BSI stellt Leitfaden zur Cybersicherheit von Medizinprodukten vor

/metamorworks, stock.adobe.com

Düsseldorf – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei der Medizinmesse Medica in Düsseldorf eine Handreichnung „Sicherheit von Medizinproduk­ten – Leitfaden zur Nutzung des MDS2 aus 2019“ (Manufacturer Disclosure Statement for Medical Device Security) veröffentlicht.

Er soll Hersteller und Betreiber von Medizinprodukten bei der Anwendung des MDS2 un­terstützen, das im Rahmen von Beschaffungsvorgängen als Grundlage für eine Risikoana­lyse dienen kann. Das MDS2 ermöglicht es den Herstellern, Angaben zu sicherheitsrele­van­ten Merkmalen und Funktionen ihrer Produkte strukturiert an den Betreiber zu über­mitteln.

Dabei lassen sich die Sicherheitseigenschaften der Produkte unterschiedlicher Hersteller detailliert abfragen und Schwachstellen und Risiken bereits im Vorfeld des Beschaffungs­prozesses vergleichen. Langfristig kann das MDS2-Formular laut BSI dazu beitragen, bei Beschaffungen die Cybersicherheit von Medizinprodukten und den Schutz sensibler Pa­tientendaten zu verbessern.

„Klassische Medizinprodukte sind immer häufiger vernetzt und tauschen ihre Daten un­ter­einander und mit anderen Geräten aus. Wie alle Innovationen bringen aber auch ver­netzte Medizinprodukte neue Risiken mit sich“, erläuterte BSI-Präsident Arne Schönbohm.

Cyberangriffe und IT-Sicherheitsvorfälle seien auch in Krankenhäusern und Arztpraxen eine Bedrohung, die man ernst nehmen müsse. Der Leitfaden könne dazu beitragen, dass Schwachstellen und Risiken von vernetzten Medizingeräten schneller identifiziert und abgestellt werden könnten.

In den USA ist der MDS2-Fragenkatalog, den die Hersteller von Medizinprodukten aus­füllen müssen, für viele Krankenhäuser bei Beschaffungsprozessen bereits verbindlich.

In Deutsch­land erstellen die Krankenhäuser derzeit eigenständig Fragenkataloge und Anfor­derungs­profile für Ausschreibungen, die sich in Umfang und Tiefe oft stark unterscheiden und damit für Hersteller und Betreiber aufwändig abzuarbeiten sind. Ein einheitlicher Fragenkatalog wie das MDS2-Formular könnte daher bei der Erfüllung anwendbarer Standards und regulatorischer Vorgaben hilfreich sein.

Der Leitfaden ist die erste Veröffentlichung des Expertenkreises „CyberMed“, einer Ar­beitsgruppe aus Vertretern von Industrie, Anwendern und Behörden, die sich explizit mit dem Thema Cybersicherheit von Medizintechnik befassen.