Diabetespatienten sind auf Insulinpumpen angewiesen, um ihren Blutzuckerspiegel zu kontrollieren. Forscher von QED Security Solutions entdeckten nun eine Schwachstelle, die es ihnen ermöglichte, eine Reihe digitaler Pumpen fernzusteuern.[I] Mit wenigen Klicks in ihrer Android-App konnten die Forscher Pumpennutzern aus der Ferne eine tödliche Überdosis Insulin verabreichen.
Glücklicherweise hatten diese Forscher nicht das Ziel, Menschen zu töten. Sie wollten der US-amerikanischen Food and Drug Administration (FDA) einen wichtigen Hinweis auf die Cybersicherheit medizinischer Geräte geben – und das taten sie auch. Eine Woche nach der Demo der Forscher vor der FDA rief der Gerätehersteller das Produkt zurück.
Dieser Vorfall zeigt jedoch, wie das Aufkommen intelligenter medizinischer Geräte neue und beängstigende Risiken und Vorschriften mit sich bringt. Wie können Gerätehersteller auf dem Laufenden bleiben, die sich entwickelnden Vorschriften einhalten und ihre Kunden schützen?
Wie sichern wir die „Internet der Körper“?
Das „Internet der Dinge“ ist nichts Neues: Indem wir unsere Geräte intelligent machen und miteinander vernetzen, werden Alltag und Arbeit einfacher und präziser. Bei medizinischen Geräten wirft diese Vernetzung jedoch neue Fragen zu Datenschutz und Sicherheit auf.
Andrea Matwyshyn, Rechtsprofessorin an der Pennsylvania State University, nennt dieses neue Phänomen das „Internet der Körper“ und warnt: „Zum ersten Mal können – und werden – unsere körperliche Sicherheit, unsere Autonomie und unser Wohlbefinden durch fehlerhafte Software oder Sicherheitslücken gefährdet werden.“[ii]*
Cyber-physische Systeme, die direkt mit dem Körper von Patienten interagieren, stellen das größte Risiko dar. Die „Killer-App“ von QED Security Solutions, die sich gegen medizinische Geräte für den Heimgebrauch richtet, ist nur ein Beispiel dafür. Doch noch mehr als solche externen Geräte erfordern implantierbare Geräte wie Herzschrittmacher und Tiefenhirnstimulatoren eine langfristige Planung – der Rückruf eines Hirnimplantats ist nicht ganz so einfach wie der einer Insulinpumpe.[iii]
Wo hört Sicherheit auf? Fernüberwachung im Gesundheitswesen?
Und bedenken Sie, dass das „Internet der Körper“ – je nachdem, wie man die Grenze zieht – auch verschiedene intelligente tragbare Geräte umfassen könnte.[iv] Die Fernüberwachung im Gesundheitswesen birgt zwar nicht dieselben physischen Risiken, kann aber dennoch die Privatsphäre der Nutzer gefährden. Die US-Armee musste dies auf die harte Tour lernen, als ein 20-jähriger australischer Student darauf hinwies, dass man den Alltag der Soldaten in afghanischen Militärstützpunkten mithilfe der Fitness-App Strava deutlich verfolgen könne.[v]
Technisch betrachtet die EU und die FDA Fitnessgeräte nicht als Medizinprodukte (obwohl es tragbare Medizingeräte gibt). Doch wie Matwyshyn anmerkt, gibt es bei der Fernüberwachung von Gesundheitsdaten regulatorische Grauzonen – sie nennt das hypothetische Beispiel einer Smart-Pille, die als Schlaftracker fungiert. Fitnessgerät oder Medizinprodukt? Die Antwort könnte darüber entscheiden, welcher Aufsichtsbehörde das Gerät untersteht.
Wo liegen die EU, die USA und andere Cybersicherheit für medizinische Geräte?
Die rasante Entwicklung und Vielfalt intelligenter Medizinprodukte führt dazu, dass die Regulierungsbehörden noch immer versuchen, deren Verwaltung zu gewährleisten. Zwar gibt es bereits einige internationale Standards, doch die Länder nutzen auch eigene Rahmenwerke, die oft mehrere Behörden umfassen.
Internationale Normen: Die Internationale Organisation für Normung (ISO) und die Internationale Elektrotechnische Kommission (IEC) haben die Normenreihe ISO/IEC 80001 entwickelt, die die „Anwendung des Risikomanagements für IT-Netzwerke mit medizinischen Geräten“[vi] abdeckt. Diese freiwilligen technischen Normen bieten einen umfassenden Überblick über die mit der Konnektivität medizinischer Geräte verbundenen Risiken, mit denen Gesundheitsorganisationen (HDOs) und Hersteller medizinischer Geräte (MDMs) Geräte und Systeme vergleichen können.
Die Norm ISO 14971 bietet zudem einen allgemeineren Ansatz für das Risikomanagement von Medizinprodukten. Im April 2020 veröffentlichte das International Medical Devices Regulators Forum seine finalisierten „Principles and Practices for Medical Devices Cybersecurity“[vii].
Vereinigte Staaten: Die FDA reguliert den Verkauf medizinischer Geräte, und dies gilt auch für die Cybersicherheit.[viii] Gemäß den Bundesvorschriften müssen MDMs neben anderen Risiken auch die Cybersicherheit berücksichtigen. Die FDA hat mehrere Richtlinien herausgegeben, in denen dargelegt wird, wie mit Cybersicherheitsproblemen umgegangen werden soll.[ix] Die endgültigen Richtlinien für die Zeit vor der Markteinführung wurden 2014 und die endgültigen Richtlinien für die Zeit nach der Markteinführung 2016 veröffentlicht. Die Aktualisierungen wurden jedoch fortlaufend fortgesetzt.
Allerdings ist die FDA nicht die einzige US-Behörde, die sich mit MDM befasst. Die FDA orientiert sich bei ihren Leitlinien an dem nicht-regulierenden Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen des National Institute of Standards and Technology (NITS), und die Cybersecurity and Infrastructure Security Agency des US-Heimatschutzministeriums hilft, Schwachstellen in Geräten zu erkennen.[x]
europäische Union: Der regulatorische Rahmen der EU befindet sich noch in der Entwicklung. Im Januar 2020 wurden von der EU-Koordinationsgruppe für Medizinprodukte neue Leitlinien veröffentlicht.[xii] Dies soll MDMs dabei helfen, die Anforderungen zweier neuer Verordnungen zu erfüllen: der EU-Medizinprodukteverordnung (MDR) (2017/745) und der EU-Verordnung über In-vitro-Diagnostika (IVDR) (2017/746), die beide im Mai 2017 verabschiedet wurden.[xii]
Ursprünglich sollte die MDR im Mai 2020 und die IVDR im Mai 2022 in Kraft treten. Aufgrund von Covid-19 hat die EU den Inkrafttretenstermin der MDR jedoch auf Mai 2021 verschoben.[xiii]
Australien: Die australische Therapeutic Goods Administration (TGA), die dem australischen Gesundheitsministerium unterstellt ist, hat im Juli 2019 einen Leitfaden zur Cybersicherheit medizinischer Geräte für die Industrie veröffentlicht.[xiv] Wie andere Behörden auch, betrachtet die TGA Cybersicherheit als Teil eines größeren Risikomanagementprozesses und verweist auf ISO 14971 und das US-amerikanische NIST-Framework für Cybersicherheit als mögliche Ansätze.
Singapur: Die Health Sciences Authority von Singapur ist für die Überprüfung der Cybersicherheit medizinischer Geräte verantwortlich und fordert einen Lebenszyklusansatz für das Produktmanagement.[xv] Der Singapore Standards Council hat ein Dokument erstellt, das das Sicherheitsrisikomanagement für vernetzte medizinische Geräte beschreibt.
Schützen medizinische Geräte, Schutz uns
Die Cybersicherheit von Medizinprodukten ist ein anspruchsvolles Feld, an das sich die Regulierungsbehörden unterschiedlich schnell angepasst haben. Der proaktive Ansatz der USA im letzten Jahrzehnt steht beispielsweise im Gegensatz zum sich noch entwickelnden Regulierungssystem der EU.
Die internationale Regulierung tendiert jedoch generell zu einem risikobasierten Ansatz, bei dem MDMs die Cybersicherheit zu einem wesentlichen Bestandteil des Risikomanagements über die gesamte Lebensdauer eines Geräts machen müssen. Angesichts des wachsenden Internets der Körper kann das nur positiv sein, denn letztendlich bedeutet die Sicherung unserer medizinischen Geräte auch den Schutz unseres eigenen Lebens.
[ICH] wired.com – Diese Hacker haben eine App entwickelt, die tötet, um etwas zu beweisen[ii] wdj.com – Das „Internet der Körper“ ist da. Sind Gerichte und Regulierungsbehörden bereit?
[iii] ncbi.nlm.nih.gov – Neue Risiken unzureichend gemanagt: der Fall intelligenter Implantate und der Regulierung medizinischer Geräte
[iv] lexology.com – Die Rolle von Wearables im Kampf gegen COVID-19
[v] bbc.com – Fitness-App Strava bringt Licht ins Personal von Militärstützpunkten
[vi] eprints.dkit.ie – Bewertung nach IEC 80001-1
[vii] imdrf.org – Grundsätze und Praktiken für die Cybersicherheit medizinischer Geräte
[viii] fda.gov – Die Rolle der FDA bei der Regulierung von Medizinprodukten
[ix] fda.gov – Cybersicherheit
[X] nist.gov – Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen Version 1.1; – healthitsecurity.com – DHS CISA: Schwerwiegende Sicherheitslücken in sechs medizinischen Gerätesystemen gefunden
[xi] blogs.dlapiper.com – Europa: EU MDCG veröffentlicht neue Leitlinien zur Cybersicherheit für Medizinprodukte
[xii] medtechdive.com – EU-Gruppe bietet Leitlinien zur Einhaltung der MDR-Cybersicherheitsstandards; – eumdr.com – Die Medizinprodukteverordnung der Europäischen Union von 2017
[xiii] europarl.europa.eu – Parlament beschließt Verschiebung neuer Anforderungen für Medizinprodukte
[xiv] tga.gov.au – Leitfaden zur Cybersicherheit medizinischer Geräte für die Industrie; emergobyul.com – Die Konvergenz der Cybersicherheitsanforderungen für medizinische Geräte in Australien, Kanada und den USA
[xv] rsis.edu.sg – CO19204 | Gesundheitswesen: Eine kritische Informationsinfrastruktur; – hsa.gov.sg; singaporestandardseshop.sg – Sicherheit vernetzter medizinischer Geräte
