Da der Vernetzungsgrad von Medizinprodukten steigt, ist Cybersecurity auch für Medizinproduktehersteller und -betreiber zu einem wichtigen Thema geworden. Zum einen müssen Hersteller und Betreiber angesichts einer globalen und schnelllebigen Bedrohungslage angemessen auf Bedrohungen reagieren. Zum anderen müssen sie eine Reihe von Gesetzen, Datenschutzbestimmungen und Dokumentationspflichten berücksichtigen. Dieser Fachbeitrag gibt einen Überblick über den aktuellen Stand der Anforderungen an Hersteller.
Bedeutung von Cyberbedrohungen für Medizinprodukte
Nachrichten von gehackten Kliniknetzwerken oder kompromittierten Medizingeräten erreichen uns kontinuierlich.
So hat es in Deutschland zum Beispiel 14 Krankenhäuser und Altenpflegeeinrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland gleichzeitig getroffen.
Eine Malware hat das gesamte Verbund-Netzwerk der Häuser befallen und Server und Datenbanken verschlüsselt. Die Patientenversorgung war nicht betroffen, aber es mussten wieder Bleistifte und Papier herausgeholt werden, um die Behandlung zu dokumentieren.
Auch die Medizintechnik-Branche bleibt nicht verschont. Ein Beispiel ist der US amerikanische Hersteller Medtronic, der Patienten anbietet, betroffene Insulinpumpen zurückzunehmen. Bereits vor mehr als 3 Jahren hatten Hacker Medtronic darauf aufmerksam gemacht, dass sie die Insulinpumpen über Funk angreifen konnten. Medtronic hat u. a. den Funkverkehr der Pumpen nicht verschlüsselt und es Angreifern auf diese Weise leicht gemacht. Eine Fehldosierung von Insulin kann zu lebensbedrohlichen Zuständen führen.
Cyberbedrohungen im Gesundheitswesen können also offensichtlich schwerwiegende Folgen haben. Unbefugte Offenlegung, Veränderung bzw. Diebstahl von Daten oder Funktionsverlust von Medizinprodukten führen zu Reputationsverlust, Haftungsfragen und Folgekosten. Infolge der Covid-19-Pandemie hat sich die Bedrohungslage insgesamt noch weiter erhöht.
Da Gesundheitsdaten keine „normalen“ Daten und besonders schützenswert sind, müssen sich Hersteller und Betreiber von Medizinprodukten der damit verbundenen Risiken bewusst sein. Insbesondere können Cyberbedrohungen Menschenleben unmittelbar gefährden.
Regulatorische Anforderungen an die IT-Sicherheit von Medizinprodukten
In Europa gibt es eine Reihe unterschiedlicher regulatorischer Rahmenbedingungen für Cybersecurity bei Medizinprodukten. Die Rechtsgrundlage für Medizinprodukte und damit auch für medizinische Software sind die europäische Medizinprodukteverordnung (EU) 2017/745 (MDR) sowie In-vitro-Diagnostika-Verordnung (EU) 2017/746 (IVDR). Der Geltungsbeginn der MDR wurde jüngst auf den 26.05.2021 verschoben. Der Geltungsbeginn der IVDR ist der 26.05.2022.
Generell sind Medizinprodukte so zu konstruieren und herzustellen, dass Risiken – und damit verbunden Cyberrisiken – so weit wie möglich reduziert werden. Dies schließt Risiken ein, die sich aus der Wechselwirkung zwischen Software und IT-Umgebung ergeben. Die EU-Verordnungen verlangen ausdrücklich, dass ein Medizinproduktehersteller ein Risikomanagement durchführt. Dieses Risikomanagement muss auch Risiken behandeln, die sich aus Cyberbedrohungen ergeben.
Bei Produkten, zu denen auch Software gehört, oder bei Software selbst muss der Hersteller bei der Entwicklung und bei der Produktion den Stand der Technik berücksichtigen. Dies beinhaltet ein Management des Software-Lebenszyklus, der Informationssicherheit sowie eine entsprechende Verifizierung und Validierung des (Software-)Produkts.
Die Anforderungen der Verordnungen steigen, wenn es sich um vernetzte oder mobile Produkte handelt. Im Fall vernetzter Produkte müssen die Hersteller Mindestanforderungen an die IT-Umgebung festlegen. Diese beziehen sich auf die Hardware, auf die Eigenschaften von IT-Netzen und IT-Sicherheitsmaßnahmen und auf die Vorkehrungen gegen unbefugten Zugriff.
Im Fall mobiler Produkte muss der Hersteller die Eigenschaften der mobilen Plattform berücksichtigen. Dies betrifft beispielsweise die Größe, das Kontrastverhältnis des Bildschirms, den Lichteinfall oder den Geräuschpegel.
Konkretisierungen ergeben sich aus den Anforderungen der einschlägigen Normen, die jeweils einen direkten oder indirekten Bezug zur IT-Sicherheit bzw. Cybersecurity bei Medizinprodukten herstellen:
- Risikomanagement bei Medizinprodukten (ISO 14971)
- Software-Lebenszyklus bei Medizinprodukten (IEC 62304)
- Qualitätsmanagement für Medizinprodukte (ISO 13485)
- Medizinische elektrische Geräte (IEC 60601-1)
Darüber hinaus gibt es einen Entwurf zur IEC 60601-4-5 (Safety related technical security specifications for medical devices), der die Anforderungen an die IT-Sicherheit von Medizinprodukten als Teil von IT-Netzwerken beschreibt.
Eine weitere Norm befasst sich mit Lebenszyklus-Anforderungen für eine sichere Produktentwicklung (IEC 62443-4-1) sowie mit technischen Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme (IEC 62443-4-2). Die Cybersecurity-Anforderungen sind grundsätzlich auf die vernetzter Medizinprodukte übertragbar.
Eine weitere relevante Norm, die sich primär an Betreiber vernetzter Medizinprodukte wendet, ist die IEC 80001-1 zur Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten.
Aktuelle Leitfäden zur IT-Sicherheit von Medizinprodukten
Die Medical Device Coordination Group (MDCG) hat Anfang 2020 eine Leitlinie “Guidance on Cybersecurity for medical devices” (MDCG 2019-16) veröffentlicht. Die Leitlinie gibt einen Überblick über die Anforderungen der EU-Verordnungen, erläutert Begriffe und stellt Security-Konzepte und Security-Design für Medizinprodukte dar. Es wird zudem erläutert, wie eine adäquate Dokumentation mit Blick auf IT-Security erfolgt und welche Aspekte bei Post-Market Surveillance (PMS) und Vigilanz von Medizinprodukten zu beachten sind.
Das International Medical Device Regulators Forum (IMDRF) hat im April 2020 ebenfalls eine Leitlinie zum Thema mit dem Titel “Principles and Practices for Medical Device Cybersecurity” veröffentlicht. Die IMDRF-Leitlinie gibt Empfehlungen zu allgemeinen und spezifischen Cybersecurity-Aspekten von Medizinprodukten und möchte insbesondere die internationale Konvergenz von Anforderungen unterstützen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2018 eine Empfehlung zu “Cybersicherheitsanforderungen an vernetzte Medizinprodukte” veröffentlicht. Die Empfehlung soll Herstellern helfen, Risiken zu beurteilen, die mit vernetzten Medizinprodukten einhergehen. Anhand eines umfangreichen Fragenkatalogs werden Wege aufgezeigt, wie Hersteller die gesetzlichen Anforderungen erfüllen können.
Darüber hinaus gibt es vom Expertenkreis CyberMed der vom BSI geführten Allianz für Cyber-Sicherheit eine Empfehlung zur Sicherheit von Medizinprodukten aus dem Jahr 2019, die sich sowohl an Hersteller als auch an Betreiber richtet. Es handelt sich um einen Leitfaden zur Anwendung des Manufacturer Disclosure Statement for Medical Device Security (MDS2).
Die technische Richtlinie des BSI (BSI TR-03161) vom 15.04.2020 beschreibt Sicherheitsanforderungen an digitale Gesundheitsanwendungen. Hintergrund für diese Richtlinie ist das Digitale-Versorgung-Gesetz (DVG), das einen Leistungsanspruch gesetzlich Krankenversicherter auf digitale Gesundheitsanwendungen (DiGA) schafft. Dabei handelt es sich um Software, die einem gesundheitsbezogenen Zweck dient. Ärztinnen und Ärzte können digitale Gesundheitsanwendungen demnach zu Lasten der gesetzlichen Krankenversicherung verschreiben.
Die BSI TR-03161 beinhaltet eine Checkliste, in der Prüfaspekte für minimale Sicherheitseigenschaften von DiGA formuliert werden. Für Hersteller von DiGA, die beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) einen Antrag auf Aufnahme in das DiGa-Verzeichnis stellen, kann die technische Richtlinie als fester, zu erfüllender Kriterienkatalog betrachtet werden, der zu den bereits bestehenden regulatorischen Anforderungen hinzukommt.
Die Autoren TüV Süd, Johner Institut und Dr. Georg Heidenreich haben einen „Leitfaden IT-Sicherheit für Medizinprodukte“ veröffentlicht. Der Leitfaden bezieht sich auf die IT-Sicherheit von Medizinprodukten und fokussiert auf die Patientensicherheit. Medizinproduktehersteller und Benannte Stellen sollen eine möglichst konkrete Handlungsanleitung zur Umsetzung von IT-Sicherheit bekommen. Im Leitfaden wird in diesem Zusammenhang auf das Problem verwiesen, dass es gegenwärtig keine entsprechende harmonisierte Norm zum Thema gibt.
Kritische Infrastrukturen mit Blick auf Cybersecurity
Die EU hat in Sachen Cybersecurity die NIS-Direktive verabschiedet (Network and Information Security). Die Mitgliedstaaten müssen dieses Gesetz in nationales Recht umsetzen. Deutschland hat 2017 daraufhin das “Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung eines hohen Niveaus der Netz- und Informationssicherheit” eingeführt, die so genannte “NIS-Richtlinie”.
In Deutschland wurden die Anforderungen aus der NIS-Richtlinie sowie aus dem bereits vorher in Deutschland in Kraft getretenen IT-Sicherheitsgesetz in der Kritisverordnung umgesetzt. Die Kritisverordnung betrifft sowohl Anbieter bestimmter digitaler Dienste als auch Betreiber kritischer Infrastrukturen.
Davon betroffen ist auch der Gesundheitsbereich, u. a. Krankenhäuser (ab 30.000 vollstationären Fällen pro Jahr), Laboratorien (ab 1,5 Mio. Aufträge pro Jahr), Apotheken (ab 4,65 Mio. abgegebene Packungen pro Jahr) und Hersteller von Medizinprodukten (Umsatz mind. 90,7 Mio. EUR pro Jahr).
Unter bestimmten Umständen müssen die Krankenhäuser dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie die notwendigen “technischen und organisatorischen Maßnahmen” getroffen haben. Nach Angaben der Deutschen Krankenhausgesellschaft können Hersteller dafür “Audits, Zertifizierungen usw.” in Betracht ziehen.
Cybersecurity Act und europäische Cybersecurity-Agentur
Am 17. April 2019 trat die Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik in Kraft.
Ziel der Verordnung ist es, dass IT-Produkte, -Dienste und -Prozesse bereits während ihrer Entwicklung Anforderungen an Cybersecurity berücksichtigen. Dazu stärkt die Verordnung zum einen die Rolle der ENISA. Diese erhält durch die Verordnung ein dauerhaftes Mandat. Zum anderen führt die Verordnung einen europäischen Zertifizierungsrahmen für Cybersicherheit ein.
Die ENISA bekommt u.a. die Aufgabe, mögliche Zertifizierungen und ein damit verbundenes Arbeitsprogramm auszuarbeiten. Dieses wird eine Liste der Produkte, Dienste und Prozesse beinhalten, für die Zertifzierungen vorgesehen sind.
Grundsätzlich besteht die Möglichkeit, dass verpflichtende Zertifizierungen eingeführt werden. Interessanterweise erwähnt der Cybersecurity Act explizit “Medizingeräte” als Beispiel. Es empfiehlt sich also, die erste Version des ENISA-Arbeitsprogramms, das in Kürze vorliegen soll, dahingehend zu prüfen. Als interessant sollte sich auch die Abgrenzung bzw. Kompatibilität mit der Medizinprodukteverordnung erweisen.
Datenschutzrechtliche Regelungen
Vernetzte Medizinprodukte speichern bzw. verarbeiten patienten- und damit personenbezogene Daten. Diese Daten spielen für die medizinische Versorgung von Patienten eine wichtige Rolle, sodass es ihres besonderen Schutzes bedarf. In Europa ist die Datenschutz-Grundverordnung (DSGVO) die Rechtsgrundlage für den Schutz personenbezogener Daten. Sie ist 2018 in Kraft getreten und enthält zahlreiche Regelungen, die sich auf Hersteller und Betreiber von Medizinprodukten auswirken.
Personenbezogene Daten dürfen grundsätzlich nur dann elektronisch verarbeitet werden, wenn die betroffenen Personen der Verarbeitung auch zugestimmt haben. Dabei muss die betroffene Person zweifelsfrei nachvollziehen können, wie die Daten verarbeitet werden. Hersteller und Betreiber von Medizinprodukten müssen das garantieren und darlegen können.
Die DSGVO formuliert bestimmte Ansprüche an personenbezogene Daten, vor allem Vertraulichkeit, Verfügbarkeit und Integrität. Daher müssen Hersteller und Betreiber vernetzter Medizinprodukte die Sicherheit der Daten gewährleisten können. Eine unrechtmäßige Verarbeitung von Daten, Datenverlust oder -schädigung sind zu verhindern. Ebenso dürfen weder die Würde der betroffenen Person verletzt noch deren Freiheit in irgendeiner Weise eingeschränkt werden.
Die DSGVO verlangt noch mehr. Hersteller bzw. Betreiber müssen das Sicherheitsniveau stetig verbessern und dabei den Stand der Technik berücksichtigen. Sowohl das Design (Privacy by Design) als auch die Grundeinstellungen (Privacy by Default) müssen datenschutzfreundlich sein.
Medizinproduktehersteller bzw. -betreiber müssen alle oben genannten Anforderungen einhalten und diese nachweisen können. Zudem müssen Hersteller und Betreiber etwa bei cloudbasierten Lösungen ggf. eine Auftragsdatenverarbeitung vereinbaren.
Fazit
Wir empfehlen Herstellern und Betreibern vernetzter Medizinprodukte, sich im Detail mit allen Aspekten zu Cybersecurity und Datenschutz zu befassen. Insgesamt sind durch die DSGVO die Bedeutung und auch das Strafmaß bei Datenschutzverstößen erheblich gestiegen. Gleichzeitig verschärft sich die Cyber-Bedrohungslage kontinuierlich. Hinzu kommt, dass der Datenschutz – auch durch die Folgen der Covid-19-Pandemie – mehr und mehr in den Blickpunkt des öffentlichen Interesses gelangt.
Angesichts des Umfangs der gesetzlichen Rahmenbedingungen, Empfehlungen, Normen, Leitlinien usw. für Cybersecurity bei Medizinprodukten mit Bedeutung für den deutschen bzw. europäischen Markt ist die regulatorische Herausforderung für Hersteller immens. Zum Vergleich: In den USA gibt es seitens der Zulassungsbehörde FDA (Federal Drug Administration) einige wenige konkrete Leitlinien, die ausdrücklich auf bestimmte Standards referenzieren.
Mit Blick auf Digitale Gesundheitsanwendungen (DiGa) ist mit dem BfArM und der obligatorischen Aufnahme in das DiGa-Verzeichnis eine weitere regulatorische Ebene hinzugekommen. Es bleibt zu hoffen, dass insbesondere kleine und junge Unternehmen das finanzielle und mentale Durchhaltevermögen haben, diesen langen Weg erfolgreich zu meistern.
