Article
Card image cap for article

Sichere Medizinprodukte – von Anfang bis Ende

Cybersecurity

5/5/2025

Untertitel

Vernetzte Medizintechnik wie ein drahtlos nachjustierbarer Herzschrittmacher birgt Cyberrisiken. Regelmäßige Bedrohungsanalysen und Software-Updates bei vernetzten Medizinprodukten sind entscheidend, um die Informations- und Patientensicherheit zu erhalten. Hersteller sind hier in der Pflicht.

Einleitung

Ein drahtlos nachjustierbarer Herzschrittmacher oder eine cloudbasierte Infusionspumpe – solche Szenarien sind längst Klinikalltag. Doch die dafür nötigen Schnittstellen eröffnen neue Angriffsflächen: für Cyberkriminelle ebenso wie für technikaffine Anwender, die unbeabsichtigt Schaden anrichten könnten. Jede Software- oder Datenbankaktualisierung, jede App-Synchronisation kann potenziell zur Bedrohung werden.

Dem sollte bereits in der Entwicklung mit sicherer Softwarearchitektur und codeseitiger Umsetzung nach dem Stand der Technik begegnet werden. Die Verordnung (EU) 2017/745 über Medizinprodukte (Medical Device Regulation, kurz MDR) fordert dies implizit in Annex I, Kapitel 17.4. Nach der Markteinführung steigt durch die breitere öffentliche Zugänglichkeit das Risiko gezielter Angriffe deutlich. Daher ist eine kontinuierliche Überwachung ebenso unerlässlich wie die aktive Einbindung des Betreibers.

Regulatorische Vorgaben und Empfehlungen

Hersteller sind verpflichtet, ihre Produkte über den gesamten Lebenszyklus – von der Entwicklung bis zur Außerbetriebnahme – vor neuen Bedrohungen zu schützen. Die MDCG-Leitlinie 2019-16 „Guidance on Cybersecurity for Medical Devices“ und der Standard IEC 81001-5-1 „Health software and health IT systems safety, effectiveness and security“ setzen genau hier an. Beide verlangen einen durchgängigen, risikobasierten Sicherheitsprozess über den gesamten Produktlebenszyklus hinweg. IEC 81001-5-1 liefert konkrete Maßnahmen, beispielsweise zur Überwachung und Schwachstellenbewertung nach dem Inverkehrbringen. Der Standard ergänzt damit die Anforderungen der MDR hinsichtlich des sicheren Betriebs vernetzter Medizinprodukte.

Ziel all dieser Maßnahmen ist es, die Vertraulichkeit personenbezogener Daten, die Integrität gespeicherter oder übertragener Informationen und die Verfügbarkeit des Medizinprodukts sicherzustellen. Da Cyberrisiken auch die Patientensicherheit direkt gefährden können, ist eine kontinuierliche Überwachung unerlässlich – so wohl im Sinne der Produktsicherheit als auch zur Einhaltung regulatorischer Vorgaben.

Konkrete Aktivitäten zur Erfüllung der Vorgaben

Eine strukturierte Bedrohungsanalyse aus Angreiferperspektive, unter Berücksichtigung aller Schnittstellen und des jeweiligen Datenverkehrs, erlaubt die gezielte Identifikation realistischer Angriffsszenarien. Im Fokus stehen dabei Schutzgüter wie personenbezogene Daten oder systemkritische Konfigurationsinformationen. Um Sicherheitslücken systematisch zu erkennen, ist zunächst zu klären, welche externen Softwarekompo nenten im Gerät enthalten sind. Hier kommt die Software-Bestandsliste (Software Bill of Materials, SBOM) ins Spiel: Sie dokumentiert alle verwendeten Softwarebestandteile – von Drittanbieterbibliotheken bis hin zu Open-Source-Komponenten – inklusive ihrer Versionen.

Mit Hilfe der SBOM können Hersteller gezielt öffentliche Schwachstellendatenbanken wie die National Vulnerability Database (NVD) abgleichen. Dort veröffentlichte Schwachstellen werden in der Regel mithilfe des Common Vulnerability Scoring System (CVSS) bewertet und risikobasiert priorisiert. Dabei gilt: Nicht jede dokumentierte Schwachstelle ist auch produktrelevant. Deshalb sollte die Bewertung stets in enger Abstimmung mit der Entwicklungsabteilung erfolgen. Zusätzlich liefern Vigilanzmeldungen zu vergleichbaren Produkten Hinweise auf potenzielle Risiken.

Penetrationstests dienen der praxisnahen Überprüfung identifizierter Bedrohungsszenarien durch gezielte simulierte Angriffe unter realitätsnahen Bedingungen. Besonders geeignet sind so genannte White-Box Tests – bei denen die Tester vollständigen Zugriff auf Quellcode, Systemarchitektur und Konfiguration erhalten. So lassen sich auch tieferliegende Schwachstellen identifizieren.

Die Kombination aus theoretischer Bedrohungsanalyse und regelmäßigen Penetrationstests nach der Markteinführung ist ein wirksames Mittel, um das tatsächliche Schutzniveau eines Medizinprodukts kontinuierlich zu überprüfen. Sie liefert zudem konkrete Anhaltspunkte für notwendige Sicherheitsmaßnahmen.

Aktualisierung des Risikomanagements

Die gewonnenen Erkenntnisse aus Schwachstellenanalysen, Bedrohungsbewertungen oder Penetrationstests fließen in die Aktualisierung der Risikoanalyse ein – entsprechend den Vorgaben des zuvor festgelegten Cybersecurity-Risikoplans. Auf dieser Basis werden risikomindernde Maßnahmen abgeleitet und deren Wirksamkeit hinsichtlich der Reduktion identifizierter Risiken überprüft. Dabei ist sicherzustellen, dass die ergriffenen Schutzmaßnahmen nicht ihrerseits neue Risiken verursachen – insbesondere keine, die die Patientensicherheit beeinträchtigen könnten. Ein typisches Beispiel wäre eine eingeschränkte Verfügbarkeit des Produkts infolge eines überzogenen Schutzgrads.

Ein strukturiertes Vorgehen ermöglicht es, auf Basis der Bewertung eine risikobasierte Liste erforderlicher Korrekturmaßnahmen zu erstellen. Diese Maßnahmen werden anschließend im Rahmen eines gesteuerten Softwareaktualisierungsprozesses in das Produkt überführt.

Meldepflichten und koordinierter Informationsaustausch

Bei Cybervorfällen ist ein schnelles, strukturiertes Vorgehen entscheidend. Handelt es sich um schwerwiegende Vorkommnisse im Bereich der Informationssicherheit, sind Hersteller verpflichtet, diese unverzüglich den zuständigen Behörden zu melden – in Deutschland beispielsweise dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Um in solchen Fällen wirksam reagieren zu können, sollte bereits im Vorfeld ein klar definierter Vorfallreaktionsplan vorliegen. Dieser unterstützt dabei, Schäden einzugrenzen, Anwender zeitnah zu informieren und geeignete Korrekturmaßnahmen schnellstmöglich einzuleiten.

Ein kooperativer Umgang mit Bedrohungen und Schwachstellen ist ebenso essenziell: Der koordinierte Austausch über ein Coordinated-Vulnerability-Disclosure(CVD)-Programm fördert die vertrauensvolle Zusammenarbeit zwischen Herstellern, Anwendern und Sicherheitsforschern. Eine offene, transparente Kommunikation über identifizierte Schwachstellen ist ein zentraler Erfolgsfaktor für die kontinuierliche Verbesserung der Informationssicherheit.

Dokumentation und Berichterstattung

Sämtliche Maßnahmen im Zusammenhang mit der Cybersicherheit eines Medizinprodukts sind lückenlos zu dokumentieren. Bereits im Plan zur Überwachung nach dem Inverkehrbringen müssen die relevanten Aktivitäten zur Sicherheitsüberwachung klar definiert sein.

Zudem ist ein Sicherheitsbericht regelmäßig zu erstellen und aktuell zu halten. Dieser dokumentiert identifizierte Risiken, durchgeführte Maßnahmen sowie deren Wirksamkeit und dient als Nachweis für die Erfüllung regulatorischer Anforderungen – etwa im Rahmen von Audits oder behördlichen Inspektionen.

Fazit

Hersteller können ein hohes Maß an Produkt- und Patientensicherheit nach dem Inverkehrbringen sicherstellen, wenn sie ihre Systeme kontinuierlich überwachen, erkannte Risiken systematisch bewerten und bewährte Schutzmaßnahmen konsequent anwenden. Die Einhaltung regulatorischer Vorgaben sowie die fortlaufende Weiterentwicklung der Cybersicherheitsstrategien sind unerlässlich, um den hohen Qualitäts- und Sicherheitsanforderungen der Medizintechnik während des gesamten Produktlebenszyklus gerecht zu werden.

Go back