In Zeiten des rasanten technologischen Fortschritts und der digitalen Transformation, gewinnt das Thema Cybersecurity zunehmend an Bedeutung. Auch Medizinprodukte und medizinische Behandlungsumgebungen geraten immer mehr in den Fokus von Hackern, wie der jährliche Lagebericht des BSI zeigt.

Doch wie steht es um die Sicherheit von Medizinprodukten? Hier zeigen Studien, wie ManiMed und eCare, ein erschreckendes Bild. Es ist zu befürchten, dass es nur eine Frage der Zeit ist, bis direkte Angriffe auf Medizinprodukte erste Opfer fordern.

In diesem Beitrag möchte ich die wesentlichen Gründe hervorheben, warum die folgenden Aspekte – Übersicht, Kompetenz, Kommunikation, Security by Design, Dokumentation und Aufwand – für effektive Cybersecurityprozesse in der Produktentwicklung unabdingbar sind.

  • Übersicht

    Digitale Medizinprodukte werden immer komplexer, wodurch sich auch die Angriffsfläche für potenzielle Cyberattacken vergrößert. Eine umfassende Kenntnis des eigenen Systems mit seinen Komponenten, Schnittstellen und Datenflüssen ist daher unerlässlich, um potentielle Schwachstellen zu erkennen und zu beheben, bevor sie von potentiellen Angreifer:innen ausgenutzt werden können.

    SBOMs ermöglichen es darüber hinaus, implementierte Komponenten automatisiert auf Sicherheitsschwachstellen zu untersuchen. Denn: Nur wer sein Produkt kennt, kann es auch absichern.

  • Kompetenzen

    Um den Herausforderungen der Cybersecurity erfolgreich zu begegnen, bedarf es entsprechender Ressourcen im Projekt. Cybersecurity-Expert:innen mit einem Verständnis für aktuelle Bedrohungsmöglichkeiten, Angriffsmethoden und präventive Maßnahmen sind unabdingbar, um proaktiv auf mögliche Gefahren in der Medizinprodukteentwicklung zu reagieren und effektive Sicherheitsstrategien zu entwickeln. Denn komplexe Gegenmaßnahmen sind nicht gleichbedeutend mit sicheren Gegenmaßnahmen.

  • Kommunikation

    Eine schnelle und direkte Kommunikation innerhalb der Produktentwicklung ist von großer Bedeutung, wenn es um Cybersecurity geht. Das Wissen über das Medizinprodukt ist verstreut, insbesondere wenn es sich um eine medizinische Behandlungseinheit mit mehreren unterschiedlichen Komponenten handelt.

    Cybersecurity muss hier systemübergreifend gedacht werden und erfordert entsprechende Abklärungen. Nur wenn die Teams von Entwickler:innen mit Cybersecurity-Expert:innen zusammenarbeiten und Cybersecurity im Gesamtkontext des Produktes umgesetzt wird, kann die Entwicklung eines sicheren Produktes erfolgreich sein.

  • Security By Design

    Die Form der Sicherheitsmaßnahmen ist bereits in der Entwicklungsphase von Anwendungen, Produkten und Diensten von grundlegender Bedeutung. Security by Design stellt sicher, dass Sicherheitsaspekte von Anfang an im Design berücksichtigt werden, um Schwachstellen zu minimieren und potenzielle Einfallstore für Cyber-Angriffe zu vermeiden. Denn Geheimnisse, die nicht im Vorhinein existieren und erst zur Laufzeit individuell generiert werden, können auch nicht durch Codeanalyse extrahiert werden. Was nicht existiert, kann auch nicht extrahiert werden.

  • Dokumentation

    Eine sorgfältige, vollständige und strukturierte Dokumentation aller identifizierter Schwachstellen und Gegenmaßnahmen ist für eine saubere Dokumentation unerlässlich. Es gibt immer eine Möglichkeit, den identifizierten Risiken argumentativ zu begegnen. Aber, was nicht dokumentiert ist, wurde gleichzeitig auch nie besprochen.

  • Aufwände

    Cybersecurity von Medizinprodukten ist keine einmalige Aktivität, sondern ein kontinuierlicher Prozess über den gesamten Produktlebenszyklus. Und bei Zyklen im medizinischen Umfeld, die mehr als 15 Jahre dauern, gibt es viel zu berücksichtigen. Man denke nur an den damaligen Stand der Technik. Das erste iPhone kam gerade auf den Markt.

    Cybersecurity muss als Aufwand im Projekt geplant und gemanagt werden. Denn wer in Cybersecurity investiert, investiert in die Zukunft des Produktes.

Sebastian Wittor
Cybersecurity Expert

Sebastian Wittor ist Cybersecurity Experte bei BAYOOMED und unterstützt seit über drei Jahren unsere Kund:innen als Project Manager Medical Engineering bei der sicheren Entwicklung ihrer Medizinprodukte.