Mit dem Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) sind seit Anfang Oktober 2020 auch digitale Gesundheitsanwendungen erstattungsfähig. Damit Kassen die Kosten für eine solche „App auf Krankenschein“ übernehmen, muss sie im Verzeichnis der digitalen Gesundheitsanwendungen (Diga) des Bundesinstituts für Arzneimittel und Medizinprodukte (Bfarm) gelistet sein. Zum Redaktionsschluss Ende Januar waren dies insgesamt zehn Anwendungen. Voraussetzungen für die Listung im Diga-Verzeichnis sind, dass der Hersteller die positiven Versorgungseffekte der Anwendung nachweisen kann und zudem die Anforderungen an Sicherheit, Funktionstauglichkeit, Qualität, Datenschutz und Datensicherheit erfüllt.
Letzteres ist offenbar kein leichtes Unterfangen, denn schon wenige Tage nach dem Diga-Start war eine der damals zwei gelisteten Diga von zwei IT-Sicherheitsexperten gehackt worden: Die App Velibar, die sich an Patienten mit Angst- und Panikstörungen richtet, wies eine Reihe von Sicherheitsmängeln auf. Unter anderem konnten sich die beiden IT-Sicherheitsexperten mit einfachen Mitteln Zugriff auf Konten von Nutzern verschaffen. Das Bfarm, das die Anwendungen im Auftrag des Gesundheitsministeriums in punkto Datenschutz und Datensicherheit prüft, reagierte schnell, und der Fehler wurde durch den Hersteller beseitigt.
Für die Reputation von Medizintechnik-Herstellern sind solche Cybercrime-Vorfälle ein Horrorszenario. Aber was sollte man tun? „Es gibt im Moment noch keine gesamthafte Norm in diesem Bereich für die Branche“, stellte Hans Wenner, Inhaber des Ingenieurbüros Wenner in Rüsselsheim, im September 2020 während der Online-Fachveranstaltung „Cybersecurity bei Medizinprodukten“ des VDE-Bereichs Medizinprodukte und Software (Meso) klar. „Deshalb ziehen Auditoren Benannter Stellen verschiedene, bereits vorhandene Papiere als Stand der Technik heran und prüfen die Hersteller danach.“
BSI TR-03161 ist verpflichtend für Apps auf Krankenschein
Dazu gehört die im April 2020 veröffentlichte Technische Richtlinie BSI TR-03161 „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“. Sie ist in deutscher Sprache verfasst und muss von allen Herstellern angewendet werden, die eine Diga für mobile Endgeräte in Verkehr bringen wollen. Das Bfarm nutzt die BSI TR-03161 als Grundlage für seine Diga-Prüfungen, und auch die Corona-Warn-App des Bundes erfüllt nach Aussage des BSI die Anforderungen der Technischen Richtlinie. Doch auch über den Fokus Diga hinaus kann die Richtlinie laut Wenner sehr gute Dienste leisten. Zudem habe sie das Zeug dazu hat, in Zukunft Basis für eine Norm zu sein, denn mit dem BSI steht immerhin die Cyber-Sicherheitsbehörde des Bundes dahinter.
BSI TR-03161 befindet sich im „Trial in Use“, also in der Erprobung im Einsatz. Das heißt laut Wenner, dass Erfahrungswerte bezüglich der Prüfung gesammelt werden und dass es zu Änderungen kommen kann. „Außerdem sollen später Kapitel ergänzt werden, die eine Zertifizierung nach der Richtlinie ermöglichen“, so der Berater.
Die prinzipielle Methodik des BSI-Dokuments umfasst eine Security Problem Definition, die mögliche Bedrohungsszenarien aufzeigt. Dabei werden acht konkrete Beispiele genannt – etwa zum Thema Authentifizierung. Es werden organisatorische Sicherheitspolitiken aufgeführt, beispielsweise dass die Anwendung sensible Daten nicht im Klartext an externe Frameworks oder Bibliotheken weitergeben soll. Wenner: „Das ist eine sehr gute Anforderung, die nicht überall umgesetzt wird. So werden zum Beispiel immer wieder Cloud-Speicher für Backups mit sensiblen Daten, die nicht verschlüsselt sind, genutzt.“ Das BSI-Papier macht dabei auch konkrete Angaben zum Cloud-Anbieter: Dieser darf die Daten nicht dort vorhalten, wo sie nicht unter deutsches Datenschutzrecht wie etwa die Datenschutzgrundverordnung fallen. Daraus werden elf Prüfaspekte abgeleitet, die vor Bedrohungen schützen sollen: Sie sind in die vier Kategorien „Muss“, „Darf nicht“, „Soll“ und „Kann“ unterteilt.
„Der große Vorteil der BSI TR-03161 ist, dass sie im Vergleich zu vielen Richtlinien und Normen äußerst konkret ist – etwa beim Aufzeigen potenzieller Bedrohungsszenarien“, sagt Wenner. „Als Nachteil wiederum sehe ich, dass die Richtlinie sehr umfangreich und detailliert ist. Kunden sind zum Teil erschrocken, wie umfangreich und genau diese Anforderungen an manchen Stellen sind. Auch sind einzelne Anforderungen im Kontext beziehungsweise in Kombination manchmal sehr schwer umzusetzen.“ So hält er beispielsweise das Konzept der Zwei-Faktor-Authentifizierung in Verbindung mit der Anforderung, dass eine erneute Authentifizierung gefordert werden muss, sobald die Software in den Hintergrundmodus versetzt wird, für schwer umsetzbar. Die Gebrauchstauglichkeit leide darunter. „Die Umsetzung aller Prüfaspekte der BSI TR-03161 stellt Hersteller vor große Herausforderungen, das könnte eine Hürde für das Erstellen und die Bewertung einer Diga darstellen“, lautet sein Fazit. Er empfiehlt daher: „Schauen Sie das BSI-Dokument an, es enthält viele wirklich interessante Aspekte. Aber seien Sie froh, dass Sie manche nur umsetzen müssen, wenn Sie eine Diga entwickeln.“
Guidance on Cybersecurity for
medical Devices als Anhaltspunkt
Als zweites aktuelles Dokument stellte Wenner die MDCG 2019-16 „Guidance on Cybersecurity for medical Devices“ vom Dezember 2019 vor. Sie hat für die Entwicklung von Software als Medizinprodukt ebenfalls keinen verbindlichen Charakter. Doch steht dahinter mit der MDCG, welche die Europäische Kommission berät und bei der Umsetzung der Medical Device Regulation (MDR) unterstützt, ebenfalls ein Schwergewicht, sodass Auditoren Benannter Stellen sich gerne darauf stützen.
Wesentlich Neues bringt das MDCG-Papier nicht für diejenigen, die sich mit dem Thema Cybersecurity bereits befasst hat. Im Gegenteil: „Es nimmt Bezug auf viele schon vorhandene Dokumente“, stellt Wenner fest. So decken nach seiner Einschätzung die künftige Norm ISO/IEC 81001-5-1 „Health software and health IT systems safety, effectiveness and security – Part 5-1: Security – Activities in the product life cycle“ und technische Reports wie IEC/TR 80001-2-2 oder IEC/TR 60601-4-5 „die Inhalte der MDCG 2019-16 einigermaßen ab“.
Das Motto sollte
Security by Design sein
Für sinnvoll erachtet der Berater die Hinweise im Leitfaden, dass Safety und Security nicht voneinander zu trennen sind, sowie die Empfehlung, nach dem Prinzip „Security by Design“ zu arbeiten. Letzteres heißt, dass schon während des Entwicklungszyklus’ Sicherheitsanforderungen an die Software einzubeziehen sind, um spätere Sicherheitslücken zu verhindern. „Und das sollte im gesamten Software-Lebenszyklus beibehalten werden“, so Wenner.
„Unternehmen, die Software als Medizinprodukt entwickeln, sehen im Dschungel von Richtlinien oft den Wald vor lauter Bäumen nicht. Man sollte im ersten Schritt für sich also festlegen, welche Richtlinie oder Norm für die zu entwickelnde Software greift. Und dann muss man im nächsten Schritt verstehen, was konkret zu tun ist“, betont Wenner.
Nach einem pragmatischen Ansatz gefragt, antwortet er: „Das Risikomanagement ist der Dreh- und Angelpunkt von allem. Über Risiken nachzudenken und diese zu dokumentieren, das ist das A und O.“ Und auch dafür gibt es ein neues druckfrisches Dokument mit der DIN EN ISO 14971:2020 (Edition 3), der Norm für das Risikomanagement für Medizinprodukte. Sie wurde im Juli 2020 veröffentlicht und schließt nun auch die Betrachtung von Risiken mit ein, die sich auf Daten- und Informationssicherheit beziehen.
Ingenieurbüro Wenner
Odenwaldstrasse 42
65428 Rüsselsheim
Tel. +496152858203
www.softwareval.com
VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V.
Stresemannallee 15
60596 Frankfurt
Tel. +496963080
www.vde.com/health
Das kommt vielleicht
Aktuell müssen digitale Gesundheitsanwendungen noch nicht zertifiziert werden. TÜV Nord weist aber darauf hin, dass im Digitalen Versorgungsgesetz (DVG) zu lesen ist, dass das Bfarm spätestens ab dem 1. Januar 2022 einen Nachweis der Erfüllung der Anforderungen an die Informationssicherheit in Form von Zertifikaten verlangen kann. Damit behält sich die Behörde vor, ab dem Jahr 2022 gegebenenfalls eine Zertifizierungspflicht einzuführen.
Webhinweis
Die BSI TR-03161 und die MDCG 2019–16 stehen zum direkten Download bereit:
MDCG 2019–16:
Der Herzschrittmacher Rivacor 7 VR-T DX von Biotronik gehört zu den Medizinprodukten, die vom BSI im Rahmen des Manimed-Projekts hinsichtlich IT-Sicherheit genauer unter die Lupe genommen wurden. In dem Fall wurden keine Schwachstellen festgestelltBild: Biotronik
Der Herzschrittmacher Rivacor 7 VR-T DX von Biotronik gehört zu den Medizinprodukten, die vom BSI im Rahmen des Manimed-Projekts hinsichtlich IT-Sicherheit genauer unter die Lupe genommen wurden. In dem Fall wurden keine Schwachstellen festgestelltBild: Biotronik
Der Herzschrittmacher Rivacor 7 VR-T DX von Biotronik gehört zu den Medizinprodukten, die vom BSI im Rahmen des Manimed-Projekts hinsichtlich IT-Sicherheit genauer unter die Lupe genommen wurden. In dem Fall wurden keine Schwachstellen festgestelltBild: Biotronik
Das BSI auf Schwachstellen-Suche
Durch die zunehmende Digitalisierung und Vernetzung im Gesundheitswesen tauchen vermehrt Schwachstellen in vernetzten Medizin-, IoT- und Altenpflegeprodukten auf. Werden solche Schwachstellen entdeckt oder sogar ausgenutzt, stellt dies für die Hersteller der Produkte oft ein großes Problem dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher die Projekte „Manimed – Manipulation von Medizinprodukten“ und „Ecare – Digitalisierung in der Pflege“ aufgesetzt, um die IT-Sicherheit ausgewählter Produkte bewerten zu können. Die Ergebnisse beider Projekte wurden Anfang Januar 2021 veröffentlicht.
Im Fokus des Projekts Ecare stehen vernetzte Medizin- und IoT-Produkte, die im Bereich der Alten- oder Krankenpflege Anwendung finden. Hierzu zählen beispielsweise Geräte zur Vitaldatenmessung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
Im Projekt Manimed wurden insgesamt zehn vernetzte Medizinprodukte aus fünf unterschiedlichen Kategorien sowie die dazugehörigen Infrastrukturkomponenten tiefgehenden IT-sicherheitstechnischen Prüfungen unterzogen. Konkret wurden untersucht: implantierbare Herzschrittmacher und implantierbare Kardioverter-Defibrillatoren, Insulinpumpen, Beatmungsgeräte, Infusions- und Spritzenpumpen sowie Patientemonitore. Neben dem aktuellen IT-Sicherheitsstand dieser Produktauswahl zeigt das Projekt mögliche Strategien auf, wie Prozesse zur Behebung und Veröffentlichung von Schwachstellen erfolgreich gehandhabt und koordiniert werden können.
Die beiden Studien ermöglichen es Herstellern von Medizinprodukten, die IT-Sicherheitseigenschaften ihrer Produkte zu verbessern. Der Ratschlag des BSI an die Hersteller: Es sei wichtig, nicht nur koordiniert vorzugehen, sondern auch etablierte Prozesse zu nutzen, wenn Schwachstellen in Medizinprodukten entdeckt werden.
Miriam Schuh, Teamleader Healthcare bei Reuschlaw, rät Herstellern, „die Ergebnisse der Studie zu nutzen, ihre eigenen Prozesse auf die entdeckten Fehlerquellen zu untersuchen und entsprechende Fehler zu vermeiden“. Es gelte dabei, die einschlägigen gesetzlichen Verpflichtungen im Bereich der Cybersicherheit sowie zum Umgang mit Schwachstellen zu beachten, um vermeidbaren Haftungsrisiken zu entgehen. Sie verweist hier vor allem auf Anhang I, Ziffer 17.2 MDR, wonach ausdrücklich eine „State-of-the-art“-Softwareentwicklung auch mit Bezug zur IT-Sicherheit gefordert wird. „Hersteller sind danach verpflichtet, die Anforderungen an Maßnahmen der Betreiber mit Bezug zur IT-Sicherheit zu definieren. Wird diese Verpflichtung verletzt, kann dies die Haftung des Herstellers im Schadensfalle begründen“, so Schuh.
Weitere konkrete Handlungsempfehlungen für die Umsetzung der mit der MDR definierten Anforderungen an die IT-Sicherheit bietet laut Schuh neben einem Leitfaden des beim BSI angesiedelten Expertenkreises Cybermed auch der Leitfaden „Guidance on Cybersecurity for medical devices“ der MDCG. Hilfreich sei auch die Empfehlung der Interessengemeinschaft der Benannten Stellen, IG-NB. Schuh: „Dort werden zentrale Fragen bei der Bewertung der IT-Sicherheit von Medizinprodukten aufgeworfen sowie Verweise auf die wesentlichen Gesetze und Normen gegeben. Ergänzende Informationen sind auch in den FDA Cybersecurity Guidances zu finden.“
Der Manimed-Abschlussbericht: http://hier.pro/zAfrJ
Der Ecare-Abschlussbericht: http://hier.pro/tTvtb
