KonradinMediengruppe
Aufrufe
vor 3 Jahren
Flag

Quality Engineering 01.2021

  • Text
  • Engineering
  • Unternehmen
  • Hersteller
  • Software
  • Anforderungen
  • Prozesse
  • Einsatz
  • Fertigung
  • Intelligenz
  • Digitalisierung

SPECIAL »

SPECIAL » Medizintechnik Das BSI auf Schwachstellen-Suche Durch die zunehmende Digitalisierung und Vernetzung im Gesundheitswesen tauchen vermehrt Schwachstellen in vernetzten Medizin-, IoT- und Altenpflegeprodukten auf. Werden solche Schwachstellen entdeckt oder sogar ausgenutzt, stellt dies für die Hersteller der Produkte oft ein großes Problem dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher die Projekte „Manimed – Manipulation von Medizinprodukten“ und „Ecare – Digitalisierung in der Pflege“ aufgesetzt, um die IT-Sicherheit ausgewählter Produkte bewerten zu können. Die Ergebnisse beider Projekte wurden Anfang Januar 2021 veröffentlicht. Im Fokus des Projekts Ecare stehen vernetzte Medizin- und IoT- Produkte, die im Bereich der Altenoder Krankenpflege Anwendung finden. Hierzu zählen beispielsweise Geräte zur Vitaldatenmessung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht. Im Projekt Manimed wurden insgesamt zehn vernetzte Medizinprodukte aus fünf unterschiedlichen Kategorien sowie die dazugehörigen Infrastrukturkomponenten tiefgehenden IT-sicherheitstechnischen Prüfungen unterzogen. Konkret wurden untersucht: implantierbare Herzschrittmacher und implantierbare Kardioverter-Defibrillatoren, Insulinpumpen, Beatmungsgeräte, Infusions- und Spritzenpumpen sowie Patientemonitore. Neben dem aktuellen IT-Sicherheitsstand dieser Produktauswahl zeigt das Projekt mögliche Strategien auf, wie Prozesse zur Behebung und Veröffentlichung von Schwachstellen erfolgreich gehandhabt und koordiniert werden können. Bild: Biotronik Der Herzschrittmacher Rivacor 7 VR-T DX von Biotronik gehört zu den Medizinprodukten, die vom BSI im Rahmen des Manimed-Projekts hinsichtlich IT-Sicherheit genauer unter die Lupe genommen wurden. In dem Fall wurden keine Schwachstellen festgestellt Die beiden Studien ermöglichen es Herstellern von Medizinprodukten, die IT-Sicherheitseigenschaften ihrer Produkte zu verbessern. Der Ratschlag des BSI an die Hersteller: Es sei wichtig, nicht nur koordiniert vorzugehen, sondern auch etablierte Prozesse zu nutzen, wenn Schwachstellen in Medizinprodukten entdeckt werden. Miriam Schuh, Teamleader Healthcare bei Reuschlaw, rät Herstellern, „die Ergebnisse der Studie zu nutzen, ihre eigenen Prozesse auf die entdeckten Fehlerquellen zu untersuchen und entsprechende Fehler zu vermeiden“. Es gelte dabei, die einschlägigen gesetzlichen Verpflichtungen im Bereich der Cybersicherheit sowie zum Umgang mit Schwachstellen zu beachten, um vermeidbaren Haftungsrisiken zu entgehen. Sie verweist hier vor allem auf Anhang I, Ziffer 17.2 MDR, wonach ausdrücklich eine „State-of-the-art“-Softwareentwicklung auch mit Bezug zur IT-Sicherheit gefordert wird. „Hersteller sind danach verpflichtet, die Anforderungen an Maßnahmen der Betreiber mit Bezug zur IT-Sicherheit zu definieren. Wird diese Verpflichtung verletzt, kann dies die Haftung des Herstellers im Schadensfalle begründen“, so Schuh. Weitere konkrete Handlungsempfehlungen für die Umsetzung der mit der MDR definierten Anforderungen an die IT-Sicherheit bietet laut Schuh neben einem Leitfaden des beim BSI angesiedelten Expertenkreises Cybermed auch der Leitfaden „Guidance on Cybersecurity for medical devices“ der MDCG. Hilfreich sei auch die Empfehlung der Interessengemeinschaft der Benannten Stellen, IG- NB. Schuh: „Dort werden zentrale Fragen bei der Bewertung der IT- Sicherheit von Medizinprodukten aufgeworfen sowie Verweise auf die wesentlichen Gesetze und Normen gegeben. Ergänzende Informationen sind auch in den FDA Cybersecurity Guidances zu finden.“ Der Manimed-Abschlussbericht: http://hier.pro/zAfrJ Der Ecare-Abschlussbericht: http://hier.pro/tTvtb 42 Quality Engineering » 01|2021

zierung in Verbindung mit der Anforderung, dass eine erneute Authentifizierung gefordert werden muss, sobald die Software in den Hintergrundmodus versetzt wird, für schwer umsetzbar. Die Gebrauchstauglichkeit leide darunter. „Die Umsetzung aller Prüfaspekte der BSI TR-03161 stellt Hersteller vor große Herausforderungen, das könnte eine Hürde für das Erstellen und die Bewertung einer Diga darstellen“, lautet sein Fazit. Er empfiehlt daher: „Schauen Sie das BSI-Dokument an, es enthält viele wirklich interessante Aspekte. Aber seien Sie froh, dass Sie manche nur umsetzen müssen, wenn Sie eine Diga entwickeln.“ Guidance on Cybersecurity for medical Devices als Anhaltspunkt Als zweites aktuelles Dokument stellte Wenner die MDCG 2019-16 „Guidance on Cybersecurity for medical Devices“ vom Dezember 2019 vor. Sie hat für die Entwicklung von Software als Medizinprodukt ebenfalls keinen verbindlichen Charakter. Doch steht dahinter mit der MDCG, welche die Europäische Kommission berät und bei der Umsetzung der Medical Device Regulation (MDR) unterstützt, ebenfalls ein Schwergewicht, sodass Auditoren Benannter Stellen sich gerne darauf stützen. Wesentlich Neues bringt das MDCG-Papier nicht für diejenigen, die sich mit dem Thema Cybersecurity bereits befasst hat. Im Gegenteil: „Es nimmt Bezug auf viele schon vorhandene Dokumente“, stellt Wenner fest. So decken nach seiner Einschätzung die künftige Norm ISO/IEC 81001-5-1 „Health software and health IT systems safety, effectiveness and security – Part 5-1: Security – Activities in the product life cycle“ und technische Reports wie IEC/TR 80001-2-2 oder IEC/TR 60601-4-5 „die Inhalte der MDCG 2019-16 einigermaßen ab“. greift. Und dann muss man im nächsten Schritt verstehen, was konkret zu tun ist“, betont Wenner. Nach einem pragmatischen Ansatz gefragt, antwortet er: „Das Risikomanagement ist der Dreh- und Angelpunkt von allem. Über Risiken nachzudenken und diese zu dokumentieren, das ist das A und O.“ Und auch dafür gibt es ein neues druckfrisches Dokument mit der DIN EN ISO 14971:2020 (Edition 3), der Norm für das Risikomanagement für Medizinprodukte. Sie wurde im Juli 2020 veröffentlicht und schließt nun auch die Betrachtung von Risiken mit ein, die sich auf Daten- und Informationssicherheit beziehen. Bild: Aidhere Auch die App Zanadio für Adipositas-Patienten ist im Diga-Verzeichnis zu finden. Somit muss Hersteller Aidhere die Vorgaben der MDR hinsichtlich eines zertifiziertes Qualitätsmanagement- System erfüllen. Die ISO 13485 ist die zur MDR harmonisierte Norm, welche die Anforderungen an das Qualitätsmanagement und an ein Qualitätsmanagement-System stellt Das Motto sollte Security by Design sein Für sinnvoll erachtet der Berater die Hinweise im Leitfaden, dass Safety und Security nicht voneinander zu trennen sind, sowie die Empfehlung, nach dem Prinzip „Security by Design“ zu arbeiten. Letzteres heißt, dass schon während des Entwicklungs zyklus’ Sicherheitsanforderungen an die Software einzubeziehen sind, um spätere Sicherheitslücken zu verhindern. „Und das sollte im gesamten Software-Lebenszyklus beibehalten werden“, so Wenner. „Unternehmen, die Software als Medizinprodukt entwickeln, sehen im Dschungel von Richtlinien oft den Wald vor lauter Bäumen nicht. Man sollte im ersten Schritt für sich also festlegen, welche Richtlinie oder Norm für die zu entwickelnde Software DAS KOMMT VIELLEICHT Aktuell müssen digitale Gesundheitsanwendungen noch nicht zertifiziert werden. TÜV Nord weist aber darauf hin, dass im Digitalen Versorgungsgesetz (DVG) zu lesen ist, dass das Bfarm spätestens ab dem 1. Januar 2022 einen Nachweis der Erfüllung der Anforderungen an die Informationssicherheit in Form von Zertifikaten verlangen kann. Damit behält sich die Behörde vor, ab dem Jahr 2022 gegebenenfalls eine Zertifizierungspflicht einzuführen. Quality Engineering » 01|2021 43

Quality Engineering

Konradin Mediengruppe

Konradin Ihr Fachverlag
© 2018 by Yumpu
Leser login

AbbrechenAnmelden
Als Leser registrieren

Sign upAbbrechen
Suche