Expertenkreis CyberMed
Der Expertenkreis CyberMed (EK CyberMed) in der Allianz für Cyber-Sicherheit (ACS) ist ein Zusammenschluss von Vertretern von Industrie, Anwendern und Behörden, die sich aktiv mit dem Thema Cybersicherheit von Medizintechnik befassen bzw. dafür Verantwortung tragen. Durch einen vertrauensvollen und übergreifenden Austausch sollen gemeinsame Sichtweisen und Aussagen zwischen den Beteiligten entwickelt und kommuniziert werden. Im Rahmen dieses offenen Erfahrungsaustauschs sollen nachhaltige Maßnahmen der Prävention, Detektion und Reaktion im Falle eines Cybervorfalls diskutiert werden. Der EK CyberMed veröffentlicht Positionen, die auf Erkenntnissen zum aktuellen Stand der Technik basieren. Die Arbeiten zielen darauf ab, die Cybersicherheit von Medizintechnik und -produkten verlässlich einschätzen, konkret verbessern und dauerhaft auf hohem Niveau halten zu können.
Penetration Testing beim Einsatz von Medizinprodukten
Die angefügte, konsentierte Darstellung verschafft Herstellern, Betreibern und Anwendern eine Übersicht über die Bedeutung, Einbindung und Durchführung von Penetrationstests im Produktlebenszyklus – nachfolgend Pentest genannt. Die Bewertung der Ergebnisse unter Berücksichtigung unterschiedlicher Sichtweisen und Systemszenarien sowie der bestimmungsgemäßen Verwendung wird erläutert.
Cybersicherheit ist keine Produkteigenschaft, sondern bezieht sich immer auf den Betrieb eines Medizinproduktes in einer Betriebsumgebung und kann weder vom Hersteller noch vom Betreiber allein gewährleistet werden. Daher konzentriert sich dieses Papier auf Empfehlungen zur Kommunikation zwischen Herstellen und Betreibern.
Vernetzte Medizinprodukte stehen besonders oft im Fokus von Angriffsversuchen, was hohe Anforderungen an diese Produkte nach sich zieht. Pentests gelten als ein notwendiger, regelmäßig durchzuführender Bestandteil einer sicheren Medizinprodukte-Entwicklung und werden allgemein gefordert.
Entwicklungszyklen von Medizinprodukten und Infrastruktur sowie eine sich schnell ändernde Bedrohungslage führen dazu, dass Annahmen zur Cybersicherheit eines Medizinproduktes immer nur eine Momentaufnahme darstellen.
Dieses Dokument kann als Grundstein für die Spezifizierung und Durchführung von Pentests in vernetzten Medizinprodukten dienen.
Download: Penetration Testing beim Einsatz von Medizinprodukten
SBOM für vernetzbare Medizingeräte
Das folgende Dokument ist im Rahmen der Arbeit des Expetenkreises CyberMed entstanden und erhebt keinen normativen Anspruch. Diese Stellungnahme erläutert den Beitrag der Software Bill of Materials (SBOM) für die Informationssicherheit von vernetzten Medizingeräten.
Im Entwurf des neuen US FDA-Leitfadens zur Informationssicherheit sowie des International Medical Device Regulators Forum (IMDRF) ist vorgesehen, dass jeder Betreiber beim Bekanntwerden einer Schwachstelle („vulnerability“) geeignete Schutzmaßnahmen ergreifen sollte. Hierfür muss der Hersteller dem Betreiber eine SBOM zur Verfügung stellen, auf der alle Software-Komponenten aufgelistet sind. Zum Zeitpunkt der Veröffentlichung dieses Dokumentes, gibt der Teil 2 der Technischen Richtlinie TR-03183 „Cyberresilienz-Anforderungen“ (Version 1.0 vom 12.07.2023) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Anforderungen an eine SBOM vor. Durch die Übergabe der SBOM von allen vernetzbaren Medizingeräten an die Betreiber kann laut IMDRF WG/N73 die Informationssicherheit im Betrieb verbessert werden.
Die SBOM als produktbegleitendes Dokument zu vernetzbaren Medizingeräten kann als ein unterstützendes Element in allen Phasen des Lebenszyklus vernetzter Medizingeräte angesehen werden. Als einzelnes Dokument enthält die SBOM dabei lediglich die Bestandteile der Software und ist somit vergleichsweise statisch. Zur Etablierung effektiver Schutzmaßnahmen sollte die SBOM durch weitere produktbezogene Informationen, insbesondere der Bereitstellung von Schwachstellenmeldungen, von den Herstellern ergänzt und durch organisatorische Maßnahmen von Betreibern genutzt werden. Beispiele hierfür wären das Profil VEX oder auch standardisierte, geräte-orientierte Nachrichten gemäß dem Standard CSAF. Diese ermöglichen einen automatisierten Abgleich der SBOM mit den Schwachstellen und Mitigationsmaßnahmen.
Download: SBOM für vernetzbare Medizingeräte
Sicherheit von Medizinprodukten - Leitfaden zur Nutzung des MDS2 aus 2019
Die Publikation Sicherheit von Medizinprodukten - Leitfaden zur Nutzung des MDS2 aus 2019 ist die erste Veröffentlichung, die vom Expertenkreis CyberMed erstellt wurde. Sie ist eine Empfehlung, die sich an Hersteller und Betreiber von Medizinprodukten richtet. Das Dokument ist ein Leitfaden zur Anwendung des Manufacturer Disclosure Statement for Medical Device Security (MDS2) und soll als Hilfestellung dienen, um das MDS2 bestmöglich ausfüllen und verwenden zu können. Das MDS2 ist ein standardisiertes und maschinenlesbares Tabellendokument, das seit 2008 in den USA als Standard verpflichtend für Medizinproduktehersteller auszufüllen und an Betreiber zu übergeben ist. Es ermöglicht Herstellern die Informationen zu (cyber-) sicherheitsrelevanten Merkmalen und Funktionen ihrer Produkte in strukturierter Form an Betreiber zu übermitteln und beschreibt die Sicherheitseigenschaften des Standardprodukts, im Rahmen der vom Hersteller vorgesehenen Konfigurationsmöglichkeiten. Der Expertenkreis CyberMed empfiehlt, das MDS2 als Kommunikationsinstrument und als Grundlage für weitere Diskussion rund um den Bereich Cybersicherheit, auf freiwilliger Basis, zu nutzen.