11
Feb
2021

BSI-Projekt „ManiMed“: IT-Sicherheitsbewertung vernetzter Medizinprodukte

Am 3. Februar 2021, beim 17. Deutschen IT-Sicherheitskongress,  erfolgte neben weiteren Beiträgen die Vorstellung der Ergebnisse aus dem am 31. Dezember 2020 veröffentlichen Abschlussbericht des BSI Projekts 392: Manipulation von Medizinprodukten ManiMed vom 11. Dezember 2021 („ManiMed Abschlussbericht“). Das Projekt startete Anfang 2019 mit dem Ziel, den aktuellen Stand der IT-Sicherheitslage von kürzlich auf den Markt gebrachten vernetzten Medizinprodukten abzubilden. Allgemein soll das Bewusstsein für IT-Sicherheitsfragen vernetzter Medizinprodukte geschärft werden.[1]

In diesem Beitrag haben wir die wichtigsten Ergebnisse für Sie zusammengefasst.

Zum Hintergrund

Das Projektteam hat in Kooperation mit elf Herstellern je zwei vernetzte Medizinprodukte aus fünf Produktkategorien (implantierte Herzschrittmacher & Kardioverter-Defibrillatoren (ICDs), Insulinpumpen, Beatmungs- und Anästhesiegeräte, Infusions- und Spritzenpumpen, Patientenmonitore), die nach dem 1. Januar 2014 auf den deutschen Markt gebracht wurden sowie die für den Betrieb der Medizinprodukte erforderlichen Infrastrukturkomponenten, anhand des sogenannten Common Vulnerability Scoring System (CVSS)[2] einer IT-Security-Untersuchung unterzogen und diese bewertet. Als Adressaten sieht das Projektteam Betreiber medizinscher Einrichtungen, Hersteller von Medizinprodukten und die regulatorischen Entscheidungsträger.[3]

Das Projektteam spricht im Zuge der Auswertung des Projekts an diese Adressaten gerichtete Empfehlungen insbesondere bezogen auf IT-sicherheitsrelevante Prozesse aus.

Ergebnisse des Projekts ManiMed

Im Folgenden die Ergebnisse des Projekts im Überblick:

  • Prüfung der zugehörigen Infrastrukturkomponenten: Das Projektteam stellte fest, dass Schwachstellen häufig in der begleitenden Infrastruktur, selten jedoch im Medizinprodukt selbst zu finden waren.[4] Das Projektteam legt nahe, dass die Sicherheitsprüfung eines vernetzten Medizinprodukts grundsätzlich die zugehörige Infrastrukturkomponenten umfassen sollte, um eine realistische Einschätzung der Sicherheit des Produkts in seiner Betriebsumgebung zu erhalten.[5]
  • Reifegrad der Hersteller unterschiedlich: Das Projektteam stellte fest, dass die IT-Sicherheitslage von Hersteller zu Hersteller unterschiedlich und stark vom „Reifegrad“ des einzelnen Herstellers vernetzter Medizinprodukte abhängig sein kann. Mit dem Reifegrad maß das Projektteam, wie erfahren oder unerfahren die Hersteller mit Prozessen zum Umgang mit Sicherheitslücken, wie sogenannten Coordinate Vulnerability Disclosure („CVD“)-Prozessen waren.[6]
  • Pacht-Management: Projektteam legt Herstellern vernetzter Medizinprodukte grundsätzlich nahe, vor der Freigabe eines Medizinprodukts ein detailliertes Verfahren für das Patch-Management zu entwickeln, um sicherzustellen, dass Patches schnell und sicher implementiert werden können.[7] Dazu gehören auch Fragen nach der Kommunikation, dass ein Patch verfügbar ist, der Art der Bereitstellung desselben sowie wer dessen Installation faktisch übernimmt.
  • Richtlinien für Betriebsumgebung: Das Projektteam legt Herstellern vernetzter Medizinprodukte nahe, wenn möglich klare Richtlinien für die Betriebsumgebung, in denen die vernetzten Medizinprodukte betrieben werden, bereitzustellen, wobei im Zweifel davon auszugehen sei, dass die Geräte in einer unsicheren Umgebungen betrieben werden.[8] Grundsätzlich sollten obligatorische Security-by-Design Schutzmaßnahmen, wie beispielsweise Authentifizierungs- und Autorisierungsmechanismen implementiert werden.[9] Sicherheitsimplikationen, die sich aus dem Betrieb eines Geräts in einer unsicheren Umgebung ergeben, empfiehlt das Projektteam klar darzulegen, damit dies für die Betreiber ersichtlich ist.[10]
  • Standardisierte Kommunikationsprotokolle: Das Projektteam stellte fest, dass proprietäre Kommunikationsprotokolle für Schnittstellen mit externen Geräten Anwendung finden.[11] Auch wenn das Projektteam grundsätzlich den Bedarf an speziellen Protokollen erkennt, könnten nach seiner Ansicht durch eine Reihe standardisierter Kommunikationsprotokolle mit eindeutigen IT-Sicherheitsanforderungen potentielle fehlerhafte Implementierungen oder Missverständnisse und damit letzten Endes die Entstehung mögliche Schwachstellen verringert werden.[12]
  • Regulierte Veröffentlichung aller Sicherheitsprobleme: Das Projektteam ist der Auffassung, dass ein CVD-Rahmenwerk und entsprechende Regeln als empfehlenswert gelten sowie weitergehend ein rechtlicher Rahmen für Veröffentlichung aller Sicherheitsprobleme – unabhängig von der Auswirkung auf die Patientensicherheit – um Herstellern klare Schritte vorzugeben, wie sie vorzugehen haben, für den Fall, dass sie Informationen über eine Schwachstelle in ihrem Produkt erhalten.[13]

Ausblick

Die Ergebnisse des Projekts sollen laut seiner Initiatoren unter anderem auch als Informationsgrundlage für zukünftige Regularien herangezogen werden.[14] Als Empfehlung dafür spricht sich das Projektteam für einen regulierten Veröffentlichungsprozess aller Sicherheitsprobleme aus, um den Herstellern eine klare Richtung der grundsätzlich erforderlichen Schritte vorzugeben, wenn sie Kenntnis über eine Schwachstelle in ihrem Produkt erlangen. Zum anderen sieht das Projektteam einen Bedarf danach, dass Sicherheitsrichtlinien für medizinische Kommunikationsumgebungen festgelegt werden, um eine größere Interoperabilität von Geräten und Gerätesysteme mit einer gemeinsamen Sicherheitsinfrastruktur aufzubauen und so Schwachstellen zu verringern.

Es bleibt abzuwarten, wie die zuständigen Behörden sowie der Gesetzgeber mit den Ergebnissen des Projekts ManiMed umgehen werden und wie sich die Lage insbesondere nach Inkrafttreten der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates verändert. Das Projekt ManiMed hat  die Situation explizit auf der Grundlage der derzeit geltenden Regelungslandschaft betrachtet und kann nach eigenen Angaben keine Aussagen über die IT-Sicherheitslage von Medizinprodukten treffen, die nach dem Inkrafttreten der neuen Regelungen für die Markteinführung konzipiert oder in den Verkehr gebracht wurden.[15] Wir bleiben dran und halten Sie auf dem Laufenden.

 

 

_____________

[1] ManiMed Abschlussbericht, S. 11.
[2] ManiMed, Abschlussbericht, S. 20: ein vom Forum of Incident Response and Security Teams entwickeltes Rahmenwerk.
[3] ManiMed Abschlussbericht, S. 12.
[4] Abschlussbericht ManiMed, S. 61.
[5] Abschlussbericht ManiMed, S. 61.
[6] Abschlussbericht ManiMed, S. 59.
[7] Abschlussbericht ManiMed, S. 64.
[8] Abschlussbericht ManiMed, S. 64 f.
[9] Abschlussbericht ManiMed, S. 65 f, mit Verweis auf die Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukt von 2018, abrufbar hier.
[10] Abschlussbericht ManiMed, S. 65.
[11] Abschlussbericht ManiMed, S. 66.
[12] Abschlussbericht ManiMed. S. 66.
[13] Abschlussbericht ManiMed, S. 67.
[14] Abschlussbericht ManiMed, S. 14.
[15] Abschlussbericht ManiMed, S. 14.