Interessanter Artikel zu Risiken von vernetzten Medizinprodukten in der aktuellen Elektronik Praxis!

Ausgehend von 150 gefundenen Schwachstellen (in 2020) und einem Ransomware-Angriff auf das Uniklinikum Düsseldorf beschreibt der Artikel der Elektronik Praxis unterschiedliche Bedrohungsszenarien – von der Datensicherheit personenbezogener Daten über die Gefährdung ganzer Netzwerke durch Sicherheitslücken in einzelnen Geräten bis hin zu Gesundheitsgefahren für Patienten durch Daten- und Gerätemanipulation. Am Schluss gibt es noch ein wenig Science-Fiction, wenn der mögliche Missbrauch von gestohlenen biometrischen Daten (Identifizierung von Personen durch einzigartige Signatur ihres Herzschlags) skizziert wird.

Fazit des Artikels: Medizinprodukte werden ein immer lohnenderes Ziel für Hacker. Entwickler stehen nun vor der Aufgabe, Sicherheitsmaßnahmen zu finden, mit denen die Geräte von Anfang an sicher sind und über die gesamte Lebensdauer hinweg aktualisiert werden können.

Die gute Nachricht: Diese Maßnahmen gibt es schon! Es gibt bewährte Vorgehensmodelle und Normen, an denen Entwickler sich orientieren können, wie die IEC 62443-4-1 (Technical security requirements for IACS components) und IEC 62443-4-2 (Secure product development lifecycle requirements), die IEC 62304 (Softwarelebenszyklus bei Medizingeräten), die IEC 82304-1 (Produktsicherheit von Gesundheitssoftware) oder auch die Empfehlung zu „Cybersicherheitsanforderungen an vernetzte Medizinprodukte“ des BSI für kritische Infrastruktur. Auch branchenübergreifende Normen wie ISO 14971 und ISO 27001 zu Risikomanagement und Informationssicherheit sind wichtig. Denn die dort beschriebenen Maßnahmen helfen auch Medizintechnikherstellern bei der systematischen Absicherung ihrer Systeme und Prozesse.

Entwickler müssen also keineswegs das Security-Rad neu erfinden. Wichtig ist aber tatsächlich, Security schon von Anfang an systematisch in die Entwicklung einzubeziehen. So unterstützen wir z. B. gerade einen Kunden bei der Neuentwicklung eines vernetzten OP-Geräts mit einer Security-Analyse und einem Security-Konzept ¬ und dies, bevor das neue Gerät überhaupt in die Entwicklung geht. Natürlich unterstützen wir auch Sie gerne bei Ihrer Neuentwicklung.

 
DEUTSCHENGLISH中国