Da der Vernetzungsgrad von Medizinprodukten steigt, ist Cybersecurity auch für Medizinproduktehersteller und -betreiber zu einem wichtigen Thema geworden. Zum einen müssen Hersteller und Betreiber angesichts einer globalen und schnelllebigen Bedrohungslage angemessen auf Bedrohungen reagieren. Zum anderen müssen sie eine Reihe von Gesetzen, Datenschutzbestimmungen und Dokumentationspflichten berücksichtigen. Dieser Fachbeitrag gibt einen Überblick über den aktuellen Stand der Anforderungen an Hersteller.
Bedeutung von Cyberbedrohungen für Medizinprodukte
Nachrichten von gehackten Kliniknetzwerken oder kompromittierten Medizingeräten erreichen uns kontinuierlich. Eine Auflistung einzelner Vorfälle an dieser Stelle ist müßig, da eine derartige Liste bereits mit erscheinen dieses Beitrags veraltet wäre.
Vergleicht man die Bedrohungen, lassen sich immer wiederkehrende Formen der Bedrohungen erkennen:
- Schadsoftware: Bösartige Software, die Computersysteme infizieren und schädigen soll (Viren, Würmer, Trojaner, Ransomware, Spyware, …).
- Phishing: Benutzer werden Preisgabe vertraulicher Informationen verleitet (Passwörter, Kreditkartendaten, …), etwa mittels täuschender E-Mails oder Websites.
- Denial of Service (DoS)- und Distributed Denial of Service (DDoS)-Angriffe: Lahmlegen eines Systems oder Netzwerks mit einer übermäßigen Menge an Datenverkehr. Dadurch steht der Dienst nicht mehr zur Verfügung (Availability eingeschränkt).
- Manipulation: Informationen werden unbemerkt verändert, etwa ein Arztbrief mit einem Befund (Integrity verletzt).
- Datenschutzverletzungen: Unbefugter Zugang zu sensiblen Informationen, etwa persönlichen Daten (Confidentiality verletzt).
- Social Engineering: Manipulation von Personen, damit sie vertrauliche Informationen preisgeben oder Handlungen ausführen. Oft in Kombination mit anderen Techniken angewendet, etwa Phishing.
- Da Gesundheitsdaten keine „normalen“ Daten und per Definition besonders schützenswert sind (siehe Artikel 9 der Europäischen Datenschutz-Grundverordnung (DSGVO), müssen sich Hersteller und Betreiber von Medizinprodukten der damit verbundenen Risiken bewusst sein. Und da die Betriebssicherheit im Bereich der Medizinprodukte eng mit der IT-Sicherheit verknüpft ist können Cyberbedrohungen unmittelbar zur Bedrohung von Menschenleben führen.
Regulatorische Anforderungen an die IT-Sicherheit von Medizinprodukten
In Europa gibt es eine Reihe unterschiedlicher regulatorischer Rahmenbedingungen für Cybersecurity bei Medizinprodukten. Die Rechtsgrundlage für Medizinprodukte und damit auch für medizinische Software sind die europäische Medizinprodukteverordnung (EU) 2017/745 (MDR) sowie In-vitro-Diagnostika-Verordnung (EU) 2017/746 (IVDR).
Generell gilt: Medizinprodukte sind so zu konstruieren und herzustellen, dass Risiken – und explizit auch Cyberrisiken – so weit wie möglich reduziert werden. Dies schließt Risiken ein, die sich aus der Wechselwirkung zwischen Software und IT-Umgebung ergeben. Die EU-Verordnungen verlangen ausdrücklich, dass ein Medizinproduktehersteller ein Risikomanagement durchführt. Dieses Risikomanagement muss auch Risiken behandeln, die sich aus Cyberbedrohungen ergeben.
Bei Produkten, zu denen auch Software gehört, oder bei Software selbst muss der Hersteller bei der Entwicklung und bei der Produktion den Stand der Technik berücksichtigen. Dies beinhaltet die Einhaltung eines definierten Software-Lebenszyklus, die Berücksichtigung der Informationssicherheit sowohl bei der Entwicklung als auch die Bereitstellung der notwendigen Information, diese im späteren Betrieb aufrecht erhalten zu können, sowie eine entsprechende Verifizierung und Validierung des (Software-)Produkts.
Medizinprodukte, die Software enthalten (oder die selbst eine Software sind) werden immer seltener als „Insel“ betrieben – sie werden vernetzt. Auch das hat der Gesetzgeber erkannt: im Fall netzwerkfähiger Produkte müssen die Hersteller Mindestanforderungen an die IT-Umgebung festlegen. Diese beziehen sich auf die Hardware, auf die Eigenschaften von IT-Netzen und IT-Sicherheitsmaßnahmen und auf die Vorkehrungen gegen unbefugten Zugriff.
Einschlägige Normen bieten eine Hilfestellung, die regulatorischen Anforderung in die technische Umsetzung zu überführen. Hier eine Auswahl an Beiträgen zu einschlägigen Standards, die jeweils einen direkten oder indirekten Bezug zur IT-Sicherheit bzw. Cybersecurity bei Medizinprodukten herstellen:
- Risikomanagement bei Medizinprodukten (ISO 14971)
- Cybersecurity-Risikomanagement für Medizinprodukte: ARGOS
- Software-Lebenszyklus bei Medizinprodukten (IEC 62304)
- Erweiterung des Software-Lebenszyklus um Security (IEC 81001-5-1)
- Qualitätsmanagement für Medizinprodukte (ISO 13485)
- Medizinische elektrische Geräte (IEC 60601-1)
Da die Anforderungen der Cybersecurity kein spezielles Thema der Medizintechnik sind, wurden die hervorragenden Überlegungen aus dem Gebiet der "IT-Sicherheit für industrielle Automatisierungssysteme" (Normenreihe IEC 62443), insbesondere der IEC 62443-4-1 (Lebenszyklus-Anforderungen für eine sichere Produktentwicklung) und IEC 62443-4-2 (technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme) auf die Anforderungen der Medizintechnik übertragen. Ergebnis: Technical Report IEC/TR 60601-4-5 („Leitfaden und Bewertung – Sicherheitsbezogene technische Anforderungen für Security“), der die Anforderungen an die IT-Sicherheit von Medizinprodukten als Teil von IT-Netzwerken beschreibt.
Eine weitere relevante Normenreihe, die sich primär an Betreiber vernetzter Medizinprodukte wendet, ist die IEC 80001-1 zur Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten.
Aktuelle Leitfäden zur IT-Sicherheit von Medizinprodukten
Doch auch abseits von Normen und Standards sind weitere Dokumente zur Cybersicherheit verfügbar und können bei der Beurteilung des Produkts im Rahmen der Konformitätsbewertung herangezogen werden. So hat die Medical Device Coordination Group (MDCG) bereits Anfang 2020 eine Leitlinie “Guidance on Cybersecurity for medical devices” (MDCG 2019-16) veröffentlicht. Diese Leitlinie gibt einen Überblick über die Anforderungen der EU-Verordnungen, erläutert Begriffe und stellt Cybersecurity-Konzepte („Secure by Design“) für Medizinprodukte dar. Darüber hinaus wird erläutert, wie eine adäquate Dokumentation mit Blick auf IT-Security erfolgt und welche Aspekte bei Post-Market Surveillance (PMS) und Vigilanz von Medizinprodukten zu beachten sind.
Eine weitere Qualle für Informationen ist das International Medical Device Regulators Forum (IMDRF). Von besonderem Interesse für die Betrachtung der Cybersecurity in Medizinprodukten sind die folgenden Veröffentlichungen:
- Principles and Practices for Medical Device Cybersecurity
- Principles and Practices for the Cybersecurity of Legacy Medical Devices
- Principles and Practices for Software Bill of Materials for Medical Device Cybersecurity
Die IMDRF-Leitlinien geben Empfehlungen zu allgemeinen und spezifischen Cybersecurity-Aspekten von Medizinprodukten und möchte insbesondere die internationale Konvergenz von Anforderungen unterstützen. Dies zeigt sich insbesondere an den Papieren neueren Datums („Legacy“ und „SBOM – Software Bill of Materials“), die international momentan durchaus kontrovers diskutierten Themen aufgreifen.
Die Benannten Stellen in Europa haben einen Fragenkatalog herausgegeben, der die Grundlage für die Beurteilung der Cybersecurity bei einer Konformitätsbewertung bildet: „Questionnaire IT Security for Medical Devices“.
Auch das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der technischen Richtline BSI TR-03161 „Anforderungen an Anwendungen im Gesundheitswesen“ Empfehlungen zu Cybersicherheitsanforderungen an Medizinprodukte veröffentlicht. Die technische Richtlinie gliedert sich in drei Teile (Mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme) und stellt nach einer Analyse der Bedrohungen (Security Problem Definition) konkrete Anforderungen (Prüfaspekte) auf. Insbesondere Hersteller von DiGA sollten sich mit diesen technischen Richtlinien befassen. Denn für Hersteller von DiGA, die beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) einen Antrag auf Aufnahme in das DiGA-Verzeichnis stellen, können diese technische Richtlinien als fester, zu erfüllender Kriterienkatalog betrachtet werden, der zu den bereits bestehenden regulatorischen Anforderungen hinzukommt.
Hohe Relevanz, insbesondere hinsichtlich der Beschaffung von Medizinprodukten in Kliniken, hat der ANSI/NEMA-Standard HN 1-2019 „Manufacturer Disclosure Statement for Medical Device Security“, besser bekannt unter seiner Abkürzung „MDS2“.
Cybersecurity und kritische Infrastrukturen
Um „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ zu beschreiben hat die EU hat in Sachen Cybersecurity Richtlinie (EU) 2022/2555 erlassen, die sog. „NIS-2-Richtlinie“. (NIS: Network and Information Security). Die Mitgliedstaaten müssen diese Richtlinie in nationales Recht umsetzen, was in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ geschehen soll (Gesetz ist zum Zeitpunkt der Erstellung des Artikels im Entwurf).
Bisher wurden in Deutschland die Anforderungen aus der NIS-Richtlinie (dem Vorgänger der „NIS-2-Richtline“) sowie aus dem bereits vorher in Deutschland in Kraft getretenen IT-Sicherheitsgesetz in der Kritisverordnung umgesetzt. Die Kritisverordnung betrifft sowohl Anbieter bestimmter digitaler Dienste als auch Betreiber kritischer Infrastrukturen.
Davon betroffen ist auch der Gesundheitsbereich, u. a. Krankenhäuser (ab 30.000 vollstationären Fällen pro Jahr), Laboratorien (ab 1,5 Mio. Aufträge pro Jahr), Apotheken (ab 4,65 Mio. abgegebene Packungen pro Jahr) und Hersteller von Medizinprodukten (Umsatz mind. 90,7 Mio. EUR pro Jahr).
Unter bestimmten Umständen müssen die Krankenhäuser dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie die notwendigen “technischen und organisatorischen Maßnahmen” getroffen haben. Nach Angaben der Deutschen Krankenhausgesellschaft können Hersteller dafür “Audits, Zertifizierungen usw.” in Betracht ziehen.
Cybersecurity Act und europäische Cybersecurity-Agentur
Am 17. April 2019 wurde mittels Verordnung (EU) 2019/881 die ENISA ("European Network and Information Security Agency": Agentur der Europäischen Union für Cybersicherheit) im europäischen Rechtsystem verankert. Ziel ist, das ordnungsgemäße Funktionieren des Binnenmarkts zu gewährleisten und gleichzeitig in der Union ein hohes Niveau in der Cybersicherheit, bei der Fähigkeit zur Abwehr gegen Cyberangriffe und beim Vertrauen in die Cybersicherheit zu erreichen (siehe (EU) 2019/881, Art. 1), was die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik miteinschließt.
Zu diesem Zweck stärkt die Verordnung zum einen die Rolle der ENISA, denn sie erhält durch die Verordnung ein dauerhaftes Mandat. Zum anderen führt die Verordnung einen europäischen Zertifizierungsrahmen für Cybersicherheit ein.
Die ENISA bekommt u.a. die Aufgabe, mögliche Zertifizierungen und ein damit verbundenes Arbeitsprogramm auszuarbeiten. Dieses wird eine Liste der Produkte, Dienste und Prozesse beinhalten, für die Zertifizierungen vorgesehen sind.
Grundsätzlich besteht durch den vorgegebenen Rechtsrahmen die Möglichkeit, dass verpflichtende Zertifizierungen eingeführt werden.
Datenschutzrechtliche Regelungen
Vernetzte Medizinprodukte speichern bzw. verarbeiten häufig patienten- und damit personenbezogene Daten. Diese Daten spielen für die medizinische Versorgung von Patienten eine wichtige Rolle; Gesundheitsdaten sind keine „normalen“ Daten und als besonders schützenswert eingestuft (siehe Artikel 9 der Europäischen Datenschutz-Grundverordnung (DSGVO). Die in 2018 in Kraft getretene Verordnung enthält zahlreiche Regelungen, die sich auf Hersteller und Betreiber von Medizinprodukten auswirken.
Beispielsweise dürfen personenbezogene Daten grundsätzlich nur dann elektronisch verarbeitet werden, wenn die betroffenen Personen der Verarbeitung auch zugestimmt haben. Dabei muss die betroffene Person zweifelsfrei nachvollziehen können, wie die Daten verarbeitet werden. Hersteller und Betreiber von Medizinprodukten müssen das garantieren und darlegen können.
Die DSGVO formuliert bestimmte Ansprüche an personenbezogene Daten, vor allem Vertraulichkeit, Verfügbarkeit und Integrität. Daher müssen Hersteller und Betreiber vernetzter Medizinprodukte die Sicherheit der Daten gewährleisten können. Eine unrechtmäßige Verarbeitung von Daten, Datenverlust oder -schädigung sind zu verhindern. Ebenso dürfen weder die Würde der betroffenen Person verletzt noch deren Freiheit in irgendeiner Weise eingeschränkt werden.
Doch die DSGVO verlangt noch mehr!
So besteht ein grundsätzliches Recht, Auskunft über die verarbeiteten Daten zu erhalten, ebenso wie das „Recht auf Löschung“ besteht. Darüber hinaus sind Hersteller bzw. Betreiber verpflichtet, das Sicherheitsniveau stetig verbessern und dabei den Stand der Technik berücksichtigen. Sowohl das Design (Privacy by Design) als auch die Grundeinstellungen (Privacy by Default) müssen datenschutzfreundlich sein.
Medizinproduktehersteller bzw. -betreiber müssen alle oben genannten Anforderungen einhalten und deren Einhaltung auch nachweisen können. Zudem müssen Hersteller und Betreiber etwa bei cloudbasierten Lösungen darauf achten, in welcher geographischen Region die Daten verarbeitet werden. Eine Vereinbarung zur Auftragsdatenverarbeitung ist unumgänglich.
Fazit
Wir empfehlen Herstellern und Betreibern vernetzter Medizinprodukte, sich im Detail mit sämtlichen Aspekten zu Cybersecurity und Datenschutz zu befassen. Dabei ist nicht allein die beschriebene Medizinprodukte-Gesetzgebung zu berücksichtigen, denn durch die DSGVO ist die Bedeutung und auch das Strafmaß bei Datenschutzverstößen erheblich gestiegen. Gleichzeitig verschärft sich die Cyber-Bedrohungslage kontinuierlich. Dies zeigt die aktuelle Veröffentlichung „Health Threat Landscape“ der ENISA, also der "European Network and Information Security Agency": Agentur der Europäischen Union für Cybersicherheit) (siehe oben).
Für Hersteller ist der Aufwand, den Überblick über die gesetzlichen Rahmenbedingungen, Empfehlungen, Normen, Leitlinien usw. für Cybersecurity bei Medizinprodukten mit Bedeutung für den deutschen bzw. europäischen Markt ist angesichts des Umfangs immens. Zum Vergleich: In den USA gibt es seitens der Zulassungsbehörde FDA (Federal Drug Administration) einige wenige konkrete Leitlinien, die ausdrücklich auf bestimmte Standards referenzieren.
Deshalb: falls Sie sichergehen wollen, den aktuellen Stand der Cybersecurity-Diskussion zu kennen, um ihn in Ihrem Produkt-Design berücksichtigen zu können: sprechen Sie uns gerne an! Wir unterstützen Sie bei allen regulatorischen Fragen.