Autor: Dirk Müller
Team Lead bei BAYOOMED
Co-Autor: Sebastian Wittor
Project Manager Medical Engineering bei BAYOOMED
In der zunehmend vernetzten Medizintechnik nimmt das Thema Cybersicherheit stetig an Bedeutung zu. Medizinprodukte, die Software enthalten oder vernetzt sind, müssen nicht nur in der Entwicklungs- und Einführungsphase, sondern auch während ihres gesamten Lebenszyklus gegen Cyberangriffe geschützt werden. Dieser kontinuierliche Prozess wird als Post-Market Cybersecurity bezeichnet.
Er umfasst somit sämtliche Maßnahmen, um die Vertraulichkeit personenbezogener Daten, die Integrität gespeicherter oder übertragener Informationen und die Verfügbarkeit des Medizinprodukts im Rahmen seiner Zweckbestimmung sicherzustellen. Da Cyberrisiken auch zu unmittelbaren Gefährdungen für Patient:innen führen können, ist demnach eine sorgfältige und fortlaufende Überwachung im Sinne der Patientensicherheit und der Erfüllung regulatorischer Anforderungen unerlässlich.
Warum ist Post-Market Cybersecurity so essenziell?
Durch die steigende Vernetzung von Medizinprodukten wächst zwangsläufig auch das Risiko von Cyberangriffen. Angriffe können nicht nur sensible Daten kompromittieren, sondern auch die Funktionalität eines Geräts beeinträchtigen und somit die Gesundheit von Patient:innen gefährden. Um diesen potenziell gravierenden Konsequenzen vorzubeugen, sind daher proaktive Maßnahmen zum Schutz vor Cyberbedrohungen unverzichtbar.
Regulatorische Anforderungen
In der Europäischen Union sind Hersteller von Medizinprodukten verpflichtet, ein robustes System zur Überwachung nach dem Inverkehrbringen (Post-Market Surveillance, PMS) zu implementieren. Dieses System stellt sicher, dass fortlaufend Daten über die Leistung und Sicherheit der Produkte auf dem Markt erfasst und ausgewertet werden.
Die Medical Device Regulation (MDR) und die MDCG-Leitlinie 2019-16 („Guidance on Cybersecurity for Medical Devices“) betonen ausdrücklich, dass Hersteller Cyberrisiken identifizieren und geeignete Schutzmaßnahmen ergreifen müssen. Ein bedeutender Bestandteil dieser Anforderungen ist das Identifizieren und Bewerten von Vulnerabilitäten in Software-Bibliotheken und in sogenannten SOUPs (Software of Unknown Provenance) – beispielsweise auf Basis öffentlich zugänglicher Datenbanken wie der NVD CVE (Common Vulnerabilities and Exposures).
Anforderungen an Medizinproduktehersteller
Hersteller müssen kontinuierlich Informationen über potenzielle Cyberbedrohungen erheben und bewerten. Dabei geht es nicht nur um regelmäßige Schwachstellenanalysen, sondern auch um die Auswertung von Vorfällen bei vergleichbaren Produkten, um frühzeitig Handlungsempfehlungen abzuleiten.
Implementierung eines Cybersecurity-Risikomanagements
Ein effektives Risikomanagement umfasst die Identifikation von Software-Schwachstellen, die Bewertung potenzieller Risiken sowie die Umsetzung geeigneter Gegenmaßnahmen. Ein positiver Nutzen-Risiko-Vergleich muss stets belegt sein, und alle verbleibenden Risiken müssen akzeptabel bleiben.
Entwicklung von Vigilanz-Plänen
Bei Cybervorfällen ist ein schnelles und strukturiertes Vorgehen entscheidend. Hersteller haben in bestimmten Fällen eine Meldepflicht gegenüber Behörden wie dem BfArM und dem BSI, sofern es sich um schwerwiegende Vorkommnisse im Bereich der Informationssicherheit handelt. Ein Incident Response Plan sollte daher vorab erstellt sein, um Schäden zu begrenzen, Anwender:innen zu informieren und so unverzüglich Korrekturmaßnahmen einzuleiten.
Implementierung eines Update Managements
Um bekannte Schwachstellen zu schließen, sind regelmäßige Updates und Patches unabdingbar. Diese Aktualisierungen dürfen jedoch die Funktionalität des Produkts nicht beeinträchtigen. Zudem muss sichergestellt sein, dass durch die Updates keine neuen Risiken entstehen.
Dokumentation und Berichterstattung
Alle Maßnahmen, die im Zusammenhang mit Cybersecurity ergriffen werden, sind lückenlos zu dokumentieren. Zusätzlich müssen regelmäßig Berichte – beispielsweise ein PMS Report oder ein Periodic Safety Update Report (PSUR) – erstellt werden. Diese Dokumente, ergänzt durch einen umfassenden PMS Plan, dienen als Nachweis für die Erfüllung der regulatorischen Vorgaben.
Best Practices für Post-Market Cybersecurity
Sicherheitsaspekte sollten von Anfang an in die Produktentwicklung integriert werden. Dies beinhaltet die frühzeitige Berücksichtigung von Sicherheitsfunktionen, regelmäßige Bedrohungsanalysen und eine wiederkehrende Überprüfung des Sicherheitskonzepts.
Software Bill of Materials (SBOM)
Eine detaillierte SBOM listet alle verwendeten Softwarekomponenten und Bibliotheken inklusive Versionsangaben auf. Bei neu entdeckten Schwachstellen kann so präzise ermittelt werden, welche Softwareteile betroffen sind und welche Gegenmaßnahmen erforderlich sind. Dies ermöglicht eine lückenlose Nachverfolgbarkeit der eingesetzten Softwareversionen sowie ihres Sicherheitsstatus.
Coordinated Vulnerability Disclosure (CVD)
Ein formaler Prozess zur Meldung und Beseitigung von Sicherheitslücken fördert die konstruktive Zusammenarbeit zwischen Herstellern, Anwendern und Sicherheitsforschenden. Durch strukturierte Abläufe wird ein rascher und effektiver Umgang mit aufgedeckten Schwachstellen gewährleistet.
Gesamter Produktlebenszyklus
Die Norm IEC 81001-5-1:2021 „Health Software and Health IT Systems Safety, Effectiveness and Security — Part 5-1: Security — Activities in the Product Life Cycle“ (derzeit nicht harmonisiert in der EU) verlangt ein umfassendes Sicherheitsmanagement für Medizinproduktesoftware über den gesamten Produktlebenszyklus. Dies schließt Entwicklung, Implementierung, Betrieb, Wartung und Außerbetriebnahme ein und sichert eine durchgehend hohe Systemintegrität.
Fazit
Post-Market Cybersecurity ist ein kontinuierlicher Prozess, der den gesamten Lebenszyklus eines Medizinprodukts begleitet. Durch permanente Überwachung, fundiertes Risikomanagement und die Anwendung bewährter Sicherheitspraktiken können Hersteller eine hohe Produkt- und Patientensicherheit gewährleisten und das Vertrauen von Gesundheitsdienstleistern sowie Patient:innen stärken.
Nicht zuletzt helfen die Einhaltung regulatorischer Anforderungen und die stetige Weiterentwicklung der Schutzmaßnahmen dabei, den hohen Qualitäts- und Sicherheitsansprüchen in der Medizintechnik nachhaltig gerecht zu werden.
