gms | German Medical Science

64. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

08. - 11.09.2019, Dortmund

IT-Sicherheit vernetzter Medizinprodukte: Wer trägt die Verantwortung?

Meeting Abstract

Suche in Medline nach

  • Julian Suleder - ERNW Research GmbH, Heidelberg, Germany
  • Florian Grunow - ERNW Enno Rey Netzwerke GmbH, Heidelberg, Germany

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. 64. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS). Dortmund, 08.-11.09.2019. Düsseldorf: German Medical Science GMS Publishing House; 2019. DocAbstr. 125

doi: 10.3205/19gmds030, urn:nbn:de:0183-19gmds0305

Veröffentlicht: 6. September 2019

© 2019 Suleder et al.
Dieser Artikel ist ein Open-Access-Artikel und steht unter den Lizenzbedingungen der Creative Commons Attribution 4.0 License (Namensnennung). Lizenz-Angaben siehe http://creativecommons.org/licenses/by/4.0/.


Gliederung

Text

Die digitale Vernetzung ist in vielen Lebensbereichen bereits weit verbreitet. Auch in der Gesundheitsbranche werden immer mehr medizinische Geräte vernetzt. Die Sicherheit dieser Geräte wird in Zukunft eine große Rolle spielen, was auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2018 anhand der stetig steigenden Produktpalette an smarten Medizingeräten aufzeigt. [1] Dies wird laut BSI durch die steigende Anzahl an Angriffen auf diese Geräte mit potentiellen Bedrohungen für die Patientensicherheit deutlich unterstrichen.

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) veröffentlicht jährlich Statistiken über von Medizinprodukten ausgehende Risikomeldungen [2]. Für 2017 führen diese Statistiken 7404 Vorfälle von aktiven Medizinprodukten, im Volksmund Medizingerät genannt, die das Leben eines Patienten oder Anwenders hätten gefährden können [3]. Die Ursache dieser Vorfälle kann nur selten vollständig ermittelt werden, da diese nicht zweifelsfrei von der konkreten Bedrohung wie z.B. Verbrennung oder Überdosierung zurück verfolgbar ist. Unsere Forschung zeigt, dass medizinische Geräte, die kritische Aufgaben erledigen, nur über grundlegende Sicherheitsmechanismen verfügen [4], [5], [6], [7]. Im klinischen Umfeld sind dies unter Anderem Medikationspumpen, Narkosegeräte, Implantate oder medizinische Großgeräte, wie z.B. CT und MRT. Alle diese Geräte haben gemeinsam, dass sie sensible Gesundheitsdaten auszutauschen, um als Einheit zu arbeiten.

Insbesondere im klinischen Umfeld ist das komplexe und kritische Einsatzgebiet sowie die lange Lebensdauer und intensive Nutzung der Geräte ein ernstzunehmendes Problem, da die Sicherheitsmechanismen meist nicht für diesen Einsatzzweck konzipiert wurden. Schwachstellen in diesen Geräten sind besonders sensibel zu behandeln, da eine Offenlegung sehr gut durchdacht und koordiniert sein muss, um das potentielle Risiko für Patienten gering zu halten. Ein defektes oder manipuliertes Gerät kann eine massive Bedrohung für das Leben eines Patienten darstellen. Ein Zurückhalten von Informationen über Schwachstellen und Vorfälle hat zur Folge, dass die betroffenen Nutzergruppen und Patienten das Risiko nicht selbst einschätzen können bis sich ein konkreter Vorfall ereignet. Dieses Risiko steigt durch die Tatsache, dass sich die Gesundheitsdienstleister bei der Bereitstellung ihrer Gesundheitsdienste auf die Informationstechnologie verlassen müssen und dabei nicht selten auf veraltete Technologie und unsichere netzwerkfähige medizinische Geräte angewiesen sind. Hinzu kommt, dass Hersteller von Medizingeräten Sicherheitsprobleme in den Geräten durch eine mangelhafte Absicherung bei der Integration in z.B. das Kliniknetz begründen. Daraus resultiert der Versuch die Verantwortung der eigenen Versäumnisse in Design und Implementierung der Geräte abzugeben.

Um diesem Trend entgegenzuwirken, veröffentlichten die Food and Drugs Administration (FDA) in den USA sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland 2018 Empfehlungen für Hersteller von Medizingeräten [8], [9]. Diese spezifischen Hilfestellungen für das Design, die Implementierung, Betrieb sowie Wartung der Geräte legen den Fokus auf die Sicherheit (Security) der Geräte. Besonders hervorzuheben ist, dass das BSI die notwendigen Sicherheitsmechanismen im Gegensatz zur FDA nicht nach dem medizinischen Zweck und dem konkreten Risiko für einen Patienten, sondern an dem Modus der Verwendung und damit implizit an den das Gerät verwendenden Nutzergruppen orientiert. Weiterhin hebt das BSI hervor, dass die erforderlichen Sicherheitsmaßnahmen die Sicherheitsfunktionen der Medizinprodukte und damit das Leben der Patienten nicht negativ beeinflussen dürfen [9].

Die Autoren geben an, dass kein Interessenkonflikt besteht.

Die Autoren geben an, dass kein Ethikvotum erforderlich ist.


Literatur

1.
Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Lage der IT-Sicherheit in Deutschland. 2018 [Accessed 27 March 2019]. Available from: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html Externer Link
2.
Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Statistiken – Medizinprodukte. 2018 [Accessed 27 March 2019]. Available from: https://www.bfarm.de/DE/Service/Statistiken/MP_statistik/_node.html Externer Link
3.
Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Anzahl der Risikomeldungen. 2018 [Accessed 27 March 2019]. Available from: https://www.bfarm.de/DE/Service/Statistiken/MP_statistik/AllgStatAngaben/Anzahl-Risikomeldungen/_node.html Externer Link
4.
Suleder J, Dewald A, Grunow F. ERNW Whitepaper 66: Medical Device Security: A Survey of the Current State. 2018 [Accessed 27 March 2019]. Available from: https://ernw.de/en/whitepapers/issue-66.html Externer Link
5.
Grunow F. The patient’s last words: I am not a target! 2015 [Accessed 27 March 2019]. Available from: https://insinuator.net/2015/07/the-patients-last-words-i-am-not-a-target/ Externer Link
6.
Grunow F. Scal(e)ing down Privacy. 2014 [Accessed 27 March 2019]. Available from: https://insinuator.net/2014/11/scaleing-down-privacy/ Externer Link
7.
Grunow F. Medical Device Security. 2013 [Accessed 27 March 2019]. Available from: https://insinuator.net/2013/11/medical-device-security/ Externer Link
8.
Food and Drugs Administration (FDA). Content of Premarket Submissions for Management of Cybersecurity in Medical Devices. Draft Guidance for Industry and Food and Drug Administration Staff. 2018 [Accessed 27 March 2019]. Available from: https://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM623529.pdf Externer Link
9.
Bundesamt für Sicherheit in der Informationstechnik (BSI). Cyber-Sicherheitsanforderungen an netzwerk­fähige Medizinprodukte. 2018 [Accessed 27 March 2019]. Available from: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_132.html Externer Link