Cyber-Bedrohungen verändern sich laufend. Die damit einhergehenden Cyber-Attacken sind breitgefächert, zusehends durchdachter und professioneller ausgestaltet. Auch für den Einsatz von medizintechnischen Produkten stellen sie erhebliche Risiken dar, die es zu minimieren gilt. Im Sinne der Patientensicherheit greift die EU hier regulierend ein und verlangt von den Herstellern, dass sie ihre Produkte nach dem Inverkehrbringen laufend auch bezüglich Cyber-Risiken überwachen (Post Market Surveillance) und im Ereignisfall adäquat nach den gesetzlichen Vorgaben reagieren (Vigilanz). Wie wichtig eine konsequente Product Cyber Security für die Umsetzung der Post Market Surveillance- und Vigilanz-Vorgaben ist und was es von Herstellerseite braucht, um gegebenenfalls effektiv, schnell und effizient reagieren zu können, erfahren Sie in diesem Blogpost.
Die Kontrollmechanismen für Medizinprodukte werden europaweit verschärft. Dafür sorgt die EU-Verordnung Medical Devices Regulation (MDR), die 2017 in Kraft getreten ist. Zwar hat sich die Übergangsfrist der Gesetzesänderung durch die Corona-Pandemie um ein Jahr nach hinten verschoben, doch ab dem 26. Mai 2021 gilt: Hersteller von Medizintechnik können nur noch MDR-konforme Produkte auf den europäischen Markt bringen. Product Cyber Security spielt dabei eine zentrale Rolle; schliesslich kann im Gesundheitswesen ein technisches Versagen aufgrund eines Cyber-Angriffs sensible Daten oder gar Menschenleben gefährden.
Mit der MDR-Zertifizierung bei der Markteinführung endet jedoch die Aufgabe der Hersteller nicht, denn die Verordnung betrifft den gesamten Produktlebenszyklus. Die zunehmenden und sich rasch verändernden Cyber-Risiken auch im Bereich des Gesundheitswesen zeigen die Wichtigkeit der Post Market Surveillance: Hersteller müssen Informationen zur Produktverwendung systematisch überwachen und laufend Verbesserungen umsetzen. Die damit verbundenen Tätigkeiten lassen sich mit Prozessen vergleichen, welche in der IT bereits zum Stand der Technik gehören, zum Beispiel das Sammeln und Aufbereiten von Common Vulnerabilities and Exposures (CVE) sowie ein effizientes Security Patch Management. Beim CVE-Tracking werden öffentlich bekannte Schwachstellen auf den Impact eines Geräts analysiert. Weist zum Beispiel eine Software-Bibliothek eine Schwachstelle im Bereich der Datenübermittlung auf, ist der Hersteller verpflichtet zu prüfen, ob diese Software-Bibliothek in seinem Gerät eingesetzt wird, und ob die betroffenen Funktionen auch verwendet werden.
Was in der Softwarebranche bereits selbstverständlich ist, gilt nun also auch für die Medizintechnik – insbesondere im Rahmen der fortschreitenden Digitalisierung. Im Sinne der Patientensicherheit ist die MDR-Verordnung an dieser Stelle explizit und schreibt dieses zentrale Element einer guten IoT Security vor: Hersteller von medizinischen Geräten müssen in ihrem Qualitätsmanagementsystem einen Post Market Surveillance-Prozess implementieren. Hierbei müssen Daten über den gesamten Lebenszyklus eines Medizintechnikprodukts betreffend Leistung, Qualität und Sicherheit gesammelt und analysiert werden. Stösst der Hersteller dabei auf wesentliche Unregelmässigkeiten, muss er diese über sein Vigilanz-System innerhalb bestimmter Fristen (je nach Schweregrad) behandeln und den betroffenen Stellen melden, insbesondere auch über die öffentliche Datenbank EUDAMED (European Database on Medical Devices).
Anregungen zur Umsetzung der Post Market Surveillance gibt das International Medical Device Regulators Forum (IMDRF) im Leitfaden «Principles and Practices for Medical Device Cybersecurity» . Das Dokument richtet sich an alle involvierten Stakeholder – von Behörden über Gesundheitseinrichtungen bis hin zu Herstellern. Zu den Best Practices, die das IMDRF empfiehlt, gehört die Coordinated Vulnerability Disclosure (CVD): Gemeinsam sollen die Stakeholder formalisierte Prozesse zur Ermittlung von Schwachstellen etablieren und entsprechende Informationen möglichst zeitnah mit allen anderen Interessensgruppen teilen.
Überlegungen zur Post Market Surveillance machen gut die Hälfte des rund 50-seitigen Leitfadens des IMDRF aus und verdeutlichen eindrücklich: Die MDR-Verordnung erhöht die Sicherheitsanforderungen an Medizinproduktehersteller erheblich. Produktentwicklung und Post Market Surveillance sind essentielle Themenbereiche und verlangen entsprechend hohe Aufmerksamkeit vom Hersteller.
Elementar ist dabei unter anderem ein professionelles Cyber Security Risk Management, um Cyber-Bedrohungen laufend zu überwachen, produktbezogen zu beurteilen und wo nötig zu mitigieren. Das IMDRF betont, dass dabei auch Third Party Components – also Teile von Zulieferern – einbezogen werden müssen. Wichtig ist zudem ein Incident Response Management, damit im Ernstfall rasch reagiert und aus Vorfällen gelernt werden kann.
Hersteller sollten Medizintechnikprodukte darum so konzipieren, dass die Cyber-Sicherheit nach dem Markteintritt mit möglichst geringem Aufwand gewährleistet werden kann – «Security by Design» lautet die Devise. Gefragt sind sichere Architekturen, die genügend Flexibilität für laufende Produktverbesserungen zulassen, damit die Geräte nach dem Inverkehrbringen sicher und zeitnah aktualisiert werden können.
IoT Security-Kompetenz selber aufbauen oder projektspezifisch einkaufen? Der Erfolgsplan mit Checklisten von CyOne Security unterstützt Sie in Ihrer Entscheidung!
Cyber Security-Updates sind bei der Umsetzung der Vorgaben zur Post Market Surveillance von zentraler Bedeutung. Hersteller müssen nachweisen können, dass Sicherheitskorrekturmassnahmen die Leistungsfähigkeit der Geräte nicht beeinträchtigen und weder die Patienten- noch die Datensicherheit gefährden. Bei grösseren Änderungen am Produkt beurteilt die zuständige Konformitätsbewertungsstelle, ob das Update mit einem Nachtrag zur bestehenden Bescheinigung genehmigt werden kann oder ob eine neue Konformitätsbewertung notwendig ist.
Eine neue Zertifizierung ist kostspielig und deshalb empfiehlt es sich, Produkte so zu konzipieren, dass ein Nachtrag auch bei grösseren Anpassungen aufgrund von Cyber-Risiken ausreicht. Sollte wider Erwarten dennoch eine neue Konformitätsbewertung nötig sein, entscheidet das Design ebenfalls massgeblich darüber, wie aufwendig ein entsprechender Umbau des Produkts ist. Für Hersteller von Medizintechnik lohnt es sich also, Cyber-Sicherheit über den gesamten Produktlebenszyklus hinweg mitzudenken.
Reto Amstad
Senior Security Consultant
«Gerne zeige ich Ihnen in einem kostenlosen Expertengespräch auf, wie Sie die Post Market Surveillance bereits im Produktdesign berücksichtigen, damit Sie Entwicklungskosten minimieren können und Ihre Medizintechnikprodukte bereits heute für die Zukunft sicher machen.»