IHR SELEON EXPERTE

Peter Wellmann
Senior Consultant QM & RA,
Experte für Entwicklungsprozesse

Tel.: 07131 2774-40
regulatoryaffairs(at)seleon.de

12.03.2019

Cybersecurity ist Gegenstand des Vigilanzsystems für Medizinprodukte

Stellen wir uns folgendes Szenario vor: Hacker deaktivieren Herzschrittmacher und manipulieren Insulinpumpen. Damit das nicht passiert, müssen Hersteller immer den neuesten Stand der IT-Technik berücksichtigen.

Cybersecurity-Gegenstand-des-Vigilanzsystems-fuer-Medizinprodukte
Cybersecurity-Gegenstand-des-Vigilanzsystems-fuer-Medizinprodukte
Cybersecurity-Gegenstand-des-Vigilanzsystems-fuer-Medizinprodukte
Cybersecurity-Gegenstand-des-Vigilanzsystems-fuer-Medizinprodukte

Dass Digitalisierung und Vernetzung unserer Arbeit und unseres Alltags nicht nur smart sind, sondern sie uns auch angreifbar machen können, wird uns immer bewusster. Wenn selbst Schüler das Pentagon hacken oder Politiker dazu bringen, sich aus Facebook und Twitter zurückzuziehen, dann wird klar, dass die Datensicherheit unterschätzt wurde.

Sicherheitslücken in der Medizintechnik wären unverzeihlich. Bis jetzt wurden zwar keine Fälle bekannt, bei denen die Patienten durch Hackerangriffe zu Schaden gekommen wären. Verschiedene Forschungen auf diesem Gebiet haben jedoch bereits gezeigt, dass unter bestimmten Umständen bei einzelnen Produkten Angriffe von außen möglich wären.  Sicherheitswarnungen von Herstellern zu Manipulationsversuchen von Insulinpumpen und Herzschrittmachern haben in jüngster Vergangenheit für Aufregung gesorgt. 2016 wurde bereits bekannt, dass zwei Krankenhäuser in Nordrhein Westfalen von Hackerangriffen betroffen waren. Es wurden keine Daten abgegriffen, aber die Krankenhäuser mussten nach einem Virenbefall binnen weniger Tage ihre IT-Systeme herunterfahren.

 

Cypersicherheit für Medizinprodukte rückt in den Fokus der neuen MDR

Die Richtlinie 93/42 EWG wurde im Jahr 1993 verabschiedet, in einer Zeit, in der es nur wenige vernetzte Medizingeräte gab. Deshalb gab es in den damaligen Richtlinien keine speziellen Anforderungen an die Cybersecurity. Die grundlegenden Anforderungen schrieben vor, dass die hergestellten Medizinprodukte den klinischen Zustand und die Sicherheit des Patienten, Anwenders oder Dritter nicht gefährden dürfen.

Das hat sich geändert. In der aktuellen Medizinprodukteverordnung (MDR) wird auf die Cybersecurity explizit geachtet.

Zunächst bleiben die grundlegenden Anforderungen zwar noch allgemein, da sie auf alle Medizinprodukte anwendbar sein müssen:

 

 „Die Produkte erzielen die von ihrem Hersteller vorgesehene Leistung und werden so ausgelegt und hergestellt, dass sie sich unter normalen Verwendungsbedingungen für ihre Zweckbestimmung eignen. Sie sind sicher und wirksam und gefährden weder den klinischen Zustand und die Sicherheit der Patienten noch die Sicherheit und die Gesundheit der Anwender oder gegebenenfalls Dritter …“
(Anhang I Nr. 1)

 

Maßnahmen zur Risikokontrolle zwingend in der Reihenfolge:

  • Sichere Auslegung und Herstellung
  • Angemessene Schutzmaßnahmen, im Hinblick auf nicht auszuschließende Risiken
  • Sicherheitsinformationen sowie ggf. Schulungen

(Anhang I Nr. 4)

 

Risikomanagement u.a. zur Identifikation und Analyse bekannter und vorhersehbarer Gefährdungen ist verpflichtend
(Anhang I Nr. 3b)

 

Doch die Anforderungen werden in den folgenden Abschnitten detailierter:

Die Produkte werden so ausgelegt und hergestellt, dass folgende Risiken ausgeschlossen oder so weit wie möglich reduziert werden:

d) Risiken minimieren im Zusammenhang mit der möglichen negativen Wechselwirkung zwischen Software und IT-Umgebung, in der sie eingesetzt wird und mit der sie in Wechselwirkung steht
(Anhang I Nr. 14.2)

 

Abschnitt 17: Programmierbare Elektroniksysteme

Für den Fall des Erstauftretens eines Defekts sind geeignete Vorkehrungen zu treffen, um sich daraus ergebende Risiken oder Leistungsbeeinträchtigungen auszuschließen oder sie so weit wie möglich zu verringern.
(Anhang I Nr. 17.1)

 

Software wird entsprechend dem Stand der Technik entwickelt und hergestellt, wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen sind.
(Anhang I Nr. 17.2)

 

Und ganz konkret wird die grundlegende Anforderung 17.4:

Die Hersteller legen Mindestanforderungen bezüglich Hardware, Eigenschaften von IT-Netzen und IT-Sicherheitsmaßnahmen einschließlich des Schutzes vor unbefugtem Zugriff fest, die für den bestimmungsgemäßen Einsatz der Software erforderlich sind

 

Über die zu treffenden Sicherheitsmaßnahmen ist dann auch entsprechend in der Gebrauchsanweisung zu informieren:

ab) bei Produkten, zu deren Bestandteilen programmierbare Elektroniksysteme einschließlich Software gehören oder die Produkte in Form einer Software enthalten, Mindestanforderungen bezüglich Hardware, Eigenschaften von IT-Netzen und IT-Sicherheitsmaßnahmen einschließlich des Schutzes vor unbefugtem Zugriff, die für den bestimmungsgemäßen Einsatz der Software erforderlich sind
(Anhang I Nr. 23.4)

 

Weitere Empfehlungen und Vorgaben in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik – BSI – hat vor Kurzem eine Empfehlung an die Hersteller zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte veröffentlicht und auf der Medica im November 2018 eine englische Fassung der Empfehlung vorgestellt.

Sicherheitspatches zum Verhindern von Tod oder schwerwiegender Verschlechterung des Gesundheitszustands durch IT-Sicherheitslücken sind meldepflichtige korrektive Maßnahmen gemäß der MPSV aber auch gegenüber dem Bundesministerium der Justiz und für  den Verbraucherschutz.

Beim Bundesinstitut für Arzneimittel und Medizinprodukte – BfArM gibt es eine spezielle Webseite zur Cybersicherheit von Medizinprodukten, auf der die relevanten korrektiven Maßnahmen von den Herstellern und weitere wichtige Informationen und Empfehlungen zur Cybersicherheit aufgelistet werden.

 

Cybersecurity beginnt beim Entwicklungsprozess

Die regulatorischen Anforderungen an Cybersicherheit von Medizinprodukten müssen während des gesamten Produktlebenszyklus gewährleistet sein. Für Hersteller bedeutet das, dass sie im Rahmen ihres Risikomanagementsystems Prozesse implementieren müssen:

  • Sicherstellung der Patienten- und Anwenderinformationen
  • Manipulationsschutz von Software
  • Produktbeobachtung und -nachverfolgung am Markt
  • Stetige Anpassung der Cybersecurity an den Stand der IT-Technik

Die Entwicklung des Sicherheitskonzepts beginnt also bereits im Entwicklungsprozess des Produkts und sollte ein stetiger Begleiter während des Produktlebenszyklus sein.

Falls Sie mit den Vorgehensweisen der Hackerszene nicht bekannt sind, können Sie sich gerne vertrauensvoll ans uns wenden. Wir unterstützen Sie gerne beim Schließen Ihrer Sicherheitslücken.

 

Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.

Jedes Projekt ist spezifisch – die erforderlichen Aufgaben und Maßnahmen zur Markteinführung sind individuell festzulegen.
seleon berät Sie zu Ihren persönlichen Fragen unverbindlich.

KONTAKTIEREN SIE UNSERE EXPERTEN

Weitere Artikel aus der Kategorie „Entwicklungsprozesse“

Entwicklungsprozesse
12.03.2019

Stellen wir uns folgendes Szenario vor: Hacker deaktivieren Herzschrittmacher und manipulieren Insulinpumpen. Damit das nicht passiert, müssen Hersteller immer den neuesten Stand der IT-Technik berücksichtigen.

Entwicklungsprozesse
14.02.2019

Ohne Software läuft in der Planung, Steuerung und Durchführung von Medizintechnik-Projekten nichts. Notwendig sind Tools, um effizient und fehlerarm zu entwickeln. Doch welche eignen sich am besten?

Entwicklungsprozesse
07.11.2018

Die überarbeiteten Anforderungen an die gelenkte Dokumentation durch ISO 13485:2016 (Kapitel 4.2.4, 4.2.5) und MDR sind mittlerweile in den Firmen angekommen. Die Erschließung anderer Märkte erfordert die Umsetzung der dortigen Anforderungen (z. B. FDA). Im Bereich der...

Regulatory Affairs

Die Zulassung von medizinisch technischen Produkten ist komplex und nicht selten verwirrend. Wir klären auf …

> Regulatory Affairs

Klinische Zulassung

Die klinische Anwendung von Medizinprodukten erfordert zahlreiche Nachweise und Bewertungen. Was wir dazu wissen …

> Klinische Zulassung

Qualitäts-management

Medizinprodukte unterliegen strengen Anforderungen rund um die Qualitätssicherung. Wir kennen die Details …

> Qualitätsmanagement