Die Medizintechnik ist Teil der kritischen Infrastruktur – dies hat der Bund in diesem Frühjahr offiziell festgehalten. Damit stehen Hersteller in der Pflicht: Sie müssen die Product Cyber Security sicherstellen. Wie das gelingt, erfahren Sie in diesem Blog.

Die Corona-Pandemie hat es verdeutlicht: Neben den aktuellen, präventiven Massnahmen braucht es vor allem genügend verfügbare Intensivbetten und Beatmungsgeräte, zuverlässige Schnelltests und präzise Diagnostiksysteme, um Covid-19 in Schach zu halten. Ebenso Mittel der Stunde sind digitale Lösungen zur Fernuntersuchung isolierter Patienten oder Tracking-Apps. Dies unterstreicht die Wichtigkeit von Medtech-Produkten im Umgang mit Pandemien. Daher kommt es nicht von ungefähr, dass die Medizintechnik seit diesem Frühling offiziell als systemrelevant gilt: Das Bundesamt für Bevölkerungsschutz hat den Branchenverband Swiss Medtech und dessen Mitglieder als Betreiber einer kritischen Infrastruktur des Teilsektors medizinische Versorgung eingestuft.

Dies geht zwar nicht mit einer verbindlichen Zertifizierung einher und stattet Medizintechnik-Unternehmen auch nicht mit besonderen Rechten aus. Die Erklärung des Bundes zeugt trotzdem von der zentralen Rolle der Medtech-Branche für die Gesundheitsversorgung der Schweizer Bevölkerung und liefert Herstellern ein schlagendes Argument gegenüber Zulieferern und Behörden, um ihre Produkte auch unter erschwerten Bedingungen produzieren und in Betrieb halten zu können.

Product Cyber Security im Fokus

Die zentrale Rolle von medizintechnischen Produkten für die Gesundheitsversorgung bringt für Hersteller viel Verantwortung mit sich: Sie stehen in der Pflicht, für maximale Cyber Security bereits im Produkt selber zu sorgen. Denn kritische Infrastrukturen sind immer wieder Ziel von Cyber-Angriffen. Spitäler sind speziell gefährdet und zählen weltweit zu den häufigsten Zielen von Hackerattacken. Ziemlich genau ein Jahr ist es zum Beispiel her, als Cyber-Kriminelle den besonders gefährlichen Trojaner Emotet in mehrere medizinische Einrichtungen im Kanton Zürich – unter anderem das Spital Wetzikon – einschleusten. Und kürzlich forderte ein Hackerangriff auf ein deutsches Spital sogar ein Todesopfer.

Angriffsfläche bieten insbesondere medizintechnische Produkte. Denn durch die zunehmende Digitalisierung und Vernetzung von Geräten und Systemen im Internet of Things (IoT) erhöhen sich nicht nur der Nutzen und die Automatisierung, sondern auch die Anzahl Schnittstellen. Und je mehr Schnittstellen, desto zahlreicher die potenziellen Einfallstore für Hacker. Ein Bespiel sind Remote-Schnittstellen für die Fernwartung, die oftmals kaum gesichert sind und über veraltete Protokolle funktionieren. Weiter veralten die Geräte rasch im Vergleich zur IT-Landschaft und deren Anbindung an die Krankenhausinformationssysteme (KIS). Werden Geräte nicht regelmässig aktualisiert, können bekannte Schwachstellen (Common Vulnerabilitites and Exposures CVE) in den Protokollen und Software-Bibliotheken sogar von unerfahrenen Hackern missbraucht werden.

Die Lösung: «Security by Design»

Für Medtech-Unternehmen bedeutet dies: Sie müssen der Product Cyber Security im Rahmen der IoT Security höchste Priorität einräumen, und zwar über den gesamten Lebenszyklus, von der Produktidee bis zur Ausserbetriebnahme. Die Lösung: «Security by Design». Dazu gehören Hard- und Softwarearchitekturen mit einbezogenen Sicherheitsüberlegungen, eine eindeutige digitale Identität, sichere Update-Mechanismen, verifizierbare und auditierbare Prozesse, Supply Chain Security oder die starke Trennung von Hard- und Software.

Die 6 relevanten Massnahmen dazu sind:

1. Secure Communication Protocols
Protokolle, welche die Integrität und wo nötig die Vertraulichkeit von Daten sicherstellen.

2. Least Privileges
Prozesse, Software und Benutzer erhalten nur so viele Rechte wie nötig.

3. Access Control
Zugriffe – durch Benutzer, Systemprozesse, Dienste und Daten – werden kontrolliert.

4. Minimization
Auf dem Gerät laufen nicht mehr Software und Dienste als nötig.

5. Compartmentalization
Verschiedene Dienste und Software laufen voneinander abgeschottet und kommunizieren über klar definierte Schnittstellen. Dieses Prinzip gilt auch für Daten: Insbesondere Patientendaten und Gerätedaten müssen strikt getrennt werden.

6. Identity
Geräte sind eindeutig identifizierbar und können sich mit einer digitalen Identität ausweisen. Beispielsweise kann so geregelt werden, welcher Prozess / Benutzer der KIS Zugriff auf Daten hat, oder das Gerät kann Testresultate elektronisch signieren und so nachvollziehbar versenden oder ablegen.

IoT Security-Kompetenz selber aufbauen oder projektspezifisch einkaufen? Der Erfolgsplan mit Checklisten von CyOne-Security unterstützt Sie in Ihrer Entscheidung!

Jetzt Entscheidungs-Checklisten herunterladen


Handeln Sie rechtzeitig - vor der MDR

Die Zeit drängt. Denn nicht nur, dass die Gefahren im Gleichschritt mit der Digitalisierung zunehmen: Ab dem 26. Mai 2021 müssen neue medizintechnische Produkte ausserdem mit der Medical Device Regulation (MDR) konform sein, um in der EU verkauft werden zu dürfen. Um den wachsenden Anforderungen gerecht zu werden, ist fundiertes Fachwissen nötig. Für Hersteller dürfte sich die Zusammenarbeit mit einem kompetenten, spezialisierten Partner wie die CyOne Security deshalb lohnen. So können sie rascher sichere Produkte lancieren und die Time-to-Market signifikant reduzieren. Vor allem aber können sich Medtech-Unternehmen so auf ihr Kerngeschäft konzentrieren: die Entwicklung innovativer und dringend benötigter Produkte.