„Die Branche muss schnell dazulernen“
Medizinische Geräte und Systeme sind immer stärker vernetzt, gleichzeitig verarbeiten sie hochsensible Patientendaten. Das birgt Risiken, Cyberangriffe auf Medizintechnik häufen sich. Darauf hat der Gesetzgeber reagiert. Die Medical Device Regulation (MDR) der Europäischen Union verpflichtet Hersteller nun, ihre Systeme vor Angriffen zu schützen. Was das für uns und unsere Kunden heißt, erklärt Robert Feld, Systemarchitekt bei Corscience im Interview.
Robert, hat die Medizintechnik das Thema Cybersecurity auf dem Schirm oder erwischt es jetzt viele Unternehmen kalt?
Das hängt meiner Meinung nach vor allem von der Größe der Firma ab: Große Firmen sind hier meist schon sensibilisiert und bauen interne Strukturen auf oder verfügen bereits über diese. Bei kleinen Firmen hingegen nehme ich immer noch tendenziell eher mittelprächtige Vorbereitung auf das Thema wahr. Insgesamt gibt es hier aber Bewegung.
Was wären denn typische Einfallstore? Welche Angriffsszenarien gibt es konkret?
Das kriminalistisch und wirtschaftlich aktuell bedeutendste Angriffsszenario im Bereich Medizintechnik ist die Erpressung eines Krankenhauses mit entwendeten oder verschlüsselten Daten. Dabei sind zwar die finalen Angriffsziele die Server der Krankenhaus-IT, aber da Medizingeräte im Krankenhaus in Netzwerke integriert sind und teilweise mit dem Internet kommunizieren, können sie ein Einfallstor darstellen. Ein weiteres Szenario ist der Diebstahl von geistigem Eigentum. Dazu könnte ein Hacker aus einem Medizingerät nicht nur Know-how, sondern auch konkrete Umsetzungen wie EKG-Algorithmen entwenden und für z. B. eine billige Kopie des Gerätes nutzen.
Hast du ein Beispiel für einen Hackerangriff im medizintechnischen Bereich, der gravierende Folgen hatte?
Es gab z. B. den spektakulären Fund einer Sicherheitslücke in einem Herzschrittmacher. Dabei hat ein Sicherheitsforscher die Lücke entdeckt und dann an eine Firma verkauft, die auf fallende Aktienkurse wettet und mit der Veröffentlichung Gewinn gemacht. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Medizinprodukte auf Cybersecurity untersucht und Lücken gefunden. Ansonsten gab es z. B. gerade Anfang des Jahres einen Angriff auf Kliniken in Franken.
Auf Bedrohungslagen wie diese hat der Gesetzgeber reagiert. Was besagt denn die MDR in puncto Cybersecurity genau? Was heißt, Medizingeräte müssen „cybersicher“ sein?
Cybersicherheit ist der Schutz von System und Daten vor Angriffen. Sie berührt daher einerseits den Datenschutz und den Schutz vor Manipulation, damit es etwa nicht zu Fehlfunktionen kommt, sowie die Verfügbarkeit. Ein Angriff kann ein Gerät lahmlegen oder z. B. den Zugriff über das Netzwerk verhindern. Der Schutz geht dabei über das einzelne Gerät hinaus. Ein Angreifer, der ein Krankenhausnetz attackiert, kann zum Beispiel über ein schlecht gesichertes Medizingerät Zugriff auf die kritische Infrastruktur, wie etwa das WLAN-Netz oder auch Passwörter erlangen. Diese ermöglichen dann den eigentlichen Angriff, der oft in Stufen und über lange Zeit abläuft.
Die MDR greift das Thema CySec an verschiedenen Stellen auf, bleibt allerdings was die konkreten Anforderungen angeht, naturgemäß vage. Eine Konkretisierung liefert die Medical Device Coordination Group.
Welche konkreten Pflichten und Maßnahmen ergeben sich daraus?
Wie auch bei anderen Anforderungen aus der MDR müssen wir nachweisen, dass wir die Cybersecurity einhalten. Das erfordert Prozesse zur Identifikation und zum Nachweis der entsprechenden Anforderungen. Dazu sind einerseits Kenntnisse der Regularien und relevanten Normen erforderlich und zum anderen Kenntnisse der Methodik und technischen Umsetzung.
Welchen Einfluss hat dies auf unsere Prozesse?
Cybersecurity wird – wie bisher die funktionale Sicherheit – von Anfang an bei der Entwicklung berücksichtigt. An der Entwicklung ändert sich dadurch nichts Grundlegendes. Allerdings: Wenn die Produkte auf dem Markt sind, müssen wir uns jetzt auch darum kümmern, dass die Geräte über ihre gesamte Lebensdauer (cyber-)sicher bleiben und dem jeweiligen Stand der Technik genügen. Da in diesem Bereich die Entwicklung, im Gegensatz zur Safety, viel schneller ist, fällt mehr Arbeit an: Ein Gerät, das wir heute konzeptionieren, in drei Jahren auf den Markt bringen und dann für sieben Jahre mit einer Lebensdauer von zehn Jahren verkaufen, muss also 20 Jahre sicher sein. Das bedeutet, dass wir mit Weitsicht agieren und davon ausgehen müssen, regelmäßig mit Updates und Fixes auf neue Bedrohungen zu reagieren.
Wie weit ist Corscience in der Umsetzung? Wie schützen wir unsere Medizintechnik schon vor Cyberangriffen?
Wir sind quasi mittendrin. Das heißt, wir haben einige wichtige Maßnahmen umgesetzt und begonnen, diese bei neuen Projekten anzuwenden. Wir haben neue Vorlagen für die Cybersecurity-Analyse und damit erste, sehr gute Erfahrungen gemacht. Aktuell sind wir dabei, den Bereich nach der Markteinführung zu konzipieren und die neuen Aufgaben in unseren Prozessen zu verankern.
Lassen sich die Erfahrungen, die wir jetzt mit Cybersecurity-Maßnahmen sammeln, auf unsere Kunden übertragen? Können unsere Kunden davon profitieren?
Für einen Kunden haben wir gerade ein Gerät, das noch nach der MDD zugelassen wurde, testen lassen und festgestellt, dass es mit dem heutigen Wissen bereits Nachbesserungsbedarf gibt. Wichtig ist es jetzt, diese „Lessons learned“ für die Zukunft weiterzugeben. Jede Erfahrung mit dem Thema macht uns besser und gerade in der Projektarbeit lernen wir schnell dazu, weil wir schnell dazulernen müssen…
Kann es gelingen, ein System absolut cybersicher zu machen? Welche Herausforderungen gibt es dabei?
Absolute Sicherheit ist natürlich nicht erreichbar und ab einem gewissen Grad ist der Aufwand nicht mehr angemessen. Die Kunst liegt darin, die kritischen Stellen zu identifizieren, und dort dann Ressourcen in die Verbesserung der Sicherheit zu investieren. Darüber hinaus muss man auch nach Markteintritt bei Bedarf nachbessern. Konzeptionell ist hier das Defence-In-Depth- Prinzip wichtig: Da ich damit rechnen muss, dass jede einzelne Sicherheitsmaßnahme überwunden werden kann, ist die Kombination von mehreren unterschiedlichen Maßnahmen ein bewährtes Mittel, die Wahrscheinlichkeit für einen erfolgreichen Angriff zu verringern.
Außerdem ist ein abschließender Test durch unabhängige Experten, also in der Regel ein Penetrationstest, eine wichtige Maßnahme, um die Cyber-Sicherheit nachzuweisen. Wichtig dabei: Man kann die Sicherheit nicht in das Gerät reintesten. Wenn man Cybersecurity nicht von Anfang an berücksichtigt, wird es am Ende teuer! Je früher man dabei anfängt im Projekt, desto größer ist der Hebel. Wir unterstützen gerne dabei.