Sie ist nicht auf die Ebene des einzelnen Medizinprodukts beschränkt, sondern vielmehr für das gesamte Krankenhaus-IT-Netz gelöst werden muss. 

Die Anforderung „Cybersicherheit“ stellt verschiedene Abteilungen im Krankenhaus vor neue und komplexe Fragen, die in den nächsten Jahren an Bedeutung zunehmen werden. Oberstes Ziel ist es, einen Cyberangriff auf die eigene Einrichtung zu erkennen und abzuwehren, bevor Schaden entsteht.  Dabei ist zu beachten, dass sich die Anforderungen an die Cybersicherheit im Laufe der Zeit wandeln, da sie sich permanent an die veränderten Bedrohungen anpassen müssen. 

Letztendlich können die Anforderungen an die Cybersicherheit nur in einer Gesamtsicht der IT-Strategie der eigenen medizinischen Einrichtung, die wiederum maßgeblich von deren medizinischer und wirtschaftlicher Gesamtstrategie bestimmt ist, gelöst werden. Die Anforderungen an die Cybersicherheit können damit von Einrichtung zu Einrichtung sehr unterschiedlich ausfallen. Dennoch lassen sich einige Grundprinzipien definieren, die dann auf die Bedingungen in der jeweiligen Einrichtung angepasst werden müssen

Cybersicherheit kann auf die integrale Anforderung an Medizintechnik aufbauen

Cybersicherheit gehört zu den grundlegenden Sicherheitsanforderungen, die ein Medizinprodukt erfüllen muss, um die CEKennzeichnung für Medizinprodukte zu erlangen. Cybersicherheit umfasst dabei alle technischen (Hard- und Software) sowie organisatorischen Maßnahmen zur Gewährleistung des Angriffs- und Zugriffsschutzes bei medizintechnischen Geräten. Diese gilt es umzusetzen, sowohl für die Integration des Geräts in ein bestehendes Krankenhaus-IT-Netz als auch hinsichtlich der funktionalen Eigenschaften des Geräts an sich.

Zu bedenken ist dabei, dass durch einen unberechtigten Zugriff oder unbeabsichtigte Bedienung Daten, Dienste und Software des Medizingeräts derart offengelegt, manipuliert, beschädigt oder gelöscht werden können, dass das Medizingerät seine zweckbestimmte Funktion nicht mehr erfüllen kann. 

Cybersicherheit muss während des gesamten Produktlebenszyklus gepflegt werden

Die Cybersicherheit von Medizinprodukten muss während des gesamten Produktlebenszyklus gewährleistet werden. Dies schließt zum Beispiel routinemäßige Cybersicherheitsspezifikationen und -testings im Entwicklungs- und Produktionsprozess mit ein. Die Organisationsreife eines Unternehmens im Hinblick auf Cybersicherheit ist daher maßgeblich für die durchgängige, umfassende Cybersicherheit und Verlässlichkeit eines Produkts. Im Rahmen der CE-Kennzeichnung von Cybersicherheit im Krankenhaus ist eine dauerhafte Aufgabe.

Medizinprodukten ist der Aspekt der Cybersicherheit schon bei der Entwicklung, der Produktion und der Installation beim Kunden zu beachten. Dabei müssen der aktuelle Stand der Technik berücksichtigt und die Medizinprodukte stets daraufhin angepasst werden. Notwendigerweise entwickelt sich der Stand der Technik kontinuierlich weiter. Ebenfalls müssen Erkenntnisse über neue Bedrohungen und Risiken im Rahmen der Produktpflege einbezogen werden. Industrieverbände, Wissenschaft und Behörden müssen gemeinsam einen fortlaufenden Dialog dazu führen.

Verbände können über Branchenempfehlungen die Ergebnisse dieses Dialogs in die Breite bringen. Der Zentralverband Elektrotechnik- und Elektronikindustrie e.V. (ZVEI) hat zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei unterstützt, die BSI-Empfehlung „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ zu entwickeln. Cybersicherheit ist eine systemweite Aufgabe im Krankenhaus Cybersicherheit von Medizinprodukten kann nicht von den Herstellern allein gewährleistet werden.

Denn neben der Absicherung der Medizinprodukte gehören dazu auch angemessene Sicherheitsmaßnahmen für die Betriebs- und Netzwerkumgebung, in der die Medizinprodukte eingesetzt werden. Außerdem müssen auch die Anwender sicherheitsbewusst handeln und unter anderem die Empfehlungen der Medizinproduktehersteller beachten. Die Hersteller unterstützen die Anwender in dieser Aufgabe durch entsprechende Angaben in der Bedienungsanleitung und der Produktdokumentation.

Informationsaustausch und Wissensvermittlung müssen von allen Beteiligten unterstützt werden

Hersteller sollten Prozesse entwickeln, mit denen sie Hinweise auf Sicherheitslücken oder neue Gefährdungen von Anwendern, Forschern und anderen Kreisen erhalten und verarbeiten. Entsprechende Hinweise müssen schnell verbreitet werden, damit alle Betroffenen zügig geeignete Gegenmaßnahmen ergreifen können.

Durch einen strukturierten Austausch mit Behörden und allen Beteiligten der Gesundheitswirtschaft – zum Beispiel über den UP KRITIS (Öffentlich-private Partnerschaft zum Schutz Kritischer Infrastrukturen in Deutschland) oder den Expertenkreis „CyberMed“ innerhalb der Allianz für Cybersicherheit des BSI – kann das Sicherheitsniveau weiter verbessert werden. Eine gemeinsame Analyse der Sicherheitsrisiken und der zugrundeliegenden Hard- und Softwaresysteme ist auch die Basis für die gemeinsame Entwicklung von Normen und Standards als Teil einer Sicherheitsarchitektur.

Unvermeidbare Risiken zur Kenntnis nehmen

Im Rahmen der CE-Kennzeichnung wird für Medizinprodukte eine Risikoanalyse inklusive Cybersicherheitsaspekten durchgeführt, bei der die Zweckbestimmung des Geräts und seine wahrscheinliche Verwendung in der Praxis zugrunde gelegt werden. Soweit dabei Risiken für den Betrieb erkennbar werden, die nicht durch konstruktive Maßnahmen am Gerät selbst ausgeschlossen werden können, muss der Hersteller diese gegenüber dem Anwender offenlegen. 

Fazit

Auf die Krankenhäuser kommt die Anforderung zu, das Thema Cybersicherheit als zusätzliches Element in die eigenen Abläufe zu integrieren. Wie die vorhergehenden Punkte zeigen, reicht es dafür aber nicht aus, einmalig einen Kriterienkatalog festzulegen oder einmalig ein Sicherheitskonzept zu entwickeln. Zum einen verändern sich die Anforderungen kontinuierlich. Zum anderen können einige Anforderungen nicht fest definiert werden, sondern müssen zwischen den Gegebenheiten in der eigenen Einrichtung und den Angeboten des Herstellers abgeglichen werden.

Auch sollten die Krankenhäuser den Produktlebenszyklus nicht vernachlässigen. Die Angebote des Herstellers und die Strukturen der eigenen Einrichtung müssen während der gesamten Produktlebensdauer gemeinsam die Cybersicherheit des Produkts und damit der gesamten Einrichtung garantieren. Damit ist Cybersicherheit im Krankenhaus eine dauerhafte Aufgabe, die mit den notwendigen Ressourcen unterstützt werden muss.