Die Symbiosen von digital und analog, Function und Safety überzeugten an der Swiss MedTech Expo in Luzern. Unsere IoT-Security-Experten tauschten sich mit Entwicklern, Ingenieuren und Produktmanagern aus. Und stellen fest: Die Vernetzung von Produkten und das Sicherstellen der Datenhoheit auf dem Gerät stellt eine Herausforderung dar. Im Expertenvortrag zeigte die CyOne Security die hohe Komplexität vernetzter Medizinprodukte auf und was dies für die Cyber Security bedeutet. Mehr dazu in diesem Blog.

Die aktive Einbindung von Diagnosegeräten ins Patientendossier, Medizingeräte für die Langzeitüberwachung des Patienten zu Hause, Herzschrittmacher und aktive Implantate per App kontrollieren – auch in der Medizintechnik ist ein starker Trend zur Vernetzung von Medizinprodukten erkennbar, und der Aufbau von ganzen IoT-Ökosystemen ist am Entstehen. Wie in anderen Branchen, die sich der fortschreitenden digitalen Vernetzung stellen, gibt es aber auch in der Medizintechnik immer wieder Meldungen über kritische Sicherheitsvorfälle mit lebensbedrohlichen Auswirkungen.

Zurückzuführen ist dies darauf, dass bei der Entwicklung von Medizinprodukten Funktionalität und Safety weiterhin im Fokus stehen, die Cyber Security bei vielen Herstellern indes noch immer recht stiefmütterlich behandelt wird, da bisher die Onlinevernetzung nicht Ausgangslage und somit eine Bedrohung war. Die Fachkompetenz in Cyber Security und IoT Security für eine nachhaltige Security im gesamten Product Life Cycle und eine gefahrenlose Integration in das IT-Umfeld Spital fehlt. Bestehende IT- und Industrie-Standards berücksichtigen oft zu wenig die Regulatoren und spezifischen Anforderungen einer MedTech-Komponente und liefern zu wenig konkrete Guidelines.

Herausforderungen im Medizinprodukt-Life-Cycle

Vernetzte Medizinprodukte werden während ihres gesamten Produktlebenszyklus, aber auch während ihrer Integration in die Unternehmensnetzwerke (IT-Netzwerke des Labors und des Spitals) und deren Veränderungen mit drei verschiedenen Herausforderungen konfrontiert – Veränderungen, Widerstand und Schutz. Medizinprodukte müssen sich deshalb

  1. den Unternehmensnetzwerken, die sich laufend ändern, kontinuierlich anpassen lassen sodass eine effiziente und sichere Integration möglich ist;
  2. innerhalb eines operativen und regulatorisch geprägten Prozessumfeldes behaupten und an neue Regulatorien adaptieren können;
  3. gegen die sich dauernd weiterentwickelnden Cyber-Gefahren anpassen und schützen lassen, sodass das Gerät auch noch in 5 Jahren den aktuellen Cyber-Bedrohungen standhält.

Hohe Komplexität der vernetzten Medizinprodukte

IoT-Oekosystem

Auch in der Medizintechnik entstehen ganze IoT-Ökosysteme, in denen das Medizinprodukt als Datenlieferant eine zentrale Rolle spielt. Dabei gehören die Daten verschiedenen Anspruchsgruppen. Werden die Daten zum Zeitpunkt ihrer Entstehung auf dem Gerät mittels Sicherheitsarchitektur separiert, z.B. Herstellerdaten, Patientendaten und Betreiberdaten, vereinfacht sich der Umgang mit den Daten sowie die Integration des MedTech-Geräts in das Umfeld.

Um als Hersteller nachhaltigen Mehrwert zu schaffen, darf nicht nur auf die Vernetzung und das Sammeln der Daten einzelner Produktlösungen fokussiert werden, sondern Digitalisierung entsteht erst, wenn die Daten zu einem Wettbewerbsvorteil dank innovativem Kundenerlebnis oder zur Effizienzsteigerung der Prozesse führen oder als Basis für neue Geschäftsmodelle dienen können. Durch das Zusammenspiel aller Komponenten entsteht ein IoT-Ökosystem, in welchem die Sicherheit ein integraler Bestandteil sein muss. Die Sicherheit darf nicht nur auf die einzelnen Geräte beschränkt, sondern muss systemübergreifend betrachtet werden. Die drei Schlüsselelemente für Hersteller und Entwicklungen lauten somit:

  1. Ein integrativer Ansatz sichert den Erfolg, da Kosten und Nutzen ins optimale Verhältnis gebracht werden können
  2. Ganzheitliche IoT Security / Cyber Security in Produkten schafft die Grundlage für einen Wettbewerbsvorteil
  3. Security by Design minimiert Risiken und Kosten bei Hersteller und Betreiber

360º-Sicherheit: CyOne Security ist Ihr MedTech-Sicherheits-Experte

Dementsprechend sind sowohl Hersteller als auch Betreiber gefordert, vorausschauend zu agieren: Werden optimale Sicherheitsarchitekturen bei der Produktentwicklung sowie -implementierung von Projektbeginn an grundlegend berücksichtigt, können eine erfolgreiche Integration und ein sicherer Betrieb während des gesamten Life Cycle des Gerätes gewährleistet werden. Das Risiko für Reputations- und Kundenverluste durch Manipulation, Verfälschung, Erpressungen und Infizierung der Umgebung kann minimiert werden.

CyOne Security unterstützt Sie dabei, Ihre vernetzten Medizinprodukte und -Systeme in der Analyse-, Design- und Integrations-Phase vor Cyber-Attacken zu schützen. Und zwar durch die folgenden Sicherheitsdienstleistungen:

  • Pentesting existierender MedTech-Devices
  • Unterstützung bei der Auswahl von Lieferanten und Produkten aus Sicht einer sicheren Integration in ein MedTech-Umfeld
  • Überprüfen und analysieren von Sicherheitsarchitekturen des Geräts oder der Integrationsumgebung
  • Design der optimalen Sicherheitsarchitektur und Update-Fähigkeiten eines Geräts
  • Design und Implementation kryptologischer Funktionen (z.B. Signieren von Updates, sicherer Update Service, sicheres Audit und Log etc.)
  • Datenseparation von klassifizierten medizinischen Daten und geräterelevanten Systemdaten (vgl. Patientendaten und Herstellerdaten)
  • Design der passenden IT-Sicherheitsarchitektur für die effiziente Integration von vernetzten MedTech-Devices
  • Servicebetreiber – sowohl für Betreiber als auch für Hersteller – einer sicheren Update-Plattform

Die verwendeten Sicherheitskonzepte und -lösungen basieren auf langjährigem, tiefem Expertenwissen und berücksichtigen die 360º-Sicherheitskompetenz von Product Security, System Security und Operational Security.

Laden Sie sich jetzt das Referat «IoT Security – der Erfolgsfaktor für vernetzte MedTech» herunter und erfahren Sie, wo die Schlüsselelemente für sicher vernetzte MedTech-Devices für Hersteller und Betreiber liegen.

Referat herunterladen