Bei der Frage wie neuartige medizinische Geräte vor Hackerangriffen geschützt werden können, stehen viele Firmen vor einem Rätsel. Bis dato gibt es in Deutschland bzw. in der gesamten EU keine eindeutige, verpflichtende Vorgabe, wie diese wichtigen Geräte zu schützen sind oder getestet werden müssen, um mögliche Angriffe zu vermeiden.

Man mag denken, dass in Deutschland, im Land der Bürokratie, solche Richtlinien seit langem existieren. Ein Irrtum! – So existiert zwar eine EU-Verordnung (MDR – Medical Device Regulations), welche speziell für Medizingeräte Details vorschreibt, jedoch ist der Absatz in dieser Verordnung bezüglich der Sicherheit in der IT nur sehr kurz und wenig aussagekräftig verfasst.

(Quelle: https://www.medical-device-regulation.eu)

Diese sehr vage formulierten Paragraphen lassen natürlich nahezu jeden Spielraum zu, wenn es darum geht, ein Gerät möglichst sicher gegen Hackerangriffe zu entwickeln. Durch eine mittlerweile durchgehende Globalisierung lässt sich allerdings vermuten, dass bessere Frameworks bzw. Richtlinien zwangsweise diesen europäischen Standard beeinflussen werden. Die Rede ist von dem sogenannten UL-2900 Standard, welcher in Nordamerika bereits genutzt wird. Dieser Standard ist von der örtlichen Gesundheitsbehörde offiziell anerkannt worden.

(Quelle https://www.ul.com/news/us-fda-has-officially-recognized-ul-2900-cybersecurity-standard-medical-devices)

Der Standard umfasst Sicherheitsstandards bzw. Aspekte aus verschiedenen Bereichen.

(Quelle: https://www.johner-institut.de/blog/wp-content/uploads/2018/01/UL-2900-Familie.jpg)

Der UL 2900-1 ist hier der Grundstandard mit allgemeinen Produktanforderungen

Der UL 2900-2-1 zählt zu den branchenspezifischen Standards und wendet sich an den Gesundheitsmarkt. Ein Blick auf diesen Standard offenbart einige Aspekte, die vom Hersteller beachtet werden müssen, bevor ein neues Medizingerät auf dem Markt vorgestellt wird.
So ist unter anderem die Suche nach bekannten Schwachstellen, Fuzzing von verschiedenen Interfaces und Protokollen, die Durchführung von Penetrationstests sowie die Etablierung von Patch-Management-Systemen Bestandteil dieser Norm.

(Quelle: https://www.ul.com)

Auch wenn die UL-Norm im Gegensatz zur europäischen MDR bezüglich IT-Sicherheit deutlich tiefgreifender ausgearbeitet ist, gibt es dennoch einige Kritikpunkte. Beispielsweise fordert der UL 2900-1, dass der entwickelte Source Code einer statischen Code-Analyse unterzogen werden soll. Der Standard nennt weder auf was der Code untersucht werden soll noch welche Eigenschaften zu prüfen sind. Außerdem wird in der Norm nicht näher erläutert, warum die Autoren genau diese Anforderungen verwendet haben.

Dennoch zeichnet die UL-2900 einen Ausblick, wohin sich der moderne Standard zur IT-Sicherheit von Medizingerät entwickeln könnte. Man kann davon ausgehen, dass zukünftig die meisten Hersteller von Medizinprodukten zu umfangreichen Sicherheitstests verpflichtet werden. Betrachtet man simultan den rasant wachsenden Markt von smarten Medizintechnologien wird schnell klar, welche Branche durch die erhöhte Nachfrage von solchen Produkten profitieren wird. Der IT-Security-Sektor ist heute wichtiger denn je. Eine Abflachung des Bedarfs an Spezialisten wird wohl auch in den kommenden Jahren nicht eintreffen.

Exponentielle Digitalisierung resultiert im exponentiellen Sicherheitsbedarf.