Ausgewählter Artikel

Medizinische Geräte und warum Cybersicherheit nicht verhandelbar ist

Regulierungsbehörden erwarten seit langem von Medizingeräteherstellern, dass sie die Cybersicherheit ihrer Produkte effektiv verwalten.

Veröffentlicht am:
12. September 2024

Dieser Artikel wurde ursprünglich in New Electronics veröffentlicht.

Um diese Bemühungen zu unterstützen, veröffentlichte die Food and Drug Administration (FDA) im Jahr 2005 ihre ersten Leitlinien zur Cybersicherheit von Medizingeräten, wobei der Schwerpunkt auf vernetzten Medizingeräten mit handelsüblicher Software (OTS) lag.

Dennoch hat sich der Leitfaden vor der Markteinführung von FDA im Laufe der Jahre erheblich weiterentwickelt und von einem 9-seitigen Dokument im Jahr 2014 zu einem umfassenden 57-seitigen Leitfaden im Jahr 2023 erweitert. Allein diese Entwicklung zeigt die zunehmende Bedeutung der Cybersicherheit in der Medizingerätebranche.

Mit dem Consolidated Appropriations Act 2023 wurden jedoch die traditionell informellen Empfehlungen des FDA zur Cybersicherheit von Medizingeräten in formelle, gesetzesbasierte Anforderungen umgewandelt. In Verbindung mit den 2023 aktualisierten Leitlinien von FDA zur Cybersicherheit in medizinischen Geräten: Überlegungen zum Qualitätssystem und Inhalt von Einreichungen vor dem Inverkehrbringen bedeutet diese Entwicklung erhöhte Standards in der Cybersicherheit von medizinischen Geräten. Zusammengenommen stellen diese Änderungen einen bedeutenden Fortschritt in der Regulierungslandschaft für die Cybersicherheit medizinischer Geräte dar.

Sicherstellen, dass medizinische Geräte „cybersicher“ bleiben

Wie Initiativen auf der ganzen Welt zeigen, gelten diese Erwartungen nicht nur für US. Beispielsweise verlangt die Richtlinie 2022/2555 über die Sicherheit von Netzwerk- und Informationssystemen (NIS2) von EU Herstellern von Medizinprodukten, einschließlich Chemikalien (APIs), Pharmazeutika und Medizinprodukten, nun, umfassende Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit umzusetzen und Meldepflichten einzuhalten.

Dann veröffentlichte die Therapeutic Goods Administration (TGA) in Australien die 2022 Medical Device Cybersecurity Guidance for Industry, die einen Total Product Lifecycle (TPLC)-Ansatz für die Cybersicherheit vorschreibt. Dieser Ansatz erfordert, dass Hersteller Penetrationstests, Bedrohungsmodellierung und andere proaktive Maßnahmen in ihren Risikomanagement-Bewertungsprozess integrieren.

In Singapur führt das Cybersecurity Labeling Scheme for Medical Devices (CLS-MD) ein Bewertungssystem für medizinische Geräte auf der Grundlage ihrer Cybersicherheitsbestimmungen ein. Im Rahmen dieses Systems werden medizinische Geräte nach ihrer Cybersicherheitsrobustheit bewertet und gekennzeichnet und liefern wertvolle Informationen für die breite Öffentlichkeit und Gesundheitsdienstleister. Dieses Kennzeichnungssystem ermöglicht fundierte Kaufentscheidungen und ermöglicht es den Beteiligten, medizinische Geräte zu identifizieren und auszuwählen, die hohe Cybersicherheitsstandards erfüllen.

Diese globalen Initiativen spiegeln einen wachsenden internationalen Konsens über die Bedeutung robuster Cybersicherheitsmaßnahmen in der Medizingeräteindustrie wider.

Die Vorteile der Vernetzung sind nicht ohne Schwächen

Wenn ein medizinisches Gerät Software enthält, insbesondere wenn es elektronisch mit anderen Geräten oder Netzwerken verbunden werden kann, ist die Priorisierung der Cybersicherheit von entscheidender Bedeutung. Die Vernetzung medizinischer Geräte in der modernen medizinischen Landschaft, erleichtert durch softwaregestützte intelligente medizinische Geräte und einen Wandel hin zum Internet der Dinge (IoT), bietet unbestreitbar den Vorteil einer bequemen und zeitnahen Versorgung.

Beispielsweise können Patienten mit Herzimplantaten aus der Ferne überwacht werden, wodurch die Notwendigkeit häufiger Arztbesuche verringert wird. Ebenso ermöglichen neue Tools zur Steuerung des Blutzuckerspiegels eine nahtlose Interaktion von Blutzuckermessgeräten und Insulinpumpen. Krankenhäuser setzen auch immer mehr vernetzte Geräte ein, um die Pflege und Effizienz durch den nahtlosen Datenaustausch zu verbessern. Gleichzeitig werden medizinische Geräte dadurch jedoch auch anfälliger für Cyberangriffe und Sicherheitsverletzungen, wenn es Schwachstellen in den Gesundheitssystemen gibt.

Die erhöhten Risiken entstehen dadurch, dass böswillige Akteure es auf Gesundheitsorganisationen abgesehen haben, um anfällige Geräte auszunutzen, auf Patientenakten zuzugreifen, den Betrieb zu stören, Lösegeld zu fordern oder Netzwerke zu infiltrieren. Beispielsweise sind Geräte wie Insulinpumpen, Herzschrittmacher und Wearables einer erhöhten Anfälligkeit ausgesetzt, da sie Patientendaten in Echtzeit verfolgen und Informationen sofort an Patienten und Ärzte übermitteln. Daher sind robuste Cybersicherheitsmaßnahmen unerlässlich, um diese kritischen Geräte zu schützen und die Patientensicherheit zu gewährleisten.

Praktische Implikationen für Entwickler

Die Cybersicherheitsrichtlinien und der regulatorische Geltungsbereich des FDA umfassen eine breite Palette von Gerätesoftwarefunktionen, einschließlich Datenspeicherung, -übertragung und -analyse. Jedes medizinische oder diagnostische Gerät mit aktualisierbarer Software, einem USB-Anschluss oder sogar CD-Technologie wird jetzt als angeschlossenes Gerät eingestuft und fällt unter die neuen Vorschriften.

Sowohl die NCSC-Secure-Design-Prinzipien von FDA als auch von UK betonen, wie wichtig es ist, dass Hersteller das breitere Ökosystem und die Vernetzung von Geräten berücksichtigen.

Anstatt isoliert zu agieren, sollten Sicherheitsziele in die gesamte Systemarchitektur medizinischer Geräte integriert werden.

Hersteller medizinischer Geräte (MDMs) sollten rechtzeitig vor ihrer Veröffentlichung eine Bedrohungsmodellierung für Geräte durchführen, um Sicherheitsbedrohungen und Schwachstellen umgehend zu erkennen, sie zu bewerten und zu priorisieren, um sicherzustellen, dass die Geräte sicher sind, bevor sie auf den Markt kommen. Durch die Erstellung einer priorisierten Liste der wichtigsten Anliegen können Teams kritische Probleme vor der Einreichung effektiv angehen und lösen. Darüber hinaus wird ein dokumentiertes Protokoll von Sicherheitsüberlegungen erstellt, das Teams in zukünftigen Iterationen systematisch berücksichtigen können.

Es ist auch wichtig, systemische Probleme anzugehen, um zu vermeiden, dass später einzelne Korrekturen erforderlich sind. Dies kann die Überarbeitung von Standardarbeitsanweisungen, die Anpassung des Qualitätsmanagementsystems und die Entwicklung umfassender Sicherheitsstrategien umfassen, die sich über den gesamten Entwicklungslebenszyklus erstrecken und sowohl Cybersicherheitsstandards als auch regulatorische Anforderungen erfüllen.

Letztendlich gefährdet die Nichteinhaltung der expliziten Kriterien der FDA für Cybersicherheitsmaßnahmen nicht nur die Patientensicherheit und die Datenintegrität, sondern könnte auch zu Verzögerungen beim Markteintritt führen, was zu finanziellen Verlusten und Reputationsschäden führen kann. Ebenso könnte im EU die Nichteinhaltung des Cyber Resilience Act durch Hersteller zur Entfernung von Produkten aus dem Binnenmarkt oder zu erheblichen Bußgeldern führen, die mit denen der Datenschutz-Grundverordnung (DSGVO) vergleichbar sind.

Um das Risiko zu mindern, empfiehlt FDA die Implementierung eines „Software Bill of Materials“ (SBOM)-Programms als grundlegendes Element ihrer Softwaresicherheit und ihres Lieferkettenmanagements. Das SBOM bietet eine umfassende Liste aller Softwarekomponenten innerhalb eines Geräts und ermöglicht so eine effektive Verfolgung und Verwaltung von Schwachstellen.

Für Hersteller ist es von entscheidender Bedeutung, die Cybersicherheitsanforderungen und -erwartungen in den Zielmärkten zu verstehen und sich an ihnen auszurichten, um sich effektiv in der Regulierungslandschaft zurechtzufinden und die Sicherheit und Integrität ihrer Medizinprodukte zu gewährleisten.

Vorbeugen ist besser als heilen

Es ist wichtig zu beachten, dass Cybersicherheit kein nachträglicher Gedanke sein sollte, sondern in die Grundlage der Entwicklung medizinischer Geräte eingebunden werden sollte.

Cybersicherheit muss in allen Bereichen des Unternehmens Priorität haben, einschließlich Budgetzuweisung, Ressourcenzuweisung, Schulung usw. Es geht nicht nur darum, Vorschriften einzuhalten und Strafen zu vermeiden; Es geht darum zu erkennen, dass der wahre Nutzen fortschrittlicher, vernetzter Geräte nur dann zum Tragen kommt, wenn Endbenutzer den Geräten vertrauen können, die so eng in ihr Leben integriert sind. Wenn die Software hinter diesen Geräten nicht im Hinblick auf Cybersicherheit entwickelt wird, kann sie anfällig für Cyberbedrohungen werden und dadurch die Patienten, die auf sie angewiesen sind, denselben Risiken aussetzen. Das verfehlt den Zweck.

Bei der Entwicklung einer Sicherheitsstrategie müssen auch systemische Probleme berücksichtigt werden, um spätere Korrekturen zu vermeiden. Wenn man solchen Prozessen die gebührende Bedeutung beimisst, können Entwickler potenzielle Risiken vorhersehen und frühzeitig Korrekturmaßnahmen ergreifen, was letztendlich den Ärger potenzieller Reputationsschäden, finanzieller Verluste, Marktverzögerungen und Probleme mit der Patientensicherheit erspart.

Newsletter abonnieren
Abonnieren Sie unseren monatlichen Newsletter.
Mit dem Abonnement stimmen Sie unseren Geschäftsbedingungen zu.
Vielen Dank! Ihre Nachricht wurde empfangen.
Beim Absenden des Formulars ist ein Fehler aufgetreten.
Get your instant estimate
AI-powered dossier compilation and local representation, all for a flat annual fee.
Schätzung erhalten
Mehr lesen

Sprechen wir,
wo immer Sie sind.

Ob Sie weitere Informationen suchen oder bereit zur Zusammenarbeit sind: Wir begleiten Sie durch jeden Schritt des regulatorischen Prozesses.

Kontakt