17.01.2023

Cybersicherheit bei medizinischen Geräten: Ein kurzer Leitfaden zu den FDA-Vorschriften

Im September 2020 starb eine Frau in Deutschland, nachdem sie in eine weiter entfernte Notaufnahme gebracht werden musste, weil ihr örtliches Krankenhaus wegen eines Ransomware-Angriffs geschlossen war. Aufgrund der zeitkritischen Natur der Notfallmedizin, wo Menschenleben auf dem Spiel stehen, sind Krankenhäuser zu lukrativen Zielen für Cyber-Kriminelle geworden. Kliniken können nicht lange ohne ihre lebenswichtigen Informationssysteme auskommen bevor Patienten zu Schaden kommen, was es böswilligen Akteuren leichter macht, Lösegeldzahlungen zu erpressen.Weltweit sindvor allem dadurch Cybersicherheitsvorfälle zu verzeichnen, weil medizinische Geräte oft nur unzureichend in der Lage sind, Malware zu widerstehen. Daher ist es von entscheidender Bedeutung, die medizinischen Geräte, die auf den Markt kommen, so zu verbessern, dass sie gegenüber Cybersicherheitsbedrohungen widerstandsfähig genug sind. Denn Gesundheitssysteme und medizinische Geräte müssen jederzeit verfügbar sein und einwandfrei funktionieren, um die Gesundheit aller zu schützen und Leben zu retten.

Im April 2022 veröffentlichte die Lebensmittelüberwachungs- und Arzneimittelbehörde der USA (FDA, Food and Drug Administration) aktualisierte Leitlinien für die Cybersicherheit von medizinischen Geräten und machte damit dieses Thema zu einem der wichtigsten Anliegen der Gerätehersteller. Aus rechtlichen und ethischen Gründen müssen die Hersteller von medizinischen Geräten Qualitätssicherungsverfahren einführen und durchführen, um sicherzustellen, dass ihre Produkte wie angegeben funktionieren. Qualitätssicherungsverfahren (auch bekannt als Standard-Arbeitsanweisungen) für medizinische Geräte sind in der Verordnung 21 CFR Part 820 vorgeschrieben. Diese Verfahren müssen geprüft und validiert werden, bevor die FDA den Herstellern die Genehmigung erteilt, ihre Produkte zu verkaufen. Damit sind Cybersecurity-Risikomanagement und -Validierung zu einem Kernbestandteil des Secure Product Development Framework (SPDF) gemäß Verordnung 21 CFR 820.30(g) geworden. Die neue FDA-Leitlinie konzentriert sich auf die Vorabgenehmigung (Premarket Approval, PMA) zur Freigabe wichtiger medizinischer Geräte, die menschliches Leben erhalten, indem sie Verletzungen oder Krankheiten verhindern. Die Hersteller müssen ausreichende wissenschaftliche Beweise vorlegen, um nachzuweisen, dass ein Gerät für seine vorgesehene(n) Verwendung(en) sicher und wirksam einsetzbar ist. Dazu gehört auch der Nachweis, dass das Gerät widerstandsfähig genug ist, um Cyberangriffe und ähnliche Risiken abzuwehren. Darüber hinaus sind die Hersteller gehalten, Cybersicherheitkontrollen bereits in die Konzeption ihrer medizinischen Geräte einbeziehen und prüfen, ob diese auch unter Belastung ordnungsgemäß funktionieren.

Insgesamt ist das Ziel, sichere und leistungsfähige medizinische Geräte herzustellen, die sowohl vertrauenswürdig als auch widerstandsfähig sind. Spezifische Sicherheitsziele sind: Authentizität, Autorisierung, Verfügbarkeit und Vertraulichkeit. Die Geräte sollten durch sichere und rechtzeitige Updates und Patches unterstützt werden. Die sogenannte Cyber-Hygiene muss bei der Entwicklung eines jeden medizinischen Geräts berücksichtigt werden. Jede elektronische Datenschnittstelle muss geschützt werden. Sicherheitslücken müssen erforscht und CAPA-Maßnahmen (Corrective and Preventive Action) ergriffen werden, um die Ausnutzung dieser Lücken nach Möglichkeit zu verhindern. Diese CAPA-Maßnahmen müssen auch Sicherheitskontrollen und -daten beinhalten, die eine schnelle Gegenreaktion im Falle eines Cyberangriffs ermöglichen. Um dies zu gewährleisten, werden für alle Geräte nachdrücklich Cybersicherheitstests empfohlen. Hersteller sollten sich vergewissern, dass ihre Eingabekontrollen keine schädlichen Zeichenketten zulassen. Zudem sollten sie eine Boundary-Analyse durchführen, um Abstürze durch Speicherüberlastung zu verhindern. Ferner sollten Anbieter testen, wie sich medizinische Geräte verhalten, wenn sie im Netzwerkverkehr mit Schadsoftware in Berührung kommen. Dazu sollten Hersteller die Geräte über bekannte Schwachstellen angreifen und Penetrationstests durchführen, um potenzielle Schwachstellen zu entdecken. Etwa gilt es zu untersuchen, wie einfach es ist, Standardpasswörter für einen Angriff auf das Gerät zu verwenden.

Auch Softwarekomponenten von Drittanbietern, einschließlich proprietärer Lösungen und Open-Source-Bibliotheken, müssen überprüft werden. Bisher haben die Hersteller die in Verordnung 21 CFR 820.30(j) geforderte Design History File und den in Vorschrift 21 CFR 820.181 geforderten Design Master Record verwendet, um die Prozesse und Sicherheitskontrollen aufzuzeichnen, die von ihren Zulieferern eingesetzt wurden, um die Herstelleranforderungen zu erfüllen. Eine maschinenlesbare Software Bill of Material (SBOM) wird ebenfalls empfohlen. In einer SBOM werden alle Software-Komponenten zusammen mit den vorgelagerten Abhängigkeiten aufgelistet. Ziel ist es, ein System zu entwickeln, das die SBOM automatisch auf Cyber-Bedrohungen überprüft und Malware schnell aus der Produktionsanlage für Medizingeräte entfernt.

Es ist von größter Bedeutung, dass die Patienten vor Schaden bewahrt werden. Die Anweisungen für den Einsatz und die Kennzeichnung von Medizingeräten müssen transparent sein, damit die Mitarbeiter des Gesundheitswesens wissen, wie sie das Gerät im Rahmen ihres eigenen Cybersecurity-Risikomanagements implementieren können, z. B. im Rahmen des National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity, auch als NIST CSF bekannt. Zudem empfiehlt die FDA, den Prozentsatz der gepatchten Schwachstellen und die Zeitspanne zwischen dem Auffinden einer Schwachstelle und ihrer Behebung zu messen. Auch die Zeit zwischen der Benachrichtigung, dass ein Patch oder Update vom Hersteller verfügbar ist, und der Implementierung des Patches auf dem Gerät sollte ermittelt und aufgezeichnet werden, um die Qualität des Medizingeräts sowie die Professionalität des Herstellerservices bzw. des klinikeigenen IT-Teams beurteilen zu können.