Organisatorische Maßnahmen beschreiben Schutzmaßnahmen, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Sie dienen der Vermeidung potentieller Angriffsmöglichkeiten und beschreiben Prozesse zum Umgang mit bekanntgewordenen Schwachstellen.

Zur Erfüllung der grundlegenden Anforderungen der aktuell gültigen Richtlinien für Medizinprodukte, ist im Rahmen des Konformitätsbewertungsverfahrens u.a. eine Risikoanalyse zu erstellen. Hierbei werden die dort identifizierten Risiken, zu denen auch Cybersecurity zählt, analysiert, minimiert und dokumentiert.
Die Risikoanalyse ist ein durchgehender Prozess, bei der im Laufe der Entwicklung neue potentielle Angriffsvektoren identifiziert und den Umgang damit regelt. Das Ziel ist die Minimierung der Eintrittswahrscheinlichkeit von Sicherheitsrisiken und die Reduktion ihrer Auswirkungen auf Patient:innen und Medizinprodukte.

Cybersecurity spielt im Lebenszyklus eines Medizinprodukts eine wichtige Rolle. Direkt zu Beginn der Planung und Entwicklung eines solchen Produkts werden essenzielle Fragen zum Softwareentwicklungsprozess gestellt. Hierzu dient die Entscheidung über Vorgaben zur sicheren Implementierung, die Auswahl vertrauenswürdiger Entwicklungswerkzeuge und die Implementierung von Kontrollmechanismen, die durch Prüfabschnitte (Security Gates) und Systemtests erfolgen kann.

Der Lebenszyklus regelt auch nach dem Produktrelease den Umgang mit sicherheitsrelevanten Fragen in Bezug auf die Produktpflege und bekanntgewordenen Schwachstellen. Relevant sind hier Prozesse zur Erkennung neuer potenzieller Angriffsvektoren, zur regelmäßigen Überprüfung auf bekanntgewordene Schwachstellen und alle verwendeten externen Subkomponenten und Fragestellungen zur Updatepolitik des Produktes.

Neben dem Umgang mit bekanntgewordenen Schwachstellen ist auch eine Definition der Kommunikation über diese notwendig. Hierzu zählt die Etablierung von Kommunikationskanälen, u.a. zur Mitteilung von erkannten Schwachstellen, der offenen Kommunikation dieser Schwachstellen gegenüber Anwender:innen und die Schaffung von Kontaktmöglichkeiten für Cybersecurity-relevante Fragen.

Unter technische Maßnahmen sind alle soft- und hardwarebasierten, umsetzbaren Schutzmaßnamen zur Absicherung des Medizinprodukts gegenüber Angriffen Dritter zu verstehen. Sie behandeln konkrete potenzielle Angriffsvektoren und sichern das Medizinprodukt demgegenüber ab.

Der größte Angriffsvektor für netzwerkfähige Medizinprodukte ist ein Angriff auf die Kommunikationskanäle und den damit verbundenen Datenaustausch sowie die -verarbeitung. Hierbei besitzt ein:e Angreifer:in die Möglichkeit, diese Daten auszulesen oder zu manipulieren. Zur Absicherung der Kommunikation ist zuerst eine Analyse notwendig. Basierend hierauf erfolgt die Planung und technische Umsetzung der Datenübertragung. Unter Beachtung aktueller Schutzmaßnahmen und kryptografischer Verfahren sollte eine Absicherung der Daten auf Basis der Schutzziele erfolgen.

Neben dem Schutz der Datenübertragung ist auch die Absicherung des Medizinproduktes samt Hostsystems zu beachten. Durch systembasierte Schwachstellen besitzen Angreifer:innen die Möglichkeit, Informationen über die Kommunikation und verwendete Sicherheitsmerkmale zu erhalten die zum Angriff auf diese Netzwerkverbindung verwendet werden können.

Trotz der Verwendung aktueller Sicherheitsstandards und ihrer gewissenhaften Umsetzung lassen sich potenzielle Angriffe auf unbekannte Schwachstellen nicht ausschließen. Deswegen ist die Implementierung eines Systems zur Erkennung potenzieller Angriffe empfehlenswert. Es analysiert die Verwendung des Medizinprodukts sowie deren Kommunikationskanäle. Zudem stellt es auf Basis dieser Daten Unregelmäßigkeiten fest, die auf einen Angriff hindeuten können. Dies dient neben der Erkennung auch dem Verständnis über den Ablauf eines Angriffes und seines Angriffsvektors, um darauf basierend konkrete Gegenmaßnahmen einleiten zu können.

Medizinprodukte sollen ihre Grundfunktionalität auch ohne aktive Netzwerkverbindung oder bei einem potenziellen Angriff sicherstellen. Das oberste Schutzziel und somit zentral für Fragen rund um Cybersecurity ist die Wahrung der Gesundheit von Patient:innen.

Die wichtigsten Fragen im Überblick:

Alles Neuland für Dich? Gern analysieren wir Ihre Produkte, etablieren das Cybersecurity Risk Management in Deinem Unternehmen oder schulen Kolleg:innen in der Enwicklungsabteilung.