist zu beachten, dass sowohl aus gesetzlicher Sicht wie auch aus Anwendersicht die Verfügbarkeit und Gefährdungsfreiheit des Medizingeräts an oberster Stelle steht. Es ist daher im Einzelfall abzuwägen, ob Maßnahmen gegen einen theoretischen Angriff, der mit einfachen Mitteln anderweitig erkannt würde, nicht die Verfügbarkeit oder die Gefährdungsfreiheit in unvertretbarem Maß einschränken würden.

 

4.In der bisherigen Beobachtung tatsächlicher IT-Zwischenfälle mit Medizingeräte sind KEINE zielgerichteten Angriffe gegen bestimmte Personen noch gegen die medizinspezifische Software oder Implementierungen in Medizingeräten bekannt geworden. Vielmehr wurden allgemein sichtbare Schwachstellen verbreiteter Standardsoftware angegriffen.

 

5.Das Umgehen oder Eliminieren bestehender IT-Absicherungen stellt in den geschilderten Vorfällen ein wichtiges Element dar. Dies zeigt, dass technische Maßnahmen durch unkoordinierten Betrieb  oder unberechtigte Bedienung immer umgangen werden können. Deshalb sollte der Fokus auf der Umsetzung  organisatorischer Maßnahmen sowie auf der Verantwortung des IT-Netzwerkbetreibers liegen. Die Konsequenzen der Entfernung von IT-Absicherungen am vernetzten Medizingerät liegen im Verantwortungsbereich des jeweiligen Betreibers. 

 

Fazit: 

 

A.)Der Fachverband Elektromedizinische Technik des ZVEI ist der Meinung, dass die ausgewogene Umsetzung der medizintechnischen Schutzziele (nämlich: Gefährdungsfreiheit, Verfügbarkeit und Informationssicherheit) einen großen Beitrag daran hat, dass in Deutschland die medizinische Diagnostik auf Weltklasse-Niveau ist und allen Patienten zur Verfügung steht. Die Abwägung der Schutzziele übernimmt der jeweilige Hersteller im Hinblick auf die Einsatzumgebung und die Zweckbestimmung. Eine einseitige, extern vorgegebene  Fokussierung auf lediglich eines dieser Ziele hätte aus Sicht der medizinischen Versorgung erhebliche Nachteile. 

 

B.)Die Berichterstattung über mögliche Angriffsmöglichkeiten ist wichtig. Die daraus resultierende Diskussion sollte die Aufmerksamkeit der Betreiber und Hersteller auf wirksamere Sicherheitsmaßnahmen lenken. Der ZVEI Fachverband Elektromedizinische Technik fördert durch Konferenzen und Positionspapiere seit einigen Jahren die angemessene technische UND organisatorische Absicherung vernetzter Medizingeräte.

 

C.)Nicht nur die Herstellung, auch der Betrieb von vernetzten Medizingeräten und der zugehörigen IT-Netzwerke muss den einschlägigen Verfahren für Informationssicherheit folgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Grundschutzkatalog den Stand der Technik festgelegt und alle Spezifikationen kostenlos bereitgestellt.

 

Weitere Informationen liefern u. a. die BSI Empfehlungen zur Handhabung von Schwachstellen oder Kapitel 

2.2 der „Cybersicherheitsanforderungen für netzwerkfähige medizinische Geräte“, das sich auf die verstärkte Offenlegung koordinierter Sicherheitslücken fokussiert. Auch gilt die Empfehlung der niederländischen NCSC als eine der besten in diesem Bereich. Darüber hinaus ist der CVD-Prozess* in den Normen ISO / IEC 29147 und 30111 dokumentiert. 

 

*CVD = Coordinated Vulnerability Disclosure, „abgestimmte Offenlegung von Sicherheitslücken“

Das könnte Sie ebenfalls interessieren:

Weiterführend
Meistbesuchte Seiten

Publikationen

Mehr

Industrie

Mehr

Mobilität

Mehr

Energie

Mehr

Gesundheit

Mehr
 

Die Zukunft ist elektrisch

Jetzt die Effizienzwende starten.

Die Zukunft ist voller Energie, voller Möglichkeiten - und alles, was wir aus ihr machen. Schon einmal hat Strom alles von Grund…

Zum Video

 

Die Zukunft ist elektrisch

Alle wollen Klimaschutz! Aber niemand sagt, wie's geht? Doch! Wir!

Alle wollen Klimaschutz! Aber niemand sagt, wie's geht? Doch! Wir!

Zum Video

 

Übersicht aller Videos

ZVEI zur Europawahl - Mediathek

 

Preis der Elektro- und Digitalindustrie

ZVEI: Electrifying Ideas Award 2024

Unsere Branche treibt den Wandel zu einer elektrifizierten und digitalisierten Gesellschaft jeden Tag ein Stück weiter voran.…

Zum Video