Autor: Sebastian Wittor Cybersecurity Lead bei BAYOOMED

Die zunehmende Verbreitung von Closed-Loop-Systemen in der Medizintechnik bringt eine neue Klasse von Herausforderungen für die Cybersecurity mit sich. Anders als bei klassischen Medizinprodukten, bei denen medizinisches Fachpersonal die finalen Therapieentscheidungen trifft, agieren Closed-Loop-Systeme weitgehend autonom. Sie messen kontinuierlich physiologische Parameter, interpretieren diese und lösen bei Bedarf therapeutische Maßnahmen aus – ganz ohne menschliches Eingreifen. Die Software wird somit zum zentralen Akteur im Therapiekontext – und gleichzeitig zum potenziellen Angriffsziel.

Einführung in Closed-Loop-Systeme

Ein Closed-Loop Medical Device basiert im Wesentlichen auf drei funktionalen Komponenten:

  • Sensoren, die kontinuierlich physiologische Daten erfassen
  • Controller, die die eingehenden Daten auswerten und Therapieentscheidungen treffen
  • Aktoren, die die resultierenden Maßnahmen umsetzen

Diese geschlossene Steuerkette ermöglicht eine dynamische, oft in Echtzeit erfolgende Anpassung der Therapie an den Patientenstatus. Der Zugewinn an Effizienz und Sicherheit ist enorm – vorausgesetzt, das System ist zuverlässig gegen Fehler, Manipulationen und Ausfälle geschützt.

BAYOOMED - Organisatrische Maßnamen zur Einhaltung von Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte

Regulatorische Grundlagen: MDR und FDA

MDR – Europäische Anforderungen

Die EU-Medizinprodukteverordnung (Medical Device Regulation, MDR) stuft Closed-Loop-Systeme als aktive therapeutische Produkte mit eingebauter Diagnostik ein. Sie unterliegen gemäß Anhang VIII, Regel 22 der Risikoklasse III – der höchsten Klasse. Daraus ergeben sich umfangreiche Anforderungen an Sicherheit, Leistung und – zunehmend relevant – die Cybersecurity dieser Systeme.

FDA – Anforderungen aus den USA

Die FDA veröffentlichte im September 2023 neue Leitlinien für Physiological Closed-Loop Controlled (PCLC) Systeme. Diese adressieren explizit Systeme, die ohne menschliches Zutun in den Therapieprozess eingreifen. Die zentralen Anforderungen sind:

  • Eine klar definierte und nachvollziehbare Umschaltlogik im Controller
  • Sicherheitsmechanismen wie Failsafe-Modi und Redundanzen
  • Hohe Anforderungen an Datenintegrität und Reaktionszeiten
  • Robustheit gegenüber Artefakten, Signalverlusten und externen Störungen

Für interoperable Systeme empfiehlt die FDA zusätzlich die Einhaltung der AAMI/UL-Standards.

Anforderungen aus der „Physiologic Closed-Loop Controlled Devices“-Guidance

Die FDA-Leitlinie enthält praxisnahe Empfehlungen zur Umsetzung von PCLC-Systemen. Auch wenn diese in der MDR nicht explizit vorgeschrieben sind, lassen sie sich hervorragend als Leitplanken für europäische Entwicklungen heranziehen – insbesondere in der frühen Entwicklungsphase.

Wichtige Aspekte sind:

  • Sensorik:
    Sensoren müssen verlässliche Werte liefern – auch unter Störeinflüssen. Hohe Anforderungen bestehen hinsichtlich Artefaktunterdrückung, Signalstabilität, Redundanz und Ausfallsicherheit.

  • Controller:

    Der Controller bildet das „Gehirn“ des Systems. Er muss Entscheidungen auf nachvollziehbarer, dokumentierter und sicherheitszertifizierter Grundlage treffen – sei es regelbasiert, modellgestützt oder durch maschinelles Lernen. Kritisch ist vor allem das Verhalten bei fehlerhaften oder fehlenden Daten.

  • Aktorik:
    Die Aktoren setzen Steuerbefehle in konkrete therapeutische Maßnahmen um. Dabei müssen Latenzzeiten minimiert, Fehler erkannt und kritische Situationen durch definierte Fallback-Mechanismen abgesichert werden.

  • Systemintegration:
    Die Verbindung von Sensorik, Steuerung und Aktorik ist besonders fehleranfällig. Ausfälle in der Kommunikation oder Timing-Probleme müssen sicher erkannt und abgefangen werden. Logging, Alarme und eine klare Nutzerführung sind essenzielle Bestandteile.

  • Cloud-Backend:
    Ein Cloud-Backend kann im Fehlerfall als Backup dienen und zusätzliche Steuerintelligenz bereitstellen. Gleichzeitig steigen die Anforderungen an die Sicherheit – etwa hinsichtlich verschlüsselter Kommunikation, Datenintegrität und Zugriffsschutz.

BAYOOMED-Richtlinien

Erfahrungswerte aus der Entwicklung von Closed-Loop-Systemen

Safety und Security – zwei Seiten derselben Medaille

In der Entwicklung von PCLC-Systemen sind Safety und Security untrennbar miteinander verknüpft. Maßnahmen aus dem einen Bereich wirken oft auch im anderen. So erhöhen beispielsweise redundante Berechnungen kritischer Algorithmusschritte sowohl die Sicherheit (im Sinne von „safety“) als auch den Schutz vor Manipulationen (im Sinne von „security“). Auch umfassendes Logging hilft, später Ursachen von Systemverhalten präzise zu rekonstruieren.

Umgang mit Worst-Case-Szenarien

Eine zentrale Fragestellung in der Entwicklung lautet: Was soll das System im Ernstfall tun?

Bricht die Datenbasis weg oder erkennt der Controller einen Fehler, muss klar definiert sein, ob das System auf eine Grundmedikation zurückschaltet, den Betrieb einstellt oder alternative Sicherheitsmaßnahmen ergreift. Diese Entscheidung muss medizinisch fundiert und im Rahmen des Risikomanagements dokumentiert sein.

Cloud-Backend als kritische Systemkomponente

Gerade bei PCLC-Systemen bietet ein Cloud-Backend entscheidende Vorteile. Es ermöglicht:

  • Die fortlaufende Sicherung und Analyse von Logs
  • Nachträgliche Auswertung des Systemverhaltens – auch bei Geräteausfall
  • Frühzeitige Warnmeldungen bei auffälligem Verhalten – unabhängig vom Gerät selbst
  • Rechenintensive Validierung kritischer Algorithmen zur Plausibilitätsprüfung und Manipulationserkennung

All dies trägt dazu bei, das Vertrauen in die Funktionalität und Sicherheit des Systems zu stärken.

Dokumentation – nicht nur Pflicht, sondern Chance

Da PCLC-Systeme regulatorisch noch vergleichsweise jung sind, lohnt es sich, besonders zu Beginn eine detaillierte Dokumentation des Closed-Loop-Teils zu erstellen. Mit wachsender Erfahrung kann diese gezielt verschlankt und angepasst werden. Wie bei der Einführung der MDR wird sich das richtige Maß mit der Zeit herauskristallisieren.

Empfehlungen für Hersteller

Ein ganzheitlicher Sicherheitsansatz ist essenziell – über den gesamten Lebenszyklus hinweg. Wichtige Maßnahmen sind:

  • Frühe Einbindung von Cybersecurity-Expertise in die Produktentwicklung

  • Bedrohungsanalysen (Threat Modelling) bereits in der Konzeptphase

  • Permanentes Monitoring und lückenloses Logging

  • Redundanz und Diversität in sicherheitskritischen Bereichen

  • Klare Kommunikationsstrukturen zwischen allen beteiligten Abteilungen – von Regulatory Affairs bis Legal

Fazit

Closed-Loop Medical Devices bieten enormes Potenzial für präzise und adaptive Therapien – insbesondere bei kritisch kranken oder chronisch instabilen Patienten. Die damit einhergehenden Cybersecurity-Anforderungen sind jedoch komplex und dürfen nicht unterschätzt werden. Wer frühzeitig klare Sicherheitskonzepte etabliert, regulatorische Rahmenbedingungen einhält und die Besonderheiten solcher Systeme versteht, schafft die Grundlage für nachhaltigen Erfolg – technisch, regulatorisch und klinisch.