Empfehlung zur Cybersicherheit von Medizinprodukten

IT-Sicherheit im Krankenhaus muss vernetzte Medizinprodukte berücksichtigen. Hier gibt es eine Sicherheitslücke, die der ZVEI und das BSI durch eine Empfehlung schließen wollen, deren Entwurf heute bei der Media vorgestellt wird.

By
Cornelia
Wels-Maug

Medizintechnische Geräte und Anlagen in Krankenhäusern und Arztpraxen sind vielfach in IT-Netzwerke eingebunden und sind oft permanent mit dem Internet verbunden. Das macht es erforderlich, Cybersicherheitsanforderungen hinsichtlich der Programmierung, Prüfung, Implementie­rung und Wartung der Software durchgängig zu berücksichtigen.

In Deutschland hat sich die Gefährdungslage für die Gesundheitswirtschaft in puncto Cyberattacken deutlich verschärft: Deutsche Krankenhäuser sind mehrfach mit Ransomware angegriffen worden und es stellten sich Sicherheitslücken in lebenswichtigen Medizinprodukten heraus. Deshalb hat die Bundesregierung im IT-Sicherheitsgesetz auch die medizinische Versorgung, neben Finanzen, Transport und Verkehr, als kritische Dienstleistung definiert. Das bedeutet, dass Betreiber von Krankenhäusern, die zur kritischen Infrastruktur gehören, nun in den nächsten zwei Jahren ein Sicherheitskonzept auf dem Stand der Technik aufbauen und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen müssen. „Hersteller von Medizintechnik sind hier nicht direkt adressiert“, so Hans-Peter Bursig, Geschäftsführer des ZVEI-Fachverbands Elektromedizinische Technik. „Die IT-Sicherheit eines Krankenhauses kann jedoch nicht sichergestellt werden, ohne vernetzten Medizinprodukte zu berücksichtigen,“ betont Bursig.

Um diese Lücke zu schließen, erarbeitet der ZVEI gemeinsam mit dem BSI eine Empfehlung zur Cybersicherheit in der Medizintechnik. Sie verfolgen damit das Ziel, Anforderungen an netzwerkverbundene Medizinprodukte zu definieren und einen Beitrag zu einem insgesamt höheren Schutzniveau gegen Cyberattacken auf Gesundheitseinrichtungen zu leisten. Der Entwurf dieser Empfehlung wird heute auf dem Medica Tech Forum in Düsseldorf zum ersten Mal der Öffentlichkeit vorgestellt: „Wir haben uns bewusst dafür entschieden, auf der Medica zunächst einen Entwurf vorzustellen“, betont Bursig. „Er soll die Diskussion zu dem Thema anregen und Verbesserungen vorantreiben,“ erläutert er. Aus diesem Grund schließt sich an die Präsentation des Entwurfs eine Podiumsdiskussion an. Bursig stellt aber klar: „Empfehlungen zur Cybersicherheit von Medizinprodukten können aber nur ein Anfang sein, Teilnehmer aus allen Bereichen des Gesundheitssystems sollten diskutieren, wie ein gemeinsames Vorgehen die Sicherheit des deutschen Gesundheitssystems vor Cyberangriffen erhöhen kann.“

Cornelia Wels-Maug

erforscht seit 21 Jahren den Einsatz von IT in diversen Industriesektoren und hat sich vor fast zehn Jahren auf den Gesundheitsmarkt spezialisiert. Sie verfasst Artikel, Fallstudien und Weißbücher über den weltweiten Markt für IT im Gesundheitswesen undhält Vorträge und Webinare. Gleichzeitig ist sie auch als Analystin für den internationalen Gesundheitsmarkt bei einer englischen Firma tätig.

Kalt erwischt

Das neue MDK-Prüfverfahren

Daten schützen

Interview mit Johannes Caspar, Landesdatenschutzbeauftragter Hamburg