BAYOOMED
  • Portfolio
    • Mobile Medical Apps
    • Inverkehrbringung
      • Digitale Gesundheitsanwendungen (DiGA)
      • BAYOOCARE
    • Unterstützung
      • Regulatorische Beratung
      • Klinische Bewertung
      • Risikomanagement
      • Qualitätsmanagement
      • Usability Engineering
      • Zulassung
      • Klassifikation
      • Post-Market Surveillance
    • Hidden Capabilities
    • Lösungen
      • Connectivity
      • Cloud-basierte Lösungen
      • Desktop- und webasierte Lösungen
      • Künstliche Intelligenz
      • Cybersecurity
      • Agile Softwareentwicklung
      • Verifikation und Validierung
  • Medical Software
    • Produktentwicklung
      • Anforderungsmanagement
      • Software-Architektur
      • Software Engineering
      • Embedded Software
      • Verifikation und Validierung
  • Über uns
    • Über BAYOOMED
      • Team
      • Zertifizierung (ISO 13485 Zertifikat)
      • YOOme
      • BVMed Mitgliedschaft
    • Über BAYOONET
      • BAYOOSOFT
      • BAYOOTEC
      • BAYOOCARE
      • Mechatronic
    • Success Stories
  • Aktuelles
  • Jobs und Karriere
  • Suche
  • Menü

Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte

Die Digitalisierung und der damit verbundene Trend zur Vernetzung ist auch bei Medizinprodukten ein wichtiges Thema. Der schnelle und komfortable Austausch von Informationen ist beispielsweise bei der Analyse des Gesundheitszustandes von Patient:innen gewinnbringend und kann die Qualität der Behandlung steigern.

Diese Medizinprodukte werden in Bereichen, die für Patient:innen als sicherheitskritisch gelten, verwendet. Zusätzlich zählen die übertragenen Daten auf Basis der DSVGO als besonders schützenswert. Nicht zuletzt mit Blick auf Audit-Verfahren gilt es für Hersteller:innen, einen besonderen Augenmerk auf Cybersecurity zu legen. Dementsprechend sind Fragen zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte und deren Schutz wichtige Themen.

Ein solcher Schutz beinhaltet neben technischen, auch organisatorischen Maßnahmen. Wir geben Ihnen einen Überblick über beide Bereiche und stellen wichtige Punkte vor.

von Sebastian Wittor

Organisatorische Maßnahmen

Organisatorische Maßnahmen beschreiben Schutzmaßnahmen, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Sie dienen der Vermeidung potentieller Angriffsmöglichkeiten und beschreiben Prozesse zum Umgang mit bekanntgewordenen Schwachstellen.

Cybersecurity Risikoanalyse

Zur Erfüllung der grundlegenden Anforderungen der aktuell gültigen Richtlinien für Medizinprodukte, ist im Rahmen des Konformitätsbewertungsverfahrens u.a. eine Risikoanalyse zu erstellen. Hierbei werden die dort identifizierten Risiken, zu denen auch Cybersecurity zählt, analysiert, minimiert und dokumentiert. Die Risikoanalyse ist ein durchgehender Prozess, bei der im Laufe der Entwicklung neue potentielle Angriffsvektoren identifiziert und den Umgang damit regelt. Das Ziel ist die Minimierung der Eintrittswahrscheinlichkeit von Sicherheitsrisiken und die Reduktion ihrer Auswirkungen auf Patient:innen und Medizinprodukte.

Lebenszyklus des Medizinprodukts

Cybersecurity spielt im Lebenszyklus eines Medizinprodukts eine wichtige Rolle. Direkt zu Beginn der Planung und Entwicklung eines solchen Produkts werden essenzielle Fragen zum Softwareentwicklungsprozess gestellt. Hierzu dient die Entscheidung über Vorgaben zur sicheren Implementierung, die Auswahl vertrauenswürdiger Entwicklungswerkzeuge und die Implementierung von Kontrollmechanismen, die durch Prüfabschnitte (Security Gates) und Systemtests erfolgen kann.

Der Lebenszyklus regelt auch nach dem Produktrelease den Umgang mit sicherheitsrelevanten Fragen in Bezug auf die Produktpflege und bekanntgewordenen Schwachstellen. Relevant sind hier Prozesse zur Erkennung neuer potenzieller Angriffsvektoren, zur regelmäßigen Überprüfung auf bekanntgewordene Schwachstellen und alle verwendeten externen Subkomponenten und Fragestellungen zur Updatepolitik des Produktes.

Kommunikation von Schwachstellen

Neben dem Umgang mit bekanntgewordenen Schwachstellen ist auch eine Definition der Kommunikation über diese notwendig. Hierzu zählt die Etablierung von Kommunikationskanälen, u.a. zur Mitteilung von erkannten Schwachstellen, der offenen Kommunikation dieser Schwachstellen gegenüber Anwender:innen und die Schaffung von Kontaktmöglichkeiten für Cybersecurity-relevante Fragen.

Technische Maßnahmen

Unter technische Maßnahmen sind alle soft- und hardwarebasierten, umsetzbaren Schutzmaßnamen zur Absicherung des Medizinprodukts gegenüber Angriffen Dritter zu verstehen. Sie behandeln konkrete potenzielle Angriffsvektoren und sichern das Medizinprodukt demgegenüber ab.

Absicherung der Netzwerkkommunikation

Der größte Angriffsvektor für netzwerkfähige Medizinprodukte ist ein Angriff auf die Kommunikationskanäle und den damit verbundenen Datenaustausch sowie die -verarbeitung. Hierbei besitzt ein:e Angreifer:in die Möglichkeit, diese Daten auszulesen oder zu manipulieren. Zur Absicherung der Kommunikation ist zuerst eine Analyse notwendig. Basierend hierauf erfolgt die Planung und technische Umsetzung der Datenübertragung. Unter Beachtung aktueller Schutzmaßnahmen und kryptografischer Verfahren sollte eine Absicherung der Daten auf Basis der Schutzziele erfolgen.

Verhinderung der Preisgabe von Informationen

Neben dem Schutz der Datenübertragung ist auch die Absicherung des Medizinproduktes samt Hostsystems zu beachten. Durch systembasierte Schwachstellen besitzen Angreifer:innen die Möglichkeit, Informationen über die Kommunikation und verwendete Sicherheitsmerkmale zu erhalten die zum Angriff auf diese Netzwerkverbindung verwendet werden können.

Erkennung von Angriffen

Trotz der Verwendung aktueller Sicherheitsstandards und ihrer gewissenhaften Umsetzung lassen sich potenzielle Angriffe auf unbekannte Schwachstellen nicht ausschließen. Deswegen ist die Implementierung eines Systems zur Erkennung potenzieller Angriffe empfehlenswert. Es analysiert die Verwendung des Medizinprodukts sowie deren Kommunikationskanäle. Zudem stellt es auf Basis dieser Daten Unregelmäßigkeiten fest, die auf einen Angriff hindeuten können. Dies dient neben der Erkennung auch dem Verständnis über den Ablauf eines Angriffes und seines Angriffsvektors, um darauf basierend konkrete Gegenmaßnahmen einleiten zu können.

Sicherstellung von Grundfunktionalitäten

Medizinprodukte sollen ihre Grundfunktionalität auch ohne aktive Netzwerkverbindung oder bei einem potenziellen Angriff sicherstellen. Das oberste Schutzziel und somit zentral für Fragen rund um Cybersecurity ist die Wahrung der Gesundheit von Patient:innen.

Analyse zur Absicherung der Netzwerkkommunikation

Die wichtigsten Fragen im Überblick

  • Welcher Kommunikationskanal wird verwendet (Bluetooth, Netzwerk, Internet, …)?

  • Welche Daten werden übertragen?

  • Wie ist die Übertragungsrichtung der Daten- und Signalflüsse?

  • Welche Effekte können übertragene Daten auf das Zielsystem haben und welche Risiken können hieraus für Patient:innen, Anwender:innen oder Dritte entstehen?

Alles Neuland für Sie? Gern analysieren wir Ihre Produkte, etablieren das Cybersecurity Risk Management in Ihrem Hause oder schulen Kolleg:innen in der Enwicklungsabteilung. Kontaktieren Sie uns gerne.

Kontakt
Interessant, oder? Teilen Sie den Beitrag doch mit anderen Interessierten.
  • Teilen auf Facebook
  • Teilen auf WhatsApp
  • Teilen auf LinkedIn
  • Per E-Mail teilen

News

  • Cybersecurity für MedizinprodukteDas Fundament Cybersecurity: So schützen Sie Medizinprodukte in der digitalen Ära15. September 2023 - 11:49
  • GitHub Copilot – Kann künstliche Intelligenz (KI) beim Programmieren unterstützen?31. Juli 2023 - 10:10
  • Cybersecurity for medical devices - webinar with Miriam Schulze and Sebastian WittorCybersecurity für Medizinprodukte – Webinar19. Juni 2023 - 14:33
Ansprechpartnerin bei BAYOOMED

Miriam Schulze
CEO

Darmstadt
Europaplatz 5
64293 Darmstadt

München
Aidenbachstraße 54
81379 München

Berlin 
Mariendorfer Damm 1-3
12099 Berlin

Kontakt

Telefon: +49 (0) 6151 – 86 18 – 0
Fax: +49 (0) 6151 – 86 18 – 150

E-mail: info@bayoomed.com
Jobs: jobs@bayoo.net
Presse: presse@bayoo.net

© Copyright - BAYOOMED
  • Kontakt
  • BAYOONET AG
  • Datenschutzerklärung
  • Impressum
Zulassung KI-basierter medizinscher Software Lebensqualität per App – Fernsteuerung für die mylife YpsoPump
Nach oben scrollen