Frau am Laptop mit Smartphone
denisismagilov / stock.adobe.com
31.10.2019 200 0

Cybersecurity und Medizinprodukte

Cybersecurity oder auch „Cybersicherheit“ befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Da der Vernetzungsgrad von Medizinprodukten steigt, ist Cybersecurity auch für Medizinproduktehersteller und -betreiber zu einem wichtigen Thema geworden. Zum einen müssen Hersteller und Betreiber angesichts einer globalen und schnelllebigen Bedrohungslage angemessen auf Bedrohungen reagieren. Zum anderen müssen sie eine Reihe von Gesetzen, Datenschutzbestimmungen und Dokumentationspflichten berücksichtigen. Dieser Beitrag gibt einen Überblick über entsprechende Anforderungen in Deutschland und Europa. 

 

Welche Bedeutung haben Cyberbedrohungen für Medizinprodukte?

Nachrichten von gehackten Kliniknetzwerken oder kompromittierten Medizingeräten erreichen uns mittlerweile kontinuierlich.

Erst vor kurzem hat es in Deutschland 14 Krankenhäuser und Altenpflegeeinrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland gleichzeitig erwischt. Eine Malware hat das gesamte Verbund-Netzwerk der Häuser befallen und hat Server und Datenbanken verschlüsselt. Die Patientenversorgung war nicht betroffen, aber es mussten wieder Bleistifte und Papier herausgeholt werden, um die Behandlung zu dokumentieren.

Auch die Medizintechnik-Branche bleibt nicht verschont. Jüngstes Beispiel ist der US amerikanische Hersteller Medtronic, der Patienten jetzt anbietet, betroffene Insulinpumpen zurückzunehmen. Bereits vor mehr als 2 Jahren hatten Hacker Medtronic darauf aufmerksam gemacht, dass sie die Insulinpumpen über Funk angreifen konnten. Medtronic hat u. a. den Funkverkehr der Pumpen nicht verschlüsselt und es Angreifern auf diese Weise leicht gemacht. Eine Fehldosierung von Insulin kann zu lebensbedrohlichen Zuständen führen.

Cyberbedrohungen im Gesundheitswesen können also offensichtlich schwerwiegende Folgen haben. Unbefugte Offenlegung, Veränderung bzw. Diebstahl von Daten oder Funktionsverlust von Medizinprodukten führen zu Reputationsverlust, Haftungsfragen und Folgekosten. Da Gesundheitsdaten keine „normalen“ Daten und besonders schützenswert sind, müssen sich Hersteller und Betreiber von Medizinprodukten der damit verbundenen Risiken bewusst sein.


Welche rechtlichen Anforderungen müssen Hersteller von Medizinprodukten mit Blick auf Cybersecurity erfüllen?

Die Rechtsgrundlage für Medizinprodukte und damit auch für medizinische Software in Europa sind die EU Medizinprodukteverordnung (2017/745, MDR) sowie die EU In-vitro-Diagnostika-Verordnung (2017/746, IVDR). Die MDR bzw. IVDR verlangen in Anhang 1, dass ein Medizinproduktehersteller ein Risikomanagement durchführt. Dieses Risikomanagement muss auch Risiken behandeln, die sich aus Cyberbedrohungen ergeben. So sind Medizinprodukte generell so zu konstruieren und herzustellen, dass Risiken - und damit verbunden Cyberrisiken -, so weit wie möglich, reduziert werden. Dies schließt ausdrücklich Risiken ein, die sich aus der Wechselwirkung zwischen Software und IT-Umgebung ergeben.

Bei Produkten, zu denen auch Software gehört, oder bei Software selbst muss der Hersteller bei der Entwicklung und bei der Produktion den Stand der Technik berücksichtigen. Dies beinhaltet ein Management des Software-Lebenszyklus, Informationssicherheit sowie eine entsprechende Verifizierung und Validierung des (Software-)Produkts.

Die Anforderungen der Verordnungen steigen, wenn es sich um vernetzte oder mobile Produkte handelt. Im Fall vernetzter Produkte müssen die Hersteller Mindestanforderungen an die IT-Umgebung festlegen. Diese beziehen sich auf die Hardware, auf die Eigenschaften von IT-Netzen und IT-Sicherheitsmaßnahmen und auf die Vorkehrungen gegen unbefugten Zugriff. Im Fall mobiler Produkte muss der Hersteller die Eigenschaften der mobilen Plattform berücksichtigen. Dies betrifft beispielsweise die Größe, das Kontrastverhältnis des Bildschirms, den Lichteinfall oder den Geräuschpegel.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich eine Empfehlung zu "Cybersicherheitsanforderungen an vernetzte Medizinprodukte" veröffentlicht. Die Empfehlung soll Herstellern helfen, Risiken, die mit vernetzten Medizinprodukten einhergehen, zu beurteilen. Anhand eines umfangreichen Fragenkatalogs werden Wege aufgezeigt, wie Hersteller die gesetzlichen Anforderungen erfüllen können.

Die Autoren TüV Süd, Johner Institut und Dr. Georg Heidenreich haben einen „Leitfaden IT-Sicherheit für Medizinprodukte“ veröffentlicht. Der Leitfaden bezieht sich auf die IT-Sicherheit von Medizinprodukten und fokussiert auf die Patientensicherheit. Medizinproduktehersteller und Benannte Stellen sollen eine möglichst konkrete Handlungsanleitung zur Umsetzung von IT-Sicherheit bekommen. Im Leitfaden wird in diesem Zusammenhang auf das Problem verwiesen, dass es gegenwärtig keine entsprechende harmonisierte Norm zum Thema gibt. 


Was sind „Kritische Infrastrukturen“ mit Blick auf Cybersecurity?

Die EU hat in Sachen Cybersecurity die NIS-Direktive verabschiedet (Network and Information Security). Die Mitgliedstaaten müssen dieses Gesetz in nationales Recht umsetzen. Deutschland hat 2017 daraufhin das "Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung eines hohen Niveaus der Netz- und Informationssicherheit" eingeführt, die so genannte "NIS-Richtlinie".

In Deutschland wurden die Anforderungen aus der NIS-Richtlinie sowie aus dem bereits vorher in Deutschland in Kraft getretenen IT-Sicherheitsgesetz in der Kritisverordnung umgesetzt. Die Kritisverordnung betrifft sowohl Anbieter bestimmter digitaler Dienste als auch Betreiber kritischer Infrastrukturen. Davon betroffen ist auch der Gesundheitsbereich, u. a. Krankenhäuser (ab 30.000 vollstationären Fällen pro Jahr), Laboratorien (ab 1,5 Mio. Aufträge pro Jahr), Apotheken (ab 4,65 Mio. abgegebene Packungen pro Jahr) und Hersteller von Medizinprodukten (Umsatz mind. 90,7 Mio. EUR pro Jahr). Unter bestimmten Umständen müssen die Krankenhäuser dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie die notwendigen "technischen und organisatorischen Maßnahmen" getroffen haben. Nach Angaben der Deutschen Krankenhausgesellschaft können Hersteller dafür "Audits, Zertifizierungen usw." in Betracht ziehen.

Was ist die Europäische Cybersicherheitsagentur?

Die EU-Kommission hat 2018 den Text für eine "Verordnung über die ENISA, die EU-Agentur für Cybersicherheit und die Zertifizierung der Cybersicherheit für Informations- und Kommunikationstechnologie" verabschiedet. Dieser so genannte "Cyber Security Act" wird mit dem Europäischen Parlament ausgehandelt. Ziel ist es, durch die Einführung eines Zertifizierungssystems für bestimmte Prozesse, -Produkte und -Dienstleistungen der Informations- und Kommunikationstechnologien einheitliche Anforderungen an die Cybersicherheit innerhalb der EU zu stellen.

Die EU plant mit der ENISA eine permanente Agentur für Cybersicherheit. Interessanterweise erwähnt die zugrundeliegende Verordnung ausdrücklich Medizinprodukte. Es stellt sich daher die Frage, ob die neue Verordnung zu Überschneidungen mit der MDR bei der Medizinprodukte-Zertifizierung führen wird.


Welche datenschutzrechtlichen Regelungen gibt es?

Vernetzte Medizinprodukte speichern bzw. verarbeiten patienten- und damit personenbezogene Daten. Diese Daten spielen für die medizinische Versorgung von Patienten eine wichtige Rolle, sodass es ihres besonderen Schutzes bedarf. In Europa ist die Datenschutz-Grundverordnung (DSGVO) die Rechtsgrundlage für den Schutz personenbezogener Daten. Sie ist 2018 in Kraft getreten und enthält zahlreiche Regelungen, die sich auf Hersteller und Betreiber von Medizinprodukten auswirken.

Personenbezogene Daten dürfen grundsätzlich nur dann elektronisch verarbeitet werden, wenn die betroffenen Personen der Verarbeitung auch zugestimmt haben. Dabei muss die betroffene Person zweifelsfrei nachvollziehen können, wie die Daten verarbeitet werden. Hersteller und Betreiber von Medizinprodukten müssen das garantieren und darlegen können.

Die DSGVO formuliert bestimmte Ansprüche an personenbezogene Daten, vor allem Vertraulichkeit, Verfügbarkeit und Integrität. Daher müssen Hersteller und Betreiber vernetzter Medizinprodukte die Sicherheit der Daten gewährleisten können. Eine unrechtmäßige Verarbeitung von Daten, Datenverlust oder -schädigung sind zu verhindern. Ebenso dürfen weder die Würde der betroffenen Person verletzt noch deren Freiheit in irgendeiner Weise eingeschränkt werden.

Die DSGVO verlangt noch mehr. Hersteller bzw. Betreiber müssen das Sicherheitsniveau stetig verbessern und dabei den Stand der Technik berücksichtigen. Sowohl das Design (Privacy by Design) als auch die Grundeinstellungen (Privacy by Default) müssen datenschutzfreundlich sein.

Medizinproduktehersteller bzw. -betreiber müssen alle oben genannten Anforderungen einhalten und diese nachweisen können. Zudem müssen Hersteller und Betreiber etwa bei cloudbasierten Lösungen ggf. eine Auftragsdatenverarbeitung vereinbaren.


Was ist neu?

Stichtag für die Umsetzung des 2. Korbs der BSI-Kritisverordnung war der 30. Juni 2019. Zum 2. Korb gehört der Gesundheitssektor. Die betroffenen Unternehmen und Organisationen hatten 2 Jahre Zeit, ihre IT-Systeme, -Komponenten und -Prozesse für kritische Dienstleistungen nach dem Stand der Technik zu schützen. Die Unternehmen und Organisationen konnten dies durch Sicherheitsaudits, Prüfungen oder Zertifizierungen basierend auf anerkannten Normen und Standards nachweisen. Der Nachweis muss in einem zweijährigen Turnus durchgeführt werden. Bei Nichterfüllung drohen Bußgelder bis zu einer Höhe von 100.000 Euro.


Empfehlung

Wir empfehlen Herstellern und Betreibern vernetzter Medizinprodukte, sich im Detail mit allen Aspekten zu Cybersecurity und Datenschutz zu befassen. Insgesamt sind durch die DSGVO die Bedeutung und auch das Strafmaß bei Datenschutzverstößen erheblich gestiegen. Gleichzeitig verschärft sich die Cyber-Bedrohungslage kontinuierlich. Hinzu kommt, dass der Datenschutz mehr und mehr in den Blickpunkt des öffentlichen Interesses gelangt.

Kontakt

Dr. Cord Schlötelburg
Downloads + Links

VDE Medical Software 2020

VDE-Illustration zum Thema Health
VDE

13. Mai 2020, Frankfurt am Main

Bei medizinischen Software-Produkten spielt Cybersecurity eine entscheidende Rolle. Sie sollte ein wesentlicher Punkt in der Betrachtung im Rahmen des Risikomanagements sein. Damit werden wir uns auch bei der großen, jährlichen Veranstaltung VDE Medical Software 2020 beschäftigen.  

Mehr erfahren