An der diesjährigen Medtech Expo in Luzern konnten sich unsere IoT-Security-Experten wieder physisch mit Entwicklern, Ingenieuren und Produktmanagern austauschen. Durch diesen direkten Dialog haben sie festgestellt: Die Vernetzung von Produkten und das Sicherstellen der Datenhoheit auf dem Gerät stellen eine Herausforderung dar. Im Expertenreferat der CyOne Security wurde die hohe Komplexität vernetzter Medizinprodukte und deren Bedeutung für die Cyber Security aufgezeigt. Erfahren Sie mehr dazu in diesem Blogpost.

Die aktive Einbindung von Diagnosegeräten ins Patientendossier, die Kontrolle von Herzschrittmachern und aktiven Implantaten per App, Medizingeräte für die Langzeitüberwachung des Patienten zu Hause – auch in der Medizintechnik ist ein starker Trend zur Vernetzung von Medizinprodukten erkennbar, und der dafür notwendige Aufbau der erforderlichen IoT-Ökosystemen ist am Entstehen. Wie in anderen Branchen, die sich der digitalen Vernetzung stellen, gibt es leider auch in der Medizintechnik immer wieder Meldungen über kritische Sicherheitsvorfälle mit lebensbedrohlichen Auswirkungen.

Zurückzuführen ist dies auf die immer noch einseitige und sehr stark ausgeprägte Fokussierung auf die Teilaspekte «Funktionalität» und «Safety» im Entwicklungsprozess. Der Aspekt Cyber Security ist bei vielen Herstellern indes zwar omnipräsent, wird aber noch immer recht stiefmütterlich behandelt, da die Vernetzung bisher nicht Ausgangslage und somit keine Bedrohung war. Die mit der Vernetzung einhergehenden neuen Bedrohungsformen sind zwar oft bekannt, doch die dafür notwendige Produkt Cyber Security-Fachkompetenz für eine geeignete Mitigation fehlt den Herstellern bisher.

Die Herausforderungen im Produktlebenszyklus

Vernetzte Medizinprodukte werden während ihres gesamten Produktlebenszyklus (beispielsweise bei der Integration in die Unternehmensnetzwerke) mit drei verschiedenen Herausforderungen konfrontiert: Veränderungen, Widerstand und Schutz. Medizinprodukte müssen sich deshalb

  1. den Unternehmensnetzwerken, die sich laufend ändern, kontinuierlich anpassen lassen, sodass eine effiziente und sichere Integration möglich ist und bleibt;
  2. innerhalb eines operativen und regulatorisch geprägten Prozessumfeldes behaupten und an neue Regulatorien adaptieren können;
  3. gegen die sich dauernd weiterentwickelnden Cyber-Gefahren anpassen und schützen lassen, sodass das Gerät auch noch in fünf Jahren den aktuellen Cyber-Bedrohungen standhält.