Computer hacking
Tatiana Shepeleva / 123rf
06.09.2018 Kurzinformation

Best Practice: Wie wird die Cybersecurity bei Medizinprodukten optimal umgesetzt?

Interview mit den Experten von Zühlke Engineering und Siemens

Hersteller vernetzter Medizinprodukte müssen neben der Betriebssicherheit (Safety) auch die Informationssicherheit (Security) betrachten. Dies spiegelt sich auch in den expliziten Forderungen nach entsprechenden Maßnahmen im Anhang I der neuen EU-Medizinprodukteverordnung (MDR) wieder. Wir hatten die Gelegenheit, Herrn Dr. Daniel Jacobi (Lead Software Architect, Zühlke Engineering GmbH, Eschborn) und Herrn Bernhard Petri (Product CERT, Siemens AG, München) zu diesem Thema zu befragen:

Herr Dr. Jacobi, die US-amerikanische Norm AAMI TIR 57 beschreibt das Management von Risiken, die sich durch die Security-Anforderungen von Medizinprodukten ergeben. Welche Unterschiede gibt es in der Herangehensweise im Vergleich zum Risikomanagement gemäß der ISO 14971?

Medizinproduktehersteller sind mit der Safety-Risikomanagement-Norm ISO 14971 gut vertraut. Um die Hürden für ein zusätzliches Security-Risikomanagement gering zu halten, ist es von Vorteil, auf die Erfahrungen aus diesem Bereich aufzubauen. Genau hier setzt der TIR 57 an. Er gibt die Kapitelstruktur der ISO 14971 wieder und transferiert die Inhalte in den Security-Bereich. Entsprechend definiert er auch die Anforderungen und Dokumente der Security-Risikobewertung für Medizingeräte analog zu den Inhalten aus der ISO 14971. Zugleich stellt der TIR 57 klar, dass sich Security-Aspekte nicht einfach in eine Risikobetrachtung nach ISO 14971 integrieren lassen, sondern als parallele Aufgabe zu verstehen sind und definiert damit ein Verfahren, das konform zu den FDA Security-Guidances ist. Zwischen den Risikobewertungen zur Safety und Security gibt es gegenseitige Rückwirkungen, die an definierten Schnittstellen behandelt werden müssen. Der TIR 57 definiert zwar das Prozessumfeld zu den Tätigkeiten zur Security-Risikobewertung, die konkreten Tätigkeiten zur Risikobewertung liefert er allerdings nicht. Hier wird auf existierende Verfahren verwiesen und exemplarisch umfangreiche Hilfestellung in den Anhängen gegeben.

Kontakt

DGBMT im VDE e. V.

Herr Petri, die British Standards Institution (BSI) empfiehlt Herstellern von Medizinprodukten in Bezug auf die IT-Sicherheit die Anwendung der Normen IEC 62443-4-1 und IEC 62443-4-2 aus der Automatisierungstechnik. Lassen sich diese Normen problemlos auch im Bereich der Medizintechnik anwenden?

Die Normenreihe der IEC 62443 wurde ursprünglich für Cybersecurity im Bereich der "Industrial Automation and Control Systems" entwickelt, aber es zeigte sich bald, dass die entstandenen Normen dieser Reihe auch in vielen anderen Marktsegmenten erfolgreich einsetzbar waren, unter anderem im Bereich Medizintechnik. Dabei kommt der IEC 62443 Normenreihe zugute, dass sie zum einen das Thema Cybersecurity ganzheitlich bzgl. der Aspekte "Personen – Prozesse – Technologie" begreift und behandelt, und dass zum anderen das zugrundeliegende Rollenmodell der IEC 62443 (vom Asset Owner/Betreiber über den "Integrator" bis hin zum Produkt-Lieferanten und dessen Entwicklungs-Prozessen) sich gut auf entsprechende Rollen und Abhängigkeiten im Medizinbereich abbilden lassen, z.B. zwischen Krankenhaus-Betreibern, Ärzten, IT-/Netz-Integratoren und Herstellern von Medizin-Produkten. Die IEC 62443 Standards werden daher auch zunehmend von der amerikanischen FDA, dem britischen BSI und ähnlichen Organisationen für den Medizinbereich empfohlen. Völlig "problemlos" ist allerdings die Anwendung der IEC 62443 Normen im Bereich der Medizin-Technik dann doch nicht, gerade im Hinblick auf die verwendeten Terminologien und Referenzen auf industrielle Systeme. Im Bereich "Medizin und Cybersecurity" tätige Organisationen wie etwa die amerikanische MDISS (mdiss.org) haben daher z.B. damit begonnen, Empfehlungen zu erstellen, wie die Anforderungen aus IEC 62443 Normen jeweils für den Bereich der Medizin-Technik interpretiert und sprachlich angepasst werden können.