:quality(80)/p7i.vogel.de/wcms/3e/4f/3e4f02294ab082c761ab64b62ac7e1f5/0110562703.jpeg "Die Medica und die Compamed bilden ein starkes Messe-Duo für die komplette Wertschöpfungskette der Medizintechnik-Industrie. (Bild: Constanze Tillmann/Messe Düsseldorf)")
:quality(80)/p7i.vogel.de/wcms/7e/4d/7e4da161903e2fc4007ff7537d7289ce/0110538335.jpeg "Die Einführung digitaler und KI-gesteuerter Technologien kann die Patientenversorgung, Behandlungsergebnisse und Betriebskosten positiv beeinflussen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/a8/b9a8089c509e4844e4a56ca692e53bd5/0110530724.jpeg "Podiumsdiskussion der MDR-Branchenkonferenz 2022 (Bild: BVMed)")
:quality(80)/p7i.vogel.de/wcms/c8/fb/c8fb2e188880842df844cfb3c261f928/0110506295.jpeg "Der Deutsche Ethikrat gibt Empfehlungen für den Einsatz von künstlicher Intelligenz. „KI darf den Menschen nicht ersetzen“, betonte Alena Buyx, Vorsitzende des Deutschen Ethikrates. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/c1/d8/c1d8149e5ff2304db8c5d4f45ce248c8/0110545898.jpeg "Ein Stereotaxierahmen (Bild: Inomed Medizintechnik GmbH/DPMA)")
:quality(80)/p7i.vogel.de/wcms/9d/60/9d60bc1c9312ccc3dc81bb3dbaa66c35/0110514137.jpeg "Cobots übernehmen immer häufiger Aufgaben in Bereichen wie Inspektion und Materialtransport. (Bild: Omron)")
:quality(80)/p7i.vogel.de/wcms/6d/84/6d844d7f0e4028dbc216b48b640fe655/0110490393.jpeg "Das EC-Gebläse von MAE kann direkt in ein Gerät für die Kryotherapie integriert werden. (Bild: Ametek SRL)")
:quality(80)/p7i.vogel.de/wcms/1a/90/1a905899eb0acfe786b7d76d647bf501/0110468719.jpeg "Der Aerotech-Messestand auf der Control 2022 (Bild: Aerotech)")
:quality(80)/p7i.vogel.de/wcms/79/28/7928905e71d18651e4b6520a27ae4f6a/0110448908.jpeg "Das auf standardisierten Modulen basierende Anlagenkonzept ermöglicht die individuelle Konfiguration von Ultraschall-Tauchreinigungsanlagen für die Zwischen- und Endreinigung – auch mit direkter Anbindung an einen Reinraum. (Bild: UCM)")
:quality(80)/p7i.vogel.de/wcms/da/4f/da4f789a83bedd0293998715be2e92ac/0110252745.jpeg "Die Truprint 1000 ist für die Serienfertigung von Dentalprothesen ausgelegt. (Bild: Trumpf)")
:quality(80)/p7i.vogel.de/wcms/51/db/51dbf00727d5feecfca18088e4a3bdea/0110152607.jpeg "Die keramischen High-Performance-Tubes wurden bei Steinbach mithilfe der Technologie LCM hergestellt. (Bild: Steinbach AG)")
:quality(80)/p7i.vogel.de/wcms/50/19/5019c3de7ef31defb628567f5f75ca6b/0110099361.jpeg "Harting hat einen Mikrofonträger im 3D-MID-Design realisiert, der die Mikrofone des Hörgeräts präzise ausrichtet und gleichzeitig den elektrischen Kontakt integriert. (Bild: Harting)")
:quality(80)/p7i.vogel.de/wcms/70/c0/70c08322a6f9b160f4e1c679b2458e17/0110156785.jpeg "Die anatomischen 3D-Druckmodelle ermöglichen es Ärzten, komplexe Operationen zu planen und durchzuführen und die Kommunikation zwischen medizinischem Personal, dem Patienten und seinen Familien zu verbessern.. (Bild: Stratasys)")
:quality(80)/p7i.vogel.de/wcms/16/1a/161abd33a72941e6d3627eab0f737170/0110414794.jpeg "Das Förderprogramm WIPANO bietet für mittelständische Medizintechnik-Unternehmen eine interessante Möglichkeit, neue Entwicklungen kostengünstig über ein Patent oder Gebrauchsmuster schützen zu lassen. (Symbolbild) (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/05/c2/05c2db701807e2ba6c539aca0155ab98/0110204042.jpeg "Die Einführung digitaler Lösungen kann für Medtech-Unternehmen mit hohen Investitionen verbunden sein. Wann rentieren sich diese? (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/15/7d15720c1da561fe830f1730e8f277b7/0109674885.jpeg "Das Treffen mit den Branchenvertretern fand auf Einladung der GHA an deren Messestand auf der Medica statt: (v. l.) Alexander Glänzel (Tracoe Medical GmbH), Veronika Guld (GHA – German Health Alliance), Judith Illerhaus (GTAI Germany Trade and Invest), Joachim Butzlaff (3B Scientific GmbH Advancing Medical and Science Education), Maik Greiser (Atmos Medizintechnik), Armin Smajilovic (Haeberle GmbH + Co. KG), Julia Engelke (Devicemed), Erhard Fichtner (GHA – German Health Alliance) (Bild: Breunig – Devicemed)")
:quality(80)/p7i.vogel.de/wcms/f9/fc/f9fcdc2dc18ae27e7b70b5ca941e8ae8/0110524643.jpeg "Ein Mix aus Vorträgen, Workshops und Gesprächen: Die zweite Ausgabe der Regulatory Affairs Expert Talks mit einem Update zu MDR und IVDR. (Bild: Stefan Bausewein)")
:quality(80)/p7i.vogel.de/wcms/1b/70/1b70c1294383757ec39421ef271bca8d/0110305775.jpeg "Die Anlaufstelle Regulatorik bei der Biopro soll v. a. KMU bei regulatorischen Fragen unterstützen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1f/60/1f603dcb0dd186376c4f291ad245a78c/0110161952.jpeg "Stefan Bolleininger wird wie im vergangenen Jahr eine der Keynotes bei den Regulatory Affairs Expert Talks halten. (Bild: Stefan Bausewein)")
:quality(80)/p7i.vogel.de/wcms/fe/98/fe98b8c56e8f74fd3680a68b1004d59a/0110086307.jpeg "Im neuen KIT-Zentrum „Health Technologies“ wollen Forschende gemeinsam mit Studierenden und der Gesellschaft unter anderem die Digitalisierung in der Gesundheitsversorgung vorantreiben. (Bild: Markus Breig - KIT)")
:quality(80)/p7i.vogel.de/wcms/6d/84/6d84276dc0059dc3bbd247b9ba176045/0109958630.jpeg "Die eingereichten Lösungen wollen die Digitalisierung des Gesundheitswesens voranbringen (© vertigo3d, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/29/24/292462a1a0b1c65c2fe6f1d8af3da4bf/0109899329.jpeg "Durch die Einführung neuer Technologien im Bereich der Blutzuckermessung ist der Markt rasch gewachsen. (Bild: lukszczepanski - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/ac/94acb12866764a343001be8b1ce397ac/0109829906.jpeg "(Bild: MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/71/c9716dae9882bed14152b41fde909737/0110381925.jpeg "Konzeptgerät einer Transportbox, die im Projekt „DeLiver“ entstanden ist. (Bild: TH Köln)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264ecca57ef7ebc9476abde8e7f7446e/0110237521.jpeg "Gitter-Demonstrator gefertigt mittels LPBF aus ZnMg mit einem Strebendurchmesser von 200 Mikrometer. (Bild: Irrmischer - RWTH DAP )")
:quality(80)/p7i.vogel.de/wcms/15/75/1575eaf79834318894a1f8ca822c62e3/0109973890.jpeg "Die Rahmenbedingungen für Forschung und Entwicklung der Medtech-, Biotech- und Pharma-Unternehmen sollen gestärkt werden. (Bild: MIND AND I - stock.adobe.com)")
Embex Cybersecurity als Maßanzug: Praxiserfahrungen zur Entwicklung vernetzter Geräte
Auch renommierte Anbieter von Medizintechnik unterschätzen häufig die Gefahr der Manipulation ihrer Produkte durch Hacker. Die Entwicklung sicherer Geräte gelingt mit dem systematischen Betrachten des Produkts aus IT-Systemsicht, fundierter Kenntnis der technischen Möglichkeiten von Hackern und applikativen Branchenkenntnissen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/76800/76895/65.jpg "FAULHABER_120mm.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/95200/95271/65.jpg "Logo.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ce/62ce7f8c880e3/epf-schrift---icon-vertikal-cmyk.png "epf-schrift---icon-vertikal-cmyk (EPflex)"){kind=icon}
- Medizinische Geräte ein ideales Ziel für Hacker
- Gesundheitseinrichtungen sind selten ausreichend geschützt
- Notwendigkeit einer aussagekräftigen Risikoanalyse
- Cyber-Security schon während der Produktentwicklung erforderlich
Medizinische Geräte müssen häufig sehr schnell einsatzbereit sein. Ihre Nutzung darf dann nicht durch Authentifizierungsmaßnahmen oder Verschlüsselungen, die im IT-Umfeld selbstverständlich sind, beeinträchtigt oder gar blockiert werden. Außerdem werden die Geräte in der Regel in wenig oder gar nicht gesicherten Bereichen verwendet. So ist entgegen der allgemeinen Meinung selbst der Zugang zu Operationssälen selten durch wirksame Maßnahmen vor einem potenziellen Angreifer geschützt. Oft trifft man auf die völlig unrealistische Auffassung, das Krankenhauspersonal könne sicherstellen, dass kein Hacker physischen Zutritt zu LAN-Ports erhält. Das ist aber auf Grund der Personalstärke und des Besucherverkehrs in den Krankenhäusern gar nicht möglich. Die medizinischen Geräte sind damit ein ideales Ziel für Hacker.
Krankenakten sind attraktiv für den Schwarzmarkt
Ein weiteres Risiko entsteht darin, dass ihre Bediener, egal ob Ärzte, Pflege-, Reinigungs- oder Hausverwaltungskräfte, häufig mit den Geräten nicht so umgehen, wie vom Hersteller vorgesehen, und bei einer Fehlbedienung nicht die möglichen Folgen für die IT-Security im Auge behalten. Diese Situation stellt für mögliche Angreifer einen enormen Reiz dar: Eine einzige Krankenakte lässt sich auf dem Schwarzmarkt für durchschnittlich 25 US-Dollar verkaufen. Es sind auch Preise bis 1.000 US-Dollar pro Akte möglich, je nach Patient und Inhalt der Akte. Bedenkt man die große Anzahl der im Krankenhaus-Netzwerk hinterlegten Datensätze und addiert die möglichen Erträge durch eine nachträglich ausgeführte Infrastrukturverschlüsselung durch einen Erpressungs-Trojaner hinzu, kann die Motivation von Hackern auch sehr einfach finanziell beziffert werden.
Trägt der Hersteller die Verantwortung für die IT-Security?
Für den Hersteller von medizinischen Geräten stellt sich angesichts dieser Probleme die Frage, ob er tatsächlich die komplette Verantwortung für die IT-Security tragen und alle damit einhergehenden Risiken entsprechend tiefgehend betrachten und bewerten kann und will. Versagt er, kann ein unsicheres Gerät, das ein Einfallstor für einen Angreifer war, schließlich einen beträchtlichen Image-Schaden des Herstellers zur Folge haben.
Normativ betrachtet, müssen in der Produktentwicklung Prozesse zur sicheren Implementierung geschaffen und – aufbauend auf einer vollumfänglichen IT-Security-Risiko-Bewertung mit entsprechend weitreichendem Threat-Modeling – etabliert werden. Wird hierbei nur ein einziges Glied in der Kette übersehen, kann dies zur Kettenreaktion und final zu einer ausnutzbaren Schwachstelle führen. Es ist also nicht ausreichend, lediglich einen Kommunikationsweg zu betrachten und beispielsweise auf die Sicherheit einer Verschlüsselung zu hoffen. Gerade in Krankenhäusern ist etwa eine MitM-(Man-in-the-Middle)-Attacke nicht auszuschließen. Eine deutlich tiefere Betrachtung der Kommunikationspartner, Schnittstellen, Protokolle, der implementierten Bibliotheken und der bis dahin bekanntgewordenen Schwachstellen je Versionsstand ist somit die zwingende Voraussetzung für eine aussagekräftige Risikoanalyse.
Entwicklungsprozesse müssen an die Systeme angepasst werden
Ist ein System zu „eng geschnitten“, kann beispielsweise eine vermeintlich sicher wirkende Verschlüsselung unter gezielten Angriffsbedingungen die Hardware überlasten und zum Zusammenbruch führen. Entsprechend kann es fatale Folgen haben, eine Verbindung und Abhängigkeiten zwischen Hardware, Software und Kommunikationsschnittstellen zu übersehen und nur jeden Aspekt separat und ohne Abhängigkeiten zu bewerten. Ist das System wiederum zu „weit geschnitten“, kann eine scheinbar ungefährliche Schwachstelle zu weitaus größeren, vermeintlich kontrollierten Schwachstellen führen und das gesamte System dennoch gefährden. Die genannten Probleme und Zusammenhänge machen deutlich, dass ein sicherer Entwicklungsprozess im Unternehmen nur durch Anpassung der bisherigen Prozesslandschaft erreicht werden kann.
Um außerdem konform zu FDA-Guidelines, BSI-Vorgaben oder IEC/ISO-Normen zu sein, kommt für Hersteller erschwerend hinzu, dass ein Produkt aus Security-Sicht niemals fertig entwickelt sein kann, solange es nicht ordnungsgemäß außer Betrieb genommen worden ist. Das bedeutet, dass IT-Security bereits am Anfang der Planungsphase einer Entwicklung berücksichtigt werden muss – direkt nach der Erstellung des Lastenheftes.
Entwicklung sicherer Security-Produkte erfordert fundierte Kenntnisse
Die Entwicklung sicherer Produkte in Bezug auf Security erfordert fundierte Kenntnisse in den Bereichen Hardware- und Software-Entwicklung, Embedded-Devices im IT-Umfeld, Gerätevernetzung und Schwachstellenanalyse. Ausgeprägtes Know-how in der Usability-Gestaltung und ein hohes Maß an Kreativität während der Schwachstellenfindung sind in der Produktentwicklung zwingend erforderlich, denn nur benutzerfreundliche Geräte werden auch wie vorgesehen genutzt. Erschwert beispielsweise eine Security-Maßnahme die Nutzung des Gerätes, wird es über kurz oder lang entweder einen „selbstgebastelten Workaround“ der Nutzer geben – mit einhergehendem Risiko der Sicherheitslücke – oder das Gerät endet in der hintersten Ecke des OPs und verstaubt. Das ist in keinem Fall im Sinne des Herstellers.
Abschließend sei daran erinnert, dass Cyber-Security nicht nur einmalig während der Produktentwicklung betrachtet werden darf. Schwachstellen in implementierten Bibliotheken werden regelmäßig veröffentlicht und müssen behoben werden. Neue Features müssen hinzugefügt werden können, um auch ältere Systeme an die schnell wechselnde IT-Infrastruktur anzubinden und weiterhin Kompatibilität und einen sicheren Betrieb zu gewährleisten. Entsprechend muss ein Lifecycle- und Patchmanagement für das Produkt erstellt werden. Für den Hersteller medizinischer Geräte bedeutet das unter Umständen die Notwendigkeit von Investitionen und der Aufstockung von Personal – Maßnahmen, die sich mittel- und langfristig aber sicher rentieren werden.
Lesen Sie auch
:quality(80)/images.vogel.de/vogelonline/bdb/1393700/1393704/original.jpg "Einfach sicher: Seit fast 30 Jahren ist die von Marcellus Buchheit (l.) und Oliver Winzenried gegründete Wibu-Systems AG führend im Softwareschutz. (Robert Brembeck)")
Wibu-Systems
Wegbereiter für Produktschutz und neue Lizenzierungsmodelle
:quality(80)/images.vogel.de/vogelonline/bdb/1375300/1375324/original.jpg "Es geht bei dem Thema Sicherheit von Medizintechnik im Internet der Dinge nicht allein um Privacy, also den Schutz von Patientendaten. Es geht auch um Security, das heißt den Schutz vor Angriffen von außen, sowie um Safety: Wenn Medizingeräte manipuliert werden, sind sie nicht mehr sicher zu betreiben. (© Elnur Amikishiyev - stock.adobe.com)")
Vernetzt? Aber sicher! Safety, Security und Privacy in der Medizintechnik
Weitere Artikel über die Entwicklung sicherer Medizingeräte finden Sie in unserem Themenkanal Konstruktion.
* Der Autor: Lukas Fey ist IT-Security Consultant bei der Embex GmbH.
Artikelfiles und Artikellinks
(ID:45765361)
:quality(80)/images.vogel.de/vogelonline/bdb/1944400/1944489/original.jpg "Am 15. März fanden zum ersten Mal die Regulatory Affairs Expert Talks mit einem Update zur MDR und IVDR statt. (Stefan Bausewein)")
:quality(80)/images.vogel.de/vogelonline/bdb/1946500/1946572/original.jpg "Mit Closed Loop Manufacturing können Siemens und spezialisierte Partner durchgehende Lösungen realisieren. (Siemens )")