Verbände können über Branchenempfehlungen die Ergebnisse dieses Dialogs in die Breite bringen. Der Zentralverband Elektrotechnik- und Elektronikindustrie e.V. (ZVEI) hat zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei unterstützt, die BSI-Empfehlung „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ zu entwickeln. Cybersicherheit ist eine systemweite Aufgabe im Krankenhaus Cybersicherheit von Medizinprodukten kann nicht von den Herstellern allein gewährleistet werden.

Denn neben der Absicherung der Medizinprodukte gehören dazu auch angemessene Sicherheitsmaßnahmen für die Betriebs- und Netzwerkumgebung, in der die Medizinprodukte eingesetzt werden. Außerdem müssen auch die Anwender sicherheitsbewusst handeln und unter anderem die Empfehlungen der Medizinproduktehersteller beachten. Die Hersteller unterstützen die Anwender in dieser Aufgabe durch entsprechende Angaben in der Bedienungsanleitung und der Produktdokumentation.

Informationsaustausch und Wissensvermittlung müssen von allen Beteiligten unterstützt werden

Hersteller sollten Prozesse entwickeln, mit denen sie Hinweise auf Sicherheitslücken oder neue Gefährdungen von Anwendern, Forschern und anderen Kreisen erhalten und verarbeiten. Entsprechende Hinweise müssen schnell verbreitet werden, damit alle Betroffenen zügig geeignete Gegenmaßnahmen ergreifen können.

Durch einen strukturierten Austausch mit Behörden und allen Beteiligten der Gesundheitswirtschaft – zum Beispiel über den UP KRITIS (Öffentlich-private Partnerschaft zum Schutz Kritischer Infrastrukturen in Deutschland) oder den Expertenkreis „CyberMed“ innerhalb der Allianz für Cybersicherheit des BSI – kann das Sicherheitsniveau weiter verbessert werden. Eine gemeinsame Analyse der Sicherheitsrisiken und der zugrundeliegenden Hard- und Softwaresysteme ist auch die Basis für die gemeinsame Entwicklung von Normen und Standards als Teil einer Sicherheitsarchitektur.

Unvermeidbare Risiken zur Kenntnis nehmen

Im Rahmen der CE-Kennzeichnung wird für Medizinprodukte eine Risikoanalyse inklusive Cybersicherheitsaspekten durchgeführt, bei der die Zweckbestimmung des Geräts und seine wahrscheinliche Verwendung in der Praxis zugrunde gelegt werden. Soweit dabei Risiken für den Betrieb erkennbar werden, die nicht durch konstruktive Maßnahmen am Gerät selbst ausgeschlossen werden können, muss der Hersteller diese gegenüber dem Anwender offenlegen. 

Fazit

Auf die Krankenhäuser kommt die Anforderung zu, das Thema Cybersicherheit als zusätzliches Element in die eigenen Abläufe zu integrieren. Wie die vorhergehenden Punkte zeigen, reicht es dafür aber nicht aus, einmalig einen Kriterienkatalog festzulegen oder einmalig ein Sicherheitskonzept zu entwickeln. Zum einen verändern sich die Anforderungen kontinuierlich. Zum anderen können einige Anforderungen nicht fest definiert werden, sondern müssen zwischen den Gegebenheiten in der eigenen Einrichtung und den Angeboten des Herstellers abgeglichen werden.

Auch sollten die Krankenhäuser den Produktlebenszyklus nicht vernachlässigen. Die Angebote des Herstellers und die Strukturen der eigenen Einrichtung müssen während der gesamten Produktlebensdauer gemeinsam die Cybersicherheit des Produkts und damit der gesamten Einrichtung garantieren. Damit ist Cybersicherheit im Krankenhaus eine dauerhafte Aufgabe, die mit den notwendigen Ressourcen unterstützt werden muss.