IT-Sicherheit bei Medizinprodukten
Als erfahrener Entwicklungsdienstleister berichtet Corscience über die Entwicklung und die Herausforderungen bei der sicheren Vernetzung von Medizinprodukten.
Bereits seit vielen Jahren nimmt die Vernetzung von Medizingeräten in den Bereichen Homecare, Klinik, und präklinischer Versorgung eine immer stärkere Rolle ein. Hierdurch entstehen den Patienten, Anwendern und Betreibern viele Vorteile. Die damit einhergehenden Sicherheitsrisiken nehmen aber ebenfalls weiter zu. Medizingeräte und deren Netzwerke gehören dabei zur kritischen Infrastruktur und sind daher besonders schutzwürdig. Um als Entwicklungsdienstleister wirtschaftliche und sichere Lösungen umsetzen zu können, berücksichtigen wir die Fragestellungen zur IT Sicherheit bereits ab den ersten Produktkonzepten. Damit die hier gewählten Maßnahmen langfristig sicher bleiben, müssen die Schutzmaßnahmen während der Entwicklung und dem gesamten Produktlebenszyklus eines Medizinproduktes überprüft werden.
Um die Wirksamkeit dieses Vorgehens zu verifizieren, hat Corscience in einem gemeinsamen Projekt mit dem Lehrstuhl für IT-Sicherheit der Friedrich-Alexander Universität Erlangen-Nürnberg die Sicherheit eines bereits fertig entwickelten Patientenmonitors für den Klinikeinsatz untersucht.
Im gemeinsamen Austausch wurden zunächst die Risiken detailliert und die Schutzziele definiert. Im Anschluss wurde das Medizingerät eingehend auf mögliche Schwachstellen analysiert und getestet (Penetration Tests, Bruteforce). Hierbei wurden auch die Anforderungen und Schnittstellen für Produktion und Service betrachtet und auf mögliche Einfallstore für Angriffsmöglichkeiten analysiert, denn hier werden bei der Konzeptionierung oft kritische Lücken übersehen.
Die Untersuchung zeigte, dass durch die verwendeten Konzepte zur IT-Sicherheit bereits viele Angriffsszenarien ausgeschlossen werden konnten. So hielt der Monitor die Angriffsfläche gering, indem sekundäre Dienste abgeschottet wurden. Dies zeigte sich sowohl bei der WLAN-, der HL7 Kommunikation, dem internen Webserver sowie der Peripherie (z.B. Barcode Lesegerät). Es wurden kleinere Optimierungsmöglichkeiten (wie z.B. die Stärkung der Passwort-Policy) gefunden, bei denen jedoch der Grat zwischen Sicherheit und Usability im Einsatz noch gründlich gegeneinander abgewogen werden muss. Damit die Produkte unserer Kunden den steigenden Sicherheitsanforderungen gewachsen sind, setzen wir unser Know-How bereits ab der Konzeption, über die Entwicklung und während des gesamten Produktlebenszyklus ein, um zukunftssichere, benutzerfreundliche und zuverlässige Medizintechnik zu entwickeln.
Gerne unterstützen wir auch Sie bei der Entwicklung und Zulassung Ihres sicheren Systems im klinischen Umfeld, in der Notfallmedizin oder im Homecare-Bereich.