Schulterschluss gegen Cyberattacken gefordert

DÜSSELDORF. "Die IT-Sicherheit eines Krankenhauses kann nicht sichergestellt werden, ohne vernetzte Medizinprodukte zu berücksichtigen" – mit klaren Worten sensibilisierte Hans-Peter Bursig, Geschäftsführer des ZVEI-Fachverbands Elektromedizinische Technik, am Dienstag beim Medica Tech Forum die Messebesucher für die Cybersicherheit.

Anlass war die Vorstellung des gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeiteten Positionspapiers mit dem Titel "Medizintechnik braucht Cybersicherheit". Ziel der Empfehlung sei es, Anforderungen an netzwerkverbundene Medizinprodukte zu definieren und einen Beitrag zu einem insgesamt höheren Schutzniveau gegen Cyberattacken auf Gesundheitseinrichtungen zu leisten.

Denn: Die Gefährdungslage für die Gesundheitswirtschaft habe sich in Bezug auf Cyberattacken deutlich verändert: Deutsche Krankenhäuser sind in der jüngeren Vergangenheit mehrfach mit Ransomware angegriffen worden, und es gab Sicherheitslücken in lebenswichtigen Medizinprodukten.

Die Empfehlungen richten sich nicht primär an die Medizintechnikunternehmen, sondern vielmehr an IT-Experten deutscher Kliniken – auch wenn es erst wenige explizite IT-Verantwortliche in den Krankenhäusern hierzulande gibt.

Systemweite Aufgabe

Inhaltlich fordern ZVEI und BSI, Cybersicherheit als integrale Anforderung an Medizintechnik zu verstehen, sie während des gesamten Produktlebenszyklus zu beachten und sie als systemweite Aufgabe zu verstehen.

Die Hersteller werden zum Informationsaustausch und zur Wissensvermittlung ihrer Ansprechpartner in den Kliniken angehalten. "Im Rahmen der CE-Kennzeichnung wird für Medizinprodukte eine Risikoanalyse inklusive Cybersicherheits-Aspekten durchgeführt, bei der die Zweckbestimmung des Geräts und seine wahrscheinliche Verwendung in der Praxis zugrunde gelegt werden. Soweit dabei Risiken für den Betrieb erkennbar werden, die nicht durch konstruktive Maßnahmen am Gerät selber ausgeschlossen werden können, muss der Hersteller diese gegenüber dem Anwender offenlegen", heißt es in den Empfehlungen.

Die vorgestellten Empfehlungen seien alles andere als abschließend: "Wir haben uns bewusst dafür entschieden, auf der Medica zunächst einen Entwurf vorzustellen", betonte Bursig. "Er soll die Diskussion zu dem Thema anregen und Verbesserungen vorantreiben."

Kliniken, die zur kritischen Infrastruktur gehören, müssen in den nächsten zwei Jahren ein Sicherheitskonzept auf dem Stand der Technik aufbauen und vom BSI zertifizieren lassen.