IT-Sicherheit im Gesundheitswesen

Via Johner Institut • Prof. Dr. Christian Johner • 18. Juni 2020
455 Views | 0 Notes

Wie gefährdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher drängen die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten.

In diesem Artikel erhalten Sie einen Überblick darüber, was die IT-Sicherheit im Gesundheitswesen gefährdet und was Sie dagegen tun können und müssen.

Regulatorische Anforderungen an die IT-Sicherheit im Gesundheitswesen

a) Anforderungen an die Hersteller

Im europäischen Rechtsraum gibt es im Gegensatz zu den USA nur wenige konkreten Vorgaben, wie IT-Security bei Medizinprodukten zu adressieren ist. Dazu zählen:

  1. Die MDR fordert im MDR Anhang I, 17.2. explizit eine „State-of-the-art“-Softwareentwicklung auch mit Bezug zur IT-Sicherheit. Die Hersteller müssen nun die Anforderungen an Maßnahmen der Betreiber mit Bezug zur IT-Sicherheit bestimmen. Selbst die Forderung nach Datenschutz macht sich die MDR zu eigen.
  2. Die MDCG hat dazu den Leitfaden 2019-16 veröffentlicht, in dem die Medical Device Coordination Group noch genauer ausführt, wie sie die Anforderungen der MDR und IVDR an die IT-Sicherheit umgesetzt haben möchte.
  3. Der Expertenkreis CyberMed erläutert im Leitfaden zur Nutzung des MDS2 aus 2019, der auf den Seiten des BSIs verfügbar ist, wie Hersteller das „Manufacturer Disclosure Statement for Medical Device Security (MDS2)” ausfüllen sollen.
  4. Die ISO 13485:2016 hat in ihrer aktuellen Ausgabe den Schutz vertraulicher Daten sowie die Festlegung und Überprüfung der Anforderung an verbundene Medizinprodukte als neue Forderungen ergänzt.
  5. Die IEC 60601-1 fordert, dass Risiken aufgrund „fehlender Datensicherheit, insbesondere Anfälligkeit für Verfälschung, unerwünschte Wechselwirkung mit anderen Programmen und Viren“ beherrscht sein müssen.
  6. Die IEC 60601-4-5  ist ebenfalls spezifisch für Medizinprodukte. Sie referenziert normativ die IEC 62443, wodurch ihr Anforderungskatalog sehr umfangreich ist.
  7. Mit dem Ammendment I (2016) der IEC 62304 fordert die Norm, dass die Software-Anforderungen Anforderungen an die IT-Sicherheit beinhalten müssen.
  8. Im Risikomanagement (z.B. konform mit ISO 14971) mussten schon immer alle Risiken adressiert werden, somit auch Risiken, die durch mangelnde IT-Sicherheit verursacht werden. Dies schließt Cyber-Angriffe mit ein.
  9. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat ein Dokument zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte publiziert.
  10. Ebenso vom BSI stammt die Technische Richtlinie BSI TR-03161: Sicherheitsanforderungen an digitale Gesundheitsanwendungen. Die BSI-Richtlinie verweist wiederum auf weitere Vorgaben, die allerdings nicht spezifisch für Medizinprodukte sind:
    • BSI Standard 200-1, BSI Standard 200-2, BSI Standard 203
    • BSI IT-Grundschutz-Kompendium
    • BSI TR-02102-1: Kryptographische Verfahren: Empfehlungen und Schlüssellängen
    • BSI TR-02102-2: Kryptographische Verfahren: Verwendung von TLS
    • TR-03107-1: Elektronische Identitäten und Vertrauensdienste im E-Government Teil 1
  11. Die Benannten Stellen haben basierende auf dem Leitfaden des Johner Instituts einen eigenen Leitfaden zur IT-Sicherheit entwickelt. Da dieser von den Benannten Stellen selbst herausgegeben und damit verwendet wird, ist er zumindest für deutsche Hersteller ein Must-Read.
  12. Die FDA stellt konkrete Anforderungen, die Sie in vier(!) Guidance Dokumenten zum Thema Cyber-Security veröffentlich hat.
  13. Die FDA referenziert dabei auch den AAMI 57 zum IT-Security-Risk-Management nach ISO 14971.
  14. Sie erkennt auch den UL 2900-2-1 als Standard zur IT-Sicherheit an.
  15. Health Canada hat im Dezember 2019 nachgezogen und ebenfalls einen Draft Guidance "Pre-market Requirememts for Medical Device Cybersecurity" publiziert.
  16. Im April 2020 hat das IMDRF ebenfalls eine Leitlinie zur Cybersecurity veröffentlicht.
  17. Die DiGAV fordert die IT-Sicherheit und den Datenschutz.

 

Erfahren Sie mehr über die Besonderheiten der IT-Sicherheit im Gesundheitswesen, verschiedene Anforderungen an die IT-Sicherheit und Beispiele für die Verletzung von IT-Sicherheit im vollständigen Artikel unter johner-institut.de.

Bild des Benutzers Carolin Freude
Kuratiert
am 08.01.2021 von
Carolin Freude