„Noch fehlen zum Beispiel genaue Aussagen darüber, ob es eine geringere Prüftiefe für Medizinprodukte und IVDs mit geringerem Risiko geben sollte, obwohl dies ja nahe liegt“, sagt Jan Küfner, Senior Product Specialist für Cybersecurity bei TÜV SÜD. Muss zum Beispiel bei einer Software für jedes Release ein vollständiger Penetrationstest erfolgen? Wie sind Ethernet und Bluetooth- Verbindungen zu prüfen? Wann ist Fuzzing überhaupt erforderlich und in welchem Umfang? Beim Penetrationstest simulieren sogenannte Ethical Hacker einen IT-Angriff auf ein Medizinprodukt oder IVD. So finden sie Schwachstellen, bevor diese von Dritten ausgenutzt werden. Beim so genannten Fuzzing provozieren die Prüferinnen und Prüfer Fehlverhalten von Software, indem sie zufällige, teils manipulierte Daten einspeisen. Das von TÜV SÜD veröffentlichte White Paper geht bestehenden Lücken anhand konkreter Fragen aus Sicht von Herstellern und Unternehmen auf den Grund. Diese Fragen sollten verbesserte Standards in Zukunft beantworten.
EU-Verordnungen wie die Medical Device Regulation (MDR) für Medizinprodukte und die In-Vitro Diagnostics Regulation (IVDR) machen zwar Vorgaben zur Cybersecurity. „Aber der zugehörigen europäischen Leitlinie MDCG 2019-16, die die Anforderungen an den Prozess klären soll, fehlen entscheidende Details. Gleiches gilt für die internationale Norm IEC 81001-5-1, die sich mit IT-Sicherheit im Software-Lebenszyklus befasst“, sagt Dr. Abtin Rad, Experte für Cybersicherheit und Künstliche Intelligenz bei TÜV SÜD. „Die von der EU für das kommende Jahr angekündigte Harmonisierung bietet die Chance, anhand einer einheitlichen EU-Norm die teils bestehenden länderspezifischen Standards zu vereinheitlichen.“
PRÜFUMFANG BEI DYNAMISCHER BEDROHUNGSLAGE KLÄREN
Weil sich die IT-Werkzeuge weiterentwickeln und neue Software oder Updates neue Schwachstellen generieren können, wandelt sich die Bedrohungslage ständig. So unterstützt Künstliche Intelligenz nicht nur die Medizinerinnen und Mediziner, sondern auch die Angreifer. Um in kürzester Zeit große Mengen an medizinischen Daten zu analysieren, müssen Ultraschallgeräte oder Hämoglobinzähler zudem digital vernetzt werden. Das wiederum bietet eine größere Angriffsfläche für Cyberattacken.
Unsichere Produkte bergen Risiken für die Patientensicherheit, die Datensicherheit und den Datenschutz. Bei manipulierten Daten besteht zudem die Gefahr von falschen Diagnosen und Therapieansätzen oder einer Gefährdung der öffentlichen Gesundheit, etwa bei Fehleinschätzungen zum Infektionsgeschehen. Eine verweigerte oder verzögerte Marktzulassung, Entschädigungszahlungen und Imageschäden wären weitere Folgen.
TÜV SÜD-Expertinnen und Experten übernehmen unter anderem Schwachstellenanalysen, Penetrationstests oder so genannte Fuzzing-Kampagnen. Dabei greifen sie auf ein weltweites Netzwerk von Pentest-Laboren1 zurück. Um stets das Patientenrisiko im Fokus zu halten, konzentrieren sich die Pentest-Experten von TÜV SÜD auf Medical Devices und IVDs. In dieser Hinsicht bieten klassische Cybersecurity-Methoden nicht immer passgenaue Lösungen. Auf Basis der ermittelten Risiken können Unternehmen maßgeschneiderte Lösungen für Netzwerke, mobile oder Web-Anwendungen entwickeln. Mittels seiner Vorgehensweise verkürzt der Prüfdienstleister die Time-to-Market für IVDs und Medical Devices deutlich. Dr. Alexander Stock, Projektleiter IVD-Prüfungen bei TÜV SÜD: „Dabei arbeiten wir vernetzt mit unseren Kolleginnen und Kollegen in Singapur, Japan, Indien, China und den USA. In Cybersicherheits-Trainings schult TÜV SÜD zudem externe Experten zur Zweckbestimmung von Medizinprodukten oder den unterschiedlichen landesspezifischen regulatorischen Anforderungen.“
TÜV SÜD WHITE PAPER:
Cybersicherheit von Medizinprodukten – die Lücke in den aktuellen EU-Verordnungen:
- https://www.tuvsud.com/de-de/wissenswert/white-paper/whitepaper-cybersecurity-medizinprodukte
- https://www.tuvsud.com/de-de/-/media/de/product-service/pdf/whitepaper/whitepaper-cybersecurity-de.pdf
1) München, Singapur, Shanghai, Tokio, Bangalore, Pune, Michigan, San Diego