Sicherheit medizinischer Geräte: Was OEMs wissen müssen

Die Sicherheit medizinischer Geräte ist nicht länger ein Randthema - sie ist entscheidend. In diesem Artikel befassen wir uns mit aufkommenden Cybersicherheitsproblemen in der Branche, Vorschriften und den wichtigen Schritten, die Sie unternehmen können, um Ihre medizinischen Geräte vor aktuellen und zukünftigen Bedrohungen zu schützen und zu verwalten.

Nach Angaben von Deloitte sind medizinische Geräte zunehmend das Ziel von Cyberangriffen geworden. Da diese Geräte kritische Dienste bereitstellen, gehen Cyberkriminelle davon aus, dass Unternehmen des Gesundheitswesens schnell ein Lösegeld zahlen werden. Dieser Anstieg der Cybervorfälle bei Medizinprodukten hat zu einer Unterbrechung der Lieferketten, der Fertigungsprozesse und der Forschung geführt, die Hunderte von Millionen an Schäden und Reputationsverlusten verursacht hat. Gleichzeitig hat die Pandemie die Einführung von IoT beschleunigt, um den persönlichen Kontakt zu reduzieren. Tatsächlich wird sich der Wert von IoT Medizinprodukten bis 2027 fast vervierfachen.

Was ist die Sicherheit medizinischer Geräte?

Angeschlossenes medizinisches Gerät

Einfach ausgedrückt, erfordert die Sicherheit von Medizinprodukten, dass die Geräteentwickler nicht nur bewährte Sicherheitspraktiken in ihre Gerätedesigns integrieren, sondern auch sicherstellen, dass diese Geräte überwacht und aktualisiert werden können, um sie während ihres Lebenszyklus sicher zu halten.

Die Sicherheit medizinischer Geräte ist möglicherweise das dringendste Sicherheitsproblem, mit dem die Gesundheitsbranche derzeit konfrontiert ist. OEMs medizinischer Geräte müssen Sicherheitstools und -prozesse einsetzen, um den unbefugten Zugriff auf oder die Kontrolle über diese Geräte und die damit verbundenen Daten zu verhindern. Und sie müssen die Fähigkeit einbauen, Firmware-Sicherheitsupdates zuverlässig aus der Ferne zu versenden, wenn neue Bedrohungen auftauchen.

Warum Cybersecurity für medizinische Geräte wichtig ist

Medizinisches Gerät im Gesundheitswesen

Da medizinische Diagnosegeräte wie MRT-Geräte, CT-Scanner und Röntgengeräte zunehmend mit Netzwerken verbunden werden, sind sie für die gleichen Hacker-, Malware- und Ransomware-Angriffe anfällig wie andere Arten von vernetzter Hardware.

Einigen Schätzungen zufolge sind in den USA 20-30 Milliarden medizinische Geräte mit dem wachsenden Internet der Dinge (IoT) verbunden. Zu diesen IoT medizinischen Geräten gehören Infusionspumpen, Insulinpumpen, Herzschrittmacher, medizinische Wearables und sogar Beatmungsgeräte. Einem Bericht von Moody's zufolge berichtet ein IT-Sicherheitsunternehmen von einem fast 10.000-prozentigen Anstieg der versuchten Angriffe auf Kunden im Gesundheitswesen zwischen 2019 und 2020.

Im Falle dieser medizinischen Geräte kann ein Angriff die privaten Daten eines Patienten oder sogar seine Gesundheit gefährden. Jüngste Ransomware-Angriffe führten zum Tod von Patienten, als ein Krankenhaus in Alabama nicht in der Lage war, fötale Herzschlagmonitore zu verwenden, nachdem die Geräte gehackt worden waren. Aus diesem Grund hat die Food and Drug Administration (FDA) Richtlinien und Anforderungen für die Sicherheit angeschlossener medizinischer Geräte festgelegt. Die Einhaltung dieser Vorschriften obliegt sowohl den Herstellern als auch den Gesundheitsdienstleistern.

Wer ist für die Sicherheit von Medizinprodukten verantwortlich?

Krankenschwester zeigt medizinische Informationen

In den Vereinigten Staaten reguliert die Food and Drug Administration (FDA) medizinische Geräte, und eine der wichtigsten Prioritäten der FDA im Bereich der Cybersicherheit ist die Bedrohung durch Ransomware für medizinische Geräte. Für die Cybersicherheit von Medizinprodukten sind jedoch sowohl die Hersteller und Lieferanten der angeschlossenen Geräte als auch die Gesundheitsorganisationen, die sie verwenden, verantwortlich, was unterstreicht, dass es überall im medizinischen Umfeld zu Sicherheitsverletzungen kommen kann.

Wie sichert man ein medizinisches Gerät?

Entwickler medizinischer Geräte

Hersteller medizinischer Geräte und Organisationen des Gesundheitswesens bilden die erste Verteidigungslinie bei der Reduzierung von Cyberangriffen auf ihre Geräte. Durch die Einführung einiger defensiver Maßnahmen und proaktiver Überwachung können Hersteller von Medizinprodukten und Mitarbeiter im Gesundheitswesen die Sicherheit ihrer Geräte verbessern und gleichzeitig das Wohlbefinden der Patienten, die ihre Geräte verwenden, schützen.

Die Probleme mit der Cybersicherheit medizinischer Geräte nehmen mit der Zeit immer mehr zu, so dass diese Überlegungen in jeder Phase der Kette von der Entwicklung bis zur Endanwendung unerlässlich sind. Hier sind einige Schritte, die Hersteller von Medizinprodukten unternehmen können.

  • Bauen Sie die Sicherheit von Anfang an in das Medizinprodukt ein. Wenn Cyberangriffe öffentlich werden, nennen Behörden wie die FDA den Namen des Herstellers und des betroffenen Produkts. Diese Art von Öffentlichkeitsarbeit kann das Vertrauen von Kunden und Endverbrauchern zerstören. Aus diesem Grund ist es sinnvoll und zwingend erforderlich, die Sicherheit bereits in der Entwurfsphase eines Geräts zu einem Hauptmerkmal oder zu einem inhärenten Eigentumsrecht zu machen.
  • Identifizieren Sie potenzielle Bedrohungen und Schwachstellen und erstellen Sie einen Plan. Führen Sie eine Risikobewertung für die Sicherheit von Medizinprodukten durch, um potenzielle Bedrohungen für Medizinprodukte zu ermitteln, und erstellen Sie einen Risikomanagementplan zur Bewältigung dieser Risiken, den Sie natürlich ständig aktualisieren müssen.
  • Führen Sie eine starke Authentifizierung ein. Bauen Sie robuste Authentifizierungsmechanismen ein, um den Zugriff auf kritische Funktionen und sensible Daten zu begrenzen.
  • Verwenden Sie Verschlüsselungs- und Datenschutztechniken. Verschlüsselung kann sensible Daten schützen, wenn bewährte Verfahren für die Datenspeicherung und -übertragung angewandt werden.
  • Führen Sie ein Verfahren zur Patch-Verwaltung und Schwachstellenüberwachung ein. Ziehen Sie Fernverwaltungssysteme in Betracht, die eine zentrale Fernüberwachung und -aktualisierung von Sicherheits-Patches und Firmware ermöglichen.

 


Ressourcen
  • Digi TrustFence® - Ein integrierter Sicherheitsrahmen, der mehrere Verteidigungspunkte in Produkten ermöglicht, die mit Digi ConnectCore® System-on-Modules (SOMs) entwickelt wurden.
  • Digi ConnectCore Sicherheitsdienste - Dienste und Tools, die die Überwachung und Analyse von Sicherheitsrisiken ermöglichen und Sie in die Lage versetzen, die Sicherheit Ihrer Geräte während des gesamten Produktlebenszyklus zu gewährleisten.
  • Digi ConnectCore Cloud-Dienste - Dienste, die sichere Over-the-Air (OTA)-Software-Updates ermöglichen und damit die Automatisierung von Prozessen, die Verwaltung von Remote-Bereitstellungen und die Senkung von Kosten unterstützen.
  • Digi Wireless Design Services - Ein hochqualifiziertes Ingenieurteam, das die Entwickler medizinischer Geräte unterstützt, um sichere und zuverlässige Produkte schnell auf den Markt zu bringen.

 

Neue Sicherheitsvorschriften für medizinische Geräte

Medizinrechtliches Konzept

Bis Ende 2020 wird die die Gesundheitsbranche rund 20,8 Milliarden Dollar für Ausfallzeiten ausgeben - fast doppelt so viel wie 2019. Tatsächlich stieg die Zahl der betroffenen Datensätze im Jahr 2020 um 470 Prozent gegenüber 2019. Noch schlimmer ist, dass Gesundheitsdienstleister rund 2,1 Millionen Dollar Lösegeld für Patientendaten gezahlt haben.

FDA-Richtlinien zur Cybersicherheit

Anfang 2023 begann die FDA dann, von Medizinprodukten die Einhaltung spezifischer Cybersicherheitsrichtlinien zu verlangen, die in ein Gesetz aufgenommen wurden. Um die zunehmenden Sicherheitslücken bei Medizinprodukten aufgrund von Cyberangriffen auf Krankenhäuser und mit dem Internet verbundene Geräte zu schließen, müssen nun alle neuen Antragsteller von Medizinprodukten ihre Pläne zur Überwachung, Identifizierung und Bewältigung von Cybersicherheitsproblemen mitteilen. Dies ist eine wesentliche Änderung gegenüber der Art und Weise, wie Hersteller von Medizinprodukten die Sicherheit ihrer Produkte von der Konzeption über die gesamte Lebensdauer bis hin zum Auslaufen des Produkts gewährleisten müssen.

Die neue FDA-Sicherheitsanforderung für Medizinprodukte umfasst:         

  • Ein dokumentiertes Verfahren, das sicherstellt, dass Medizinprodukte angemessen geschützt sind.
  • Regelmäßige Bereitstellung von Sicherheitsupdates und Patches in kritischen Situationen.
  • Teilen Sie eine Software-Stückliste (SBOM), die alle Open-Source- und andere Gerätesoftware, einschließlich kommerzieller Pakete, enthält.

Darüber hinaus plant die FDA nun, ihre Leitlinien zur Cybersicherheit von Medizinprodukten alle zwei Jahre zu aktualisieren.

Cybersecurity-Leitlinien der Europäischen Union für Medizinprodukte

In Europa decken die MDR 2017/745 und die IVDR 2017/746 die neuesten Medizinprodukte ab. Die Dokumente umreißen neue grundlegende Sicherheitsanforderungen für alle Medizinprodukte mit programmierbaren Systemen sowie für Software-Medizinprodukte.

Die NIS2-Richtlinie und GDPR-Gesetzgebung umfassen die Cybersicherheitsstandards für Medizinprodukte und für die Verwaltung personenbezogener Patientendaten. Schließlich ist der EU-Cybersicherheitsgesetz einen Zertifizierungsrahmen für Cybersicherheit, der den Schutz von IT-Prozessen, -Produkten und -Dienstleistungen verbessern soll.

Internationale Leitfäden zur Cybersicherheit von Medizinprodukten 

Auf internationaler Ebene werden in zwei Leitfäden grundlegende Prinzipien der Cybersicherheit für die Lebensdauer von Medizinprodukten dargelegt. Erstens hat das International Medical Device Regulators Forum die Grundsätze und Praktiken für die Cybersicherheit von Medizinprodukten (Principles and Practices for Medical Device Cybersecurity). Dann veröffentlichte die Medical Device Coordination Group die EU MDCG 2019-16 Rev.1 Guidance on Cybersecurity for Medical Devices.

 


Download der Aufkommende Gesetzgebung zur Cybersicherheit von Medizinprodukten Whitepaper herunter, um eine ausführlichere Anleitung zu diesem wichtigen Thema zu erhalten.

 

Aufkommende Trends in IoT Sicherheit medizinischer Geräte

Medizinisches Fachpersonal greift auf verbundene Geräte zu

Da die Aufsichtsbehörden die Hersteller von Medizinprodukten für die Sicherheit verantwortlich machen, wächst das Interesse an neuen Wegen zur Verringerung der Bedrohungen für die Cybersicherheit von Medizinprodukten. Achten Sie auf diese neuen Technologietrends:

  • Künstliche Intelligenz (KI) und maschinelles Lernen (ML) - Künstliche Intelligenz kann IT-Teams im Gesundheitswesen dabei helfen, Daten zu sammeln und die kosteneffizientesten Sicherheitsstrategien auszuwählen, anstatt einen pauschalen Ansatz für die Datensicherheit anzuwenden.
  • Blockchain-Technologie - Die Blockchain-Technologie kann ein unverständliches, nicht editierbares, dezentralisiertes und transparentes Protokoll aller Patientendaten speichern und kann sensible Patientendaten wie die Identität einer Person verbergen. Da Blockchain dezentralisiert ist, können Patienten und Gesundheitsdienstleister dieselben Informationen schnell und sicher austauschen, ohne dass die Aufbewahrung der Patientendaten gefährdet wird.
  • Zero-Trust-Architektur - Der Kerngedanke der Zero-Trust-Architektur ist "never trust, always verify", bei dem jede Verbindung im Netzwerk als potenzielle Bedrohung betrachtet wird. Anstelle des traditionellen Ansatzes der einmaligen Authentifizierung und des Vertrauens für den Rest der Sitzung minimiert dieser Ansatz die Risiken von Sicherheitsverletzungen, indem der Zugriff auf einer Need-to-know-Basis gewährt wird.
  • Mikrosegmentierung - Durch die Unterteilung eines Netzwerks in kleinere Segmente oder Zonen können Netzwerkadministratoren das Risiko eines unbefugten Zugriffs verringern. Durch den Einsatz von Mikrosegmentierung können Gesundheitsdienstleister die Bewegungen eines Angreifers im Netzwerk einschränken und verhindern, dass Ransomware-Angriffe medizinische Geräte beeinträchtigen.

 


Erfahren Sie, wie Digi TrustFence es OEMs ermöglicht, Funktionen für Gerätesicherheit, Geräteidentität und Datenschutz zu integrieren.

 

Machen Sie die nächsten Schritte zur Sicherung Ihrer medizinischen Geräte

Digi ConnectCore SicherheitsdiensteEs besteht kein Zweifel daran, dass die Sicherheitsstandards für Medizinprodukte wichtig sind und in den kommenden Jahren weiter an Bedeutung gewinnen werden. Aus diesem Grund sollten Gesundheitsdienstleister und Hersteller von Medizinprodukten gleichermaßen der Sicherheit Priorität einräumen, da das Wachstum und die Nachfrage nach IoT Medizinprodukten zunehmen.

Wählen Sie zunächst einen erfahrenen Partner für die drahtlose und drahtgebundene Kommunikation aus, der über fundierte Fachkenntnisse auf dem Gebiet der Gerätesicherheit verfügt ( IoT ) und die Best Practices für die Sicherheit medizinischer Geräte kennt. Genau hier kann Digi helfen. Seit 1985 ist Digi ein Pionier in der drahtlosen und drahtgebundenen Kommunikation und bietet branchenübergreifende End-to-End-Lösungen.

Das Digi ConnectCore Ökosystem ist eine komplette Suite von eingebetteten Modulen, Software, Tools und Dienstleistungen. Die ConnectCore-Plattform bietet vernetzte Lösungen für stark regulierte Branchen wie Industrie und Energie, Medizintechnik, EV-Ladestationen und Banken, in denen Sicherheit von entscheidender Bedeutung ist.

Eine Schlüsselkomponente sind unsere hochintegrierten System-on-Module, die einzigartige Vorteile bieten, darunter:

  • Industrielle Zuverlässigkeit - Entwickelt für eine Lebensdauer von mindestens 10 Jahren, mit einer 24/7/365-Betriebseinstufung für den Dauereinsatz und einer Standard-3-Jahres-Produktgarantie.
  • Tiefe Integration - Digi SOMs lassen sich nahtlos in das XBee®-Ökosystem, Wi-Fi und Bluetooth-Protokolle integrieren. Sie unterstützen auch IoT Standards wie LTE Mobilfunk, Mesh-Netzwerke und drahtlose Verbindungen mit großer Reichweite im Sub-GHz-Bereich.
  • Branchenführende Sicherheit - Alle Digi SOMs enthalten das Digi TrustFence IoT Sicherheitsframework und ein Hardware Secure Element (SE).
  • Flexible Konnektivität - Dank einer Reihe von Konnektivitätsoptionen eignen sich die Digi SOMs für eine Vielzahl von Anwendungen.
  • Skalierbares Portfolio - Wenn sich Ihre Anwendung weiterentwickelt, können Entwickler einfach ein leistungsfähigeres, kompatibles Digi ConnectCore Modul einfügen. 
  • Technische Dienstleistungen - Digi Wireless Design Services kann Ihr Entwicklungsteam an jedem Punkt des Weges unterstützen, vom Prototyping über die Entwicklung, Prüfung und Zertifizierung bis hin zu Dienstleistungen für die Fertigungsbereitschaft.
  • Erstklassiger Support - Digi stellt sicher, dass Sie alles haben, was Sie für eine erfolgreiche Entwicklung und Bereitstellung benötigen - von der vollständigen Dokumentation bis hin zu einer Vielzahl integrierter Tools und technischer Supportleistungen.
  • Digi ConnectCore Security Services und Digi ConnectCore Cloud Services bieten die Funktionen, die Sie benötigen, um Geräte auf neue und sich entwickelnde Sicherheitsbedrohungen hin zu scannen und zu überwachen und um Geräte, die vor Ort eingesetzt werden, über ihren gesamten Lebenszyklus hinweg sicher zu verwalten.

Lassen Sie sich von uns bei der Sicherheit Ihrer medizinischen Geräte IoT unterstützen, damit Sie weiterhin die Gesundheit Ihrer Patienten verbessern können.

Nächste Schritte

Holen Sie sich unser White Paper
Erfahren Sie mehr über die FDA-Richtlinien für drahtlose medizinische Geräte