Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der aktuellen Veröffentlichung seiner Handlungsempfehlungen für Hersteller vernetzter Medizinprodukte einen wichtigen Meilenstein zur Verbesserung der Cybersicherheit im Gesundheitswesen gesetzt. Der vorliegende Katalog [1], veröffentlicht am 14. Februar 2025, adressiert die wachsenden Herausforderungen, die mit der zunehmenden Digitalisierung und Vernetzung medizinischer Geräte einhergehen. Über die Bedeutung regulatorischer Vorgaben für vernetzte Systeme haben Dr. Wolfgang Sening (CEO) und Philip Eschenbacher (Head of Department R&D) bereits am 4. Technologietag für Angewandte Sensorik an der Hochschule Coburg referiert [2].
Neuerungen und aktualisierte Regulatorien
Die neuen Empfehlungen berücksichtigen die neuesten Entwicklungen im regulatorischen Umfeld. Neben der Anpassung an die europäische Medical Device Regulation (MDR) und die In Vitro Diagnostic Regulation (IVDR) rückt auch die Umsetzung der aktuellen Sicherheitsanforderungen in den Fokus. Damit müssen Hersteller bereits in der Entwicklungsphase ihrer Produkte auf den “Stand der Technik” setzen. Die Vorgaben fordern nicht nur den Schutz medizinischer Daten, sondern auch den Aufbau sicherer IT-Infrastrukturen, um potenzielle Angriffsvektoren – wie sie beispielsweise bei vernetzten Insulinpumpen auftreten können – effektiv zu schließen.
Ein bedeutender Baustein der neuen Handlungsempfehlungen ist die Integration von Aspekten aus internationalen Cybersecurity-Standards. Neben den bekannten Normen wie der DIN EN ISO 13485, DIN EN ISO 14971 und DIN EN 62304 werden künftig auch Standards wie die IEC 81001-5-1 stärker in den Mittelpunkt gestellt. Diese geben konkrete Anleitungen für die Einbindung von Sicherheitsmaßnahmen entlang des gesamten Produktlebenszyklus, von der Entwicklung über die Implementierung bis hin zur Wartung und letztendlichen Außerbetriebnahme.
Kerninhalte: Sicherer Produktlebenszyklus im Fokus
Das Dokument legt einen besonderen Schwerpunkt auf den “sicheren Produktlebenszyklus” (sPLZ). Dieser beinhaltet nicht nur technische Maßnahmen, sondern auch organisatorische Prozesse, die sicherstellen sollen, dass die Sicherheit der Produkte kontinuierlich überwacht und verbessert wird. Zu den zentralen Anforderungen zählen unter anderem:
- Festlegung des Geltungsbereichs: Hersteller sollen alle vernetzten Medizinprodukte und relevante Komponenten systematisch erfassen und bewerten, um kritische Elemente gezielt zu schützen.
- Klare Rollenkonzepte und Verantwortlichkeiten: Es wird verlangt, ein verbindliches Rollenkonzept zu etablieren, das Zuständigkeiten, erforderliche Kompetenzen und mögliche Interessenskonflikte transparent regelt.
- Dokumentierte Prozessketten: Vom Software-Entwicklungsprozess über das Schwachstellenmanagement bis hin zum Änderungsmanagement sind alle Abläufe detailliert zu dokumentieren. So soll gewährleistet werden, dass Änderungen oder neue Risiken frühzeitig erkannt und angemessen behandelt werden.
- Integration von Standards zur sicheren Entwicklung: Um bewährte Sicherheitspraktiken in der Softwareentwicklung zu verankern, sollen Entwickler verbindliche Dokumente nutzen, die sich an international anerkannten Leitfäden wie denen der OWASP und BSI-CS orientieren.
Ein umfassender Ansatz für Cybersicherheit im Gesundheitssektor
Die Handlungsempfehlungen sind gezielt auf Hersteller von vernetzten Medizinprodukten zugeschnitten und sollen sowohl die technische Umsetzung als auch die organisatorische Verankerung der Sicherheitsanforderungen fördern. Mit der verbindlichen Einhaltung dieser Richtlinien können Unternehmen nicht nur ihre Produkte effektiver gegen Cyberangriffe absichern, sondern auch ihre internen Prozesse optimieren. Dies ist insbesondere angesichts der steigenden Zahl und Komplexität von Angriffen im Gesundheitsbereich von zentraler Bedeutung.
Die Anpassungen und Neuerungen spiegeln die Notwendigkeit wider, Cybersicherheit als integralen Bestandteil der Produktentwicklung zu verstehen. Das BSI gibt damit Herstellern ein solides Fundament an die Hand, um die Sicherheit vernetzter Medizinprodukte auf ein neues Niveau zu heben – zum Wohl der Patienten und zur Stärkung der öffentlichen Gesundheit.
Mit diesen wegweisenden Empfehlungen setzt das BSI einen klaren Impuls in Richtung eines proaktiven und ganzheitlichen Sicherheitsmanagements, das nicht nur den technischen Fortschritt berücksichtigt, sondern auch die komplexen regulatorischen Herausforderungen im internationalen Vergleich adressiert. Dies steht im Gleichschritt mit europäischen Bestrebungen, ein allgemeines Bewusstsein für Cybersecurity breit zu streuen (vgl. hierzu das EU-Projekt NERO [3], das ein sicheres Software Ökosystem fokussiert an KMUs doch branchenübergreifend adressiert).
Weiterführend Links/Referenzen:
[1] Leitfaden BSIhttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/AnMedPro.pdf?__blob=publicationFile&v=4 [2] 4. Technologie Tag
https://senetics.de/2025/02/coburg-4-technologietag-angewandte-sensorik/ [3] Projekt NERO
https://senetics.de/one-stop-shop-dienstleistungen-medizintechnik/nero/