Suchen

VDMA-Podiumsdiskussion Cyber Security in Medical Devices: „Da kommt etwas auf die Hersteller zu“

| Redakteur: Peter Reinhardt

Die fortschreitende Digitalisierung von Medizinsystemen schafft neue Möglichkeiten zur Patientenversorgung, Früherkennung oder Kostenoptimierung. Zugleich steigen die technischen Anforderungen und cyberkritischen Bedrohungen. Mit dem Kunstwort „Medjack“ gibt es bereits einen Fachbegriff für das „Medical Device Hijacking“. Was bedeutet das für Hersteller, Betreiber und Patienten? Die VDMA-Podiumsdiskussion auf der Medica wurde zur Standortbestimmung.

Firmen zum Thema

(Bild: VBM/VDMA)

Im Rahmen der Medica fand am 19. November 2015 auf der Fläche des Medica Tech Forums eine Podiumsdiskussion zum Thema „Cyber Security in Medical Devices“ statt, die gemeinsam von den Arbeitsgemeinschaften Medizintechnik und Produkt- und Know-how-Schutz des VDMA organisiert wurde.

Bildergalerie
Bildergalerie mit 6 Bildern

Moderiert von Devicemed-Chefredakteur Peter Reinhardt stellten sich vier Experten aus Industrie und Behörden kritischen Fragen zu den technischen Anforderungen und cyberkritischen Bedrohungen von IT-Systemen in der Medizin. Kernthemen der Podiumsdiskussion waren Datensicherheit, Datenschutz und Manipulationsschutz sowie die Anforderungen von Herstellern, Betreibern und Patienten.

Mehr Aufmerksamkeit für sichere IT-Infrastrukturen

Einig waren sich alle Teilnehmer der konstruktiven Diskussion, dass mehr Aufmerksamkeit auf sichere IT-Infrastrukturen von Krankenhäusern und medizinischen Geräten und Investitionen nicht nur sinnvoll ist, sondern zwingend notwendig. So sei zum Beispiel das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz ein Schritt in die richtige Richtung, jedoch bestehe hier unter anderem noch Klärungsbedarf über die Verantwortlichkeiten im medizinischen Umfeld. Es ist zum Beispiel nicht eindeutig geregelt, bis wohin Hersteller und Inverkehrbringer von Medizingeräten verantwortlich sind und ab wann Anwender und Betreiber für die Aufrechterhaltung der Sicherheit von IT-Infrastrukturen in der Pflicht stehen.

Bedrohungspotenziale in den Griff bekommen

Mit Blick auf die derzeitige Situation betonte Holger Junker vom Bundesamt für Sicherheit in der Informationstechnik (BSI), dass seitens seiner Behörde eine Reihe von Empfehlungen veröffentlicht wurden, die dort beginnen, wo das Bewusstsein für die Security in einem Großteil von Unternehmen, aber auch bei vielen Betreibern klinischer Infrastrukturen noch nicht gegeben ist. „Um hier möglichst schnell ein entsprechendes Informationssicherheits-Management einzuführen ist es wichtig, Maßnahmen zu identifizieren, die bestehende Bedrohungspotenziale mit einem überschaubarem Aufwand in den Griff bekommen“, so Junker, der den Zuhören hierfür konkrete Starthilfe anbot, aber eine langfristige Projektbegleitung durch das BSI ausschloss.

Hersteller investieren zu wenig in Cyber Security

Mit Blick auf die Investitionsbereitschaft vieler Unternehmen in diesem Bereich stellte Florian Grunow, ERNW, fest, dass bei der Betrachtung von kritischen Infrastrukturen meistens nicht über Systeme und Geräte in der Medizin gesprochen wird. „Aber wenn ein Angriff auf ein solches System die Gesundheit von Patienten oder gar Menschenleben gefährden kann, ist das wohl eine der kritischsten Infrastrukturen schlechthin“, so Grunow. Es sei daher erschreckend, dass viele Hersteller hier nicht mehr investieren oder die Risiken gleich ganz ignorieren.

Technologien für sichere Medizin sind verfügbar

„Aus diesem Grund sind Unternehmen und Betreiber gefordert, ihre Produkte und IT-Infrastrukturen vor Manipulation zu schützen – aber vor allem auch ihr Know-how“, betonte Marco Blume, Wibu Systems. Hier dürfe man sich auch nicht nur auf die Gesetzgebung oder Patente alleine verlassen. So könne beispielsweise der Schutz durch kryptografische Verfahren präventiv vor Nachbau und Cyberangriffen schützen. „Die Technologie ist im Wesentlichen da, jetzt benötigt sie die Investitionsbereitschaft aller Beteiligten, damit sie in die Produkte und Systeme integriert werden kann“, appellierte Blume an Betreiber und Hersteller.

Klinische Zweckbestimmung steht über Cyber Security

Darauf als Hersteller direkt angesprochen, wies Dr. Georg Heidenreich von Siemens Healthcare darauf hin, dass bei allem Engagement zuerst die klinische Zweckbestimmung eines Gerätes oder Systems komme und erst anschließend über Fragestellungen von Vernetzung und Security gesprochen werden könne. „Darüber hinaus ist beispielsweise der Hersteller eines medizinischen Gerätes gar nicht in der Lage, für eine allgemeine Vernetzung dieser Geräte zu sorgen“, so Heidenreich weiter. So würden in der Radiologie heute noch andere Standards genutzt als in OPs oder Laboren. Hinzu komme, dass mittlerweile viele IT-Protokolle aus der Welt der Consumer in die Medizintechnik vorgestoßen seien. „Deswegen braucht es eine hersteller- und anwenderübergreifende Verantwortung“, erklärte Heidenreich. Fazit der Diskussionsrunde: „Mit dem Thema Cyber Security kommt etwas auf Medizingerätehersteller, aber auch auf die Betreiber klinischer Infrastrukturen zu, das gemeinsamer Anstrengungen aller bedarf.“

(ID:43752838)