Cetus Consulting

Cyber Security – nicht einfach, aber einfach zu lösen

| Redakteur: Peter Reinhardt

Gut gesichert: Die Vernetzung medizinischer Geräte geht auch mit steigenden Anforderungen an die Cyber Security einher.
Bildergalerie: 2 Bilder
Gut gesichert: Die Vernetzung medizinischer Geräte geht auch mit steigenden Anforderungen an die Cyber Security einher. (Bild: Cybrain – Fotolia.com)

Gemeinhin wird der Begriff Cyber Security pauschal für alles verwendet, was mit Attacken von außen zu tun hat. Also Hacking und Kriegführung in offenen Netzen. Für Medizintechnikhersteller ist Cyber Security jedoch deutlich trennschärfer zu betrachen.

Die Vernetzung medizinischer Geräte schreitet unaufhaltsam voran. Zugleich wird immer mehr medizinische Logik über Softwaremedizinprodukte in Bereiche verlagert, die mit Hardware und Betriebssystemen zusammenspielen, deren Kontrolle sich den Programmierern entzieht. Kein Wunder, dass die Rufe nach Lösungen für leicht erreichbare Cyber Security in der Medizintechnik immer lauter werden.

Um einen tieferen Einblick in die notwendigen Prozesse und Abläufe zu erhalten, ist es zunächst erforderlich, den Begriff Cyber Security für Medizingeräte und Softwaremedizinprodukte zu definieren. Das erfolgt auf drei Ebenen.

Cyber Security in 3 Ebenen

Fall 1 betrifft die Herstellung von Medizingeräten, die inklusive Betriebssystem ausgeliefert und in IT-Netzwerke der Betreiber eingebunden werden. Hier bedeutet Cyber Security nicht nur die Programmierung unangreifbarer Software, sondern vor allem auch abgestimmte und über mehrere Ebenen laufende Prozesse mit dem Ziel, Sicherheitslücken in den Produkten zu erkennen und Betreibern zu ermöglichen, diese Lücken zu schließen.

Der 2. Fall betrifft die Herstellung von Softwaremedizinprodukten. Hier ist zu prüfen, ob diese an Betreiber wie Krankenhäuser verkauft werden. Dann ist Cyber Security einerseits als sichere Entwicklung und Implementierung von Funktionalitäten, aber anderseits auch als Prozess zu verstehen, mit marktgängigen und verfügbaren Sicherheitslösungen zu jeder Zeit kompatibel zu sein. Gerade solche Hersteller haben den Markt für Sicherheitslösungen und deren Anwendbarkeit bei den Betreibern genauestens in ihrem Risikomanagement zu prüfen.

Hiervon unterschieden werden muss als 3. Fall, wenn Entwickler ihre eigenen Produkte zum Beispiel als Software-as-a-Service betreiben. Für sie ist Cyber Security die Entwicklung von leicht zu sichernden Produkten, aber zugleich auch ein unternehmensweiter Prozess, um die Sicherheit der gesamten Umgebung sicherzustellen.

Für Hersteller der Fälle 1 und 2, gibt es nun eine vergleichsweise neue Möglichkeit, den Aufwand für die Marktbeobachtung und für Quellcodeprüfungen auf Sicherheitslücken einzukaufen. Cetus Consulting baut derzeit eine Marktdatenbank von Sicherheitslösungen auf, die insbesondere für Medizintechnikhersteller Verträglichkeitsprüfungen der am Markt verfügbaren Sicherheitslösungen mit den Infrastrukturen der Betreiber vornimmt.

Nachfolgend ein einfaches Beispiel: Ein Hersteller von Medizingeräten entwickelt eine Software, die Bilddaten verarbeitet, und implementiert diese in einer Betriebssystemlösung, die auf einem bestimmten Auslieferungsstand basiert. Wird dieses Produkt in das Netzwerk eines Betreibers integriert, sind möglicherweise Sicherheitsprodukte zu implementieren. Der Aufwand für den Hersteller, sowohl in seiner Risikomanagementakte als auch in seiner Zweckbestimmungs- oder Baumusterbeschreibung alle am Markt verfügbaren Sicherheitslösungen zu bewerten und freizugeben, ist enorm.

Modelle aus der Datenbank

Hier setzt das Produkt von Cetus Consulting an. Die Marktdatenbank verfügt über Referenzmodelle verschiedener Standardinstallationen und Netzwerkstrukturen deutscher Betreiber von Medizingeräten. Anhand dieser Referenzmodelle wird die Softwareimplementierung von Medizingeräten einerseits auf Interoperabilität und Kompatibilität geprüft. Andererseits werden Sicherheitslücken und Soup-Komponenten identifiziert, die möglicherweise Sicherheitsrisiken enthalten. Zudem wird die Verträglichkeit möglicher Sicherheitslösungen für Verschlüsselung, Identitätsmanagement oder andere Anwendungsbereiche anhand eines Referenzmodells getestet, um eine konkrete Lösung zu empfehlen, die mit den Betriebsumgebungen verträglich ist. Davon profitieren Entwickler von Medizingeräten und Softwaremedizinprodukten wie folgt:

  • Überblick über Sicherheitslösungen für Identitäts- und Zugriffsmanagement sowie über weitere Implementierungen fürs Internet der Dinge.
  • Fundierte Sicherheitsanalysen, die das Risikomanagement gemäß ISO 14971 und die Bewertung im Managementsystem nach ISO 13485 mit belastbaren Daten versorgen.
  • Eine Prüfung, ob Medizingerät oder Softwaremedizinprodukt tatsächlich sicher in marktüblichen Netzwerken zu betreiben sind.

„Damit erhalten die Entwickler von Medizingeräten und Medizinsoftware erstmals die Möglichkeit, nicht nur die Auditmethodik und Dokumentenqualität prüfen zu lassen, sondern auch eine noch nie dagewesene Datenqualität für die Risikobewertung“, verspricht Cetus-Geschäftsführer Frederik Humpert-Vrielink. Das erhöhe die Verwendbarkeit der Risikoanalysen.

Für interne Prozesse des Product Security Managements bietet Cetus Consulting zudem die Möglichkeit, diese Abläufe durch das Unternehmen bearbeiten zu lassen. Das ermöglicht gerade kleineren Herstellern, einen Patch- und Update-Managementprozess ähnlich dem großer Softwarekonzerne aufzubauen. „Spätestens mit dem IT-Sicherheitsgesetz werden auch die Betreiber von Medizingeräten auf die Hersteller zukommen, dass ein Mindestmaß an IT-Sicherheit gewährleistet werden soll“, prophezeit Humpert-Vrielink.

Kommentare werden geladen....

Diesen Artikel kommentieren
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43643966 / Konstruktion)