Cybersecurity-Risikomanagement für Medizinprodukte: ARGOS

Uns erreichen viele Fragen zum Thema Cybersecurity. Die Komplexität des Themas ist für Hersteller von Medizinprodukten herausfordernd. Doch genau hier bieten wir unsere Hilfe an: wir unterstützen Hersteller, Ihr bestehendes Risikomanagement um die notwendigen Cybersecurity-Aspekte nach unserer „ARGOS“-Vorgehensweise zu erweitern. ARGOS ermöglicht es, Anforderungen in maßgeschneiderten Prozessen effizient umzusetzen.

Warum ist Cybersecurity für jeden Hersteller von Medizinprodukten wichtig?

Vorkommnisse wie der Verlust von Daten oder die räuberische Erpressung durch die Verschlüsselung von Massenspeichern sind in der aktuellen Tagespresse allgegenwärtig. Sowohl durch die Wahl der Angriffsziele als auch durch den Umfang und die Tragweite sind sie ein ernstzunehmendes Problem. Denn sobald ein Angriff mit Erfolg durchgeführt wurde, ist Schadensbegrenzung – falls überhaupt – nur mit erheblichem Zeit- und Kostenaufwand möglich.

In der Medizintechnik ist nicht allein der Diebstahl bzw. die Offenlegung von Daten (wie Patienten- oder Behandlungsdaten) ein Risiko. Auch der Ausfall von Diagnostik oder Behandlung aufgrund von Cyber-Angriffen muss betrachtet werden.

Zudem fordert die europäische Medizinprodukteverordnung (MDR) Betrachtungen zur Informationssicherheit (siehe u. a. (EU) 2017/745, Anhang I – Grundlegende Sicherheits- und Leistungsanforderungen, 17.2. und 17.4.).

Unser gemeinsames Ziel muss es daher sein, derartige Angriffe im Vorfeld zu vereiteln, so dass sie gar nicht erst zum Erfolg führen können.

Wir zeigen Ihnen heute unsere Umsetzung eines erweiterten Risikomanagements, das diesen Anforderungen gerecht wird: ARGOS – Advancing Risk-Management and Governance On the basis of Security.

Angriffsmotive: Assets

Jedes Produkt besitzt schützenswerte Güter, sog. „Assets“. Diese Assets können „virtuelle Güter“ (wie z. B. Patienten- und Behandlungsdaten) oder andere schützenswerte Eigenschaften (wie z. B.: Einstellung von sicherheitsrelevanten Parametern) sein. Kurz: auf diese Assets hat es der Angreifer abgesehen, denn er möchte Zugriff darauf erlangen. An erster Stelle gilt es deshalb, gemeinsam mit Ihnen systematisch diese Assets zu identifizieren.

Jedes Produkt besitzt Schnittstellen (Interfaces) zu seiner Umgebung.

Der Angreifer benutzt eben diese Schnittstellen des Produkts, um an die schützenswerten Güter zu gelangen.

Offensichtlich für Security-Betrachtungen sind Schnittstellen wie Daten-Schnittstellen, die dem Austausch von Informationen zwischen Geräten bzw. Geräte-Teilen dienen. Doch für unsere Betrachtungen sind weitere, vielleicht nicht ganz so offensichtliche Schnittstellen relevant, etwa die Schnittstellen zur Interaktion mit dem Benutzer. Deshalb ermitteln wir, nachdem wir die Assets identifiziert haben, gemeinsam mit Ihnen die Schnittstellen, über die etwaige Angriffe stattfinden können.

Das Produkt in seiner Umgebung

Betriebsumgebung (Zone)

Ein Medizinprodukt wird immer in einer Umgebung („Zone“) betrieben. Eine solche Zone könnte das „offene“ Internet sein, bei dem jeder zu jeder beliebigen Zeit Zugriff auf das Medizinprodukt bzw. die weiter oben beschriebenen Schnittstellen hat. Eine völlig andere Zone wäre der Betrieb des Produkts innerhalb einer kontrollierten Umgebung, die erst nach Authentifizierung zugänglich ist, beispielsweise innerhalb eines zugangsgeschützten Bereichs in einem Krankenhaus. Die Eigenschaften dieser Umgebung müssen betrachtet und detailliert untersucht werden, was wir ebenfalls im Dialog mit Ihnen durchführen. Jede Umgebung birgt ihre eigenen Bedrohungen, die wir systematisch ermitteln (Threat Modeling).

Bedrohungen (Threats)

Das Erkennen und die Modellierung der Angriff-Szenarien wird „Threat Modeling“ genannt. Wir verwenden dafür die bisher gewonnenen Erkenntnisse (Assets, Schnittstellen, Umgebung) für ein zielgerichtetes Vorgehen, etwa basierend auf dem Ansatz „STRIDE“.

Spoofing - Identitätsverschleierung
Tampering - Manipulation
Repudiation - Verleugnung
Information disclosure - Verletzung der Privatsphäre oder Datenpanne
Denial of Service - Verweigerung des Dienstes
Elevation of privilege - Rechteausweitung

Jeder einzelne Punkt wird auf jede Schnittstelle bzw. jedes Asset angewendet.
Beispiel „Tampering“:

• Kann das Asset „Untersuchungsbericht“ manipuliert werden? Beispielsweise falscher Patient / unzutreffende Diagnose / … ?
• Kann die Schnittstelle XYZ manipuliert werden? Um das Produkt zu steuern und ungewollte Bewegungen auszulösen, die zu einer Patientengefährdung führen?

Erweitertes Risikomanagement

Sobald die Bedrohungen erkannt und analysiert sind, können Maßnahmen gegen diese ergriffen werden. Da die Bedrohungen systematisch analysiert wurden, ist das Risikomanagement effizient und zielgerichtet.

Das System wird angemessen gehärtet und es hat die Fähigkeit, sich gegen Angriffe zu schützen („Security Capabilities“).

Wie im „klassischen“ Risikomanagement greifen die Maßnahmen auf unterschiedlichen Ebenen. „Cybersecurity“ beschreibt Anforderungen an die Informationssicherheit, welche weit über die „herkömmliche“ Computer- und Netzwerk-Sicherheit hinausreichen.

Umsetzung

Wir helfen Ihnen, das beschriebene Cybersecurity-Management in ihr Risikomanagement zu integrieren. Wir etablieren gemeinsam mit Ihnen schnelle, einfache und nutzerfreundliche Vorgehensweisen, mit denen Sie selbständig Ihr Produkt nicht nur auf die physischen Gefahren im Sinne der Betriebssicherheit, sondern auch auf Schwachstellen in der Informationssicherheit untersuchen und die erkannten Risiken durch adäquate Maßnahmen minimieren.

Denn: die Analyse der Informationssicherheit ist notwendiger Bestandteil der Technischen Dokumentation für Zulassung und Betrieb Ihres Medizinproduktes!

Kontaktieren Sie uns. Wir begleiten Sie bei der Umsetzung und unterstützen Sie bei allen Fragen.