Product Security im Fokus
Im englischsprachigen Raum fällt die Unterscheidung zwischen zwei wesentlichen Anforderungen für Medizinprodukte mit den Begriffen Safety (Betriebssicherheit) und Security (Informationssicherheit) leichter als im Deutschen mit dem übergreifenden Begriff „Sicherheit“. Safety Anforderungen haben eine lange Tradition bei der Entwicklung von Medizinprodukten, aber die Security nimmt einen immer größer werdenden Stellenwert ein, wie Frau Cordula Keiter, Senior Software Engineer bei der Siemens Healthcare Diagnostics Products GmbH, in ihrem Vortrag feststellte. Vermehrt wäre Medizintechnik das Ziel von „geplanten, zielgerichteten und absichtsvollen Angriffen“, der Gesetzgeber würde auch international immer höhere Anforderungen an die Product Security stellen und schließlich würden die Kunden sichere Produkte fordern, weil die Gesundheit der Patienten im Vordergrund steht. Weiterhin warnte Keiter vor den Folgen von Security Problemen bei Medizinprodukten für den Hersteller. Diese reichen unter anderem von rechtlichen Konsequenzen bis zum Verlust der Reputation des Unternehmens. Dem könne nur dadurch begegnen, dass „Security Aktivitäten mit den Schutzzielen Confidentiality, Integrity und Availability (CIA) von Anfang an in den Entwicklungsprozess eingebettet und ein definierter Prozess zum Incident Handling beim Hersteller existieren würde“.
Für die Security bei Medizingeräten existieren derzeit keine allgemein anerkannten Normen, aber verschiedene Normengremien arbeiten mit Hochdruck an der Lösung des Problems wie Dr. Georg Heidenreich, Director des Bereichs Healthcare IT Standards der Siemens Healthcare GmbH, berichtete. Dies geschieht durch die Integration der Security Anforderungen in die bereits existierenden Medizinproduktenormen IEC 82304 und IEC 62304. Der oftmals falsche Umgang mit Security Problemen lasse sich gut mit einem Zitat von Bruce Schneier zusammenfassen „Security is not a product; it itself is a process. (...) If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology“, so Heidenreich abschließend.
„Auch bei der einschlägigen Norm ISO 14971 für das Risikomanagement von Medizinprodukten soll die Security zukünftig verankert werden, um den Risiko-Begriff zu erweitern“, betonte Hans Wenner, Inhaber vom Ingenieurbüro Wenner. Es bleibe dem Hersteller überlassen, ob er die Überlegungen zur Informationssicherheit in einem einzigen Risikomanagement-Prozess adressiert, beispielsweise, indem er seinen bestehenden Prozess erweitert, oder ob er unterschiedliche Prozesse dafür etabliert. Wenner empfahl an dieser Stelle, den Technical Report ISO TR 24971 als Hilfestellung zu Rate zu ziehen. Anhand einer in Verkehr gebrachten medizinischen App zur Behandlung von Hämophilie-Patienten demonstrierte Dr. Andreas Rösch, Geschäftsführer, Rösch & Associates Information Engineering GmbH, die praktische Umsetzung des Risikomanagements. Das Unternehmen hat diese Erkenntnisse auch öffentlich publiziert.