Sicherheit von Medizin­pro­dukten gemäß BfArM: IT-Sicherheit ist die zweite Säule neben der Produktsicherheit

Mit der neuen EU-MDR rücken die aus der immer stärker vernetzter Techno­logie resul­tie­renden Risiken stärker in den regula­to­ri­schen Fokus: Die IT-Sicherheit in zulas­sungs­pflich­tigen Produkten oder Anwen­dungen nimmt an Bedeutung zu – bei Entwicklung, Herstellung und im Betrieb dieser Produkte sind die sich ergebenden Risiken zu berück­sich­tigen. Auf die Hersteller von Medizin­pro­dukten kommen neue Heraus­for­de­rungen zu. Sie müssen sich darauf einstellen, dass die IT-Sicherheit der herge­stellten Produkte auch im Zulas­sungs­prozess stärker berück­sichtigt wird. Randolf Skerka hat dieses Thema in einem bei medizin & technik veröf­fent­lichten Artikel dargestellt.

Beim Zulas­sungs­prozess für Medizin­pro­dukte stand bisher die Produkt­si­cherheit im Mittel­punkt. Das ändert sich nun. Die europäische Verordnung über Medizin­pro­dukte, (EU) 2017/745 (MDR), ersetzt die Richt­linien über Medizin­pro­dukte (93/42/EWG, MDD) und aktive implan­tierbare Medizin­pro­dukte (90/385/EWG, AIMDD). Ihre Novel­lierung wurde durch die zuneh­mende Digita­li­sierung notwendig – Medizin­technik und ‑produkte funktio­nieren nicht mehr autonom, sondern innerhalb vernetzter Systeme, was sie prinzi­piell angreifbar macht. Damit sind das Risiko von Perso­nen­schäden und die IT-Sicherheit in den Fokus gerückt. Denn Medizin­pro­dukte nehmen direkten Einfluss auf den Körper des Patienten – seien es etwa Infusi­ons­pumpen oder bildge­bende Verfahren wie Röntgen oder Compu­ter­to­mo­gra­phien. Hersteller sind nun in der Pflicht, poten­zielle Risiken auszu­schalten bezie­hungs­weise zu minimieren. Hinzu kommt, dass sich das Sicher­heits­niveau eines auf den Markt gebrachten, vernetzten Medizin­pro­dukts im Laufe der Zeit verändert – etwa, wenn neue Sicher­heits­lücken entstehen. Auch dies bringt neue Anfor­de­rungen an den Zulas­sungs­prozess mit sich.

Neue Anfor­de­rungen an Diga als Medizinprodukt

Für die Hersteller ist der notwendige Perspek­tiv­wechsel hin zu Cyber­si­cherheit eine Heraus­for­de­rungen: Denn bisher lag ihr Fokus darauf gewünschte Funktionen sicher­zu­stellen. Dabei ging man oft vom Best Case aus. Die IT-Sicherheit nimmt aber die gegen­teilige Perspektive ein: Die Verhin­derung unerwünschter Funktionen und damit die Frage­stellung, wie Techno­logie manipu­liert werden kann. Hinzu kommt, dass zu Medizin­pro­dukten nun auch digitale Gesund­heits­an­wen­dungen (Diga), beispiels­weise Apps auf Rezept, gehören. Auch diese wirken sich indirekt auf die Gesundheit der Nutzer aus – sei es bei Erinne­rungs­funk­tionen zur Einnahme von Medika­menten oder beim Vorhalten von Blutdruck­an­gaben. Der Nutzer verlässt sich auf die Korrektheit der Infor­ma­tionen – und der Hersteller muss diese gewähr­leisten können.

Software ist damit nicht mehr nur Bestandteil eines Medizin­pro­dukts, sondern wird selbst zu einem. Die MDR deckt diese neue Realität nun ab; ihre Anfor­de­rungen sind, wie üblich, aber nicht konkret. Unter anderem ist es die Aufgabe der für die Prüfung der Produkte zustän­digen Benannten Stellen – in der Regel privat­wirt­schaft­liche Unter­nehmen wie TÜV oder Dekra – diese zu konkretisieren.

Bei Problemen ist das BfArm zuständig

Anders als bei der Zulassung von Arznei­mitteln ist das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) nicht in das Inver­kehr­bringen von Medizin­pro­dukten invol­viert. Die Voraus­setzung dafür stellt das CE-Kennzeichen dar, dessen Erteilung an gewisse Kriterien gebunden ist. Hier übernehmen wieder die benannten Stellen. Anders liegen die Zustän­dig­keiten für Produkte, die bereits am Markt sind: Für die zentrale Erfassung, Auswertung und Bewertung der bei Anwendung oder Verwendung auftre­tenden Risiken und für die Koordi­nierung der zu ergrei­fenden Maßnahmen bei Problemen von Medizin­pro­dukten ist das BfArM zuständig. In der Euromed-Datenbank werden diese zentral gesammelt und an die Betreiber weiter­geben. Ergeben sich Erkennt­nisse über Auswir­kungen auf die Patien­ten­si­cherheit bei Medizin­pro­dukten, müssen diese eskaliert und behoben werden. In der Regel werden die Produkt­ver­ant­wort­lichen bzw. Betreiber von den Herstellern informiert.

Ein IT-Sicher­heits­konzept wird notwendig

Für die Zulassung müssen Hersteller nachweisen, dass sie in der Lage sind, sichere Produkte zu entwi­ckeln – das beginnt mit Security by Design, das späteren Schwach­stellen im Betrieb vorbeugt und Secure Coding. Außerdem muss das Produkt in der späteren Anwendung für den Zulas­sungs­zeitraum sicher sein – das umfasst vor allem das Schwach­stel­len­ma­nagement. Neue Hersteller, die medizi­nische Produkte auf den Markt bringen wollen, müssen an die Hand genommen werden, um den Zulas­sungs­prozess und seine Rahmen­be­din­gungen zu verstehen; etablierte benötigen fachliche bezie­hungs­weise inhaltlich Unter­stützung für den Bereich der IT-Sicherheit und den Aufbau neuer Prozesse.

Ein Partner wie die SRC GmbH kann im Sicher­heits­prozess, bei der Erstellung und dem Ausbau des IT-Sicher­heits­kon­zepts unter­stützen: Dieses muss gemäß dem Questi­on­naire IT Security for Medical Devices der IG-NB erstellt werden. Zunächst erfolgt dabei die Schutz­be­darfs­fest­stellung. Dem schließen sich eine Bedro­hungs­analyse und eine Risiko­analyse mit geeig­neten Maßnahmen zur Vermeidung von Gefähr­dungen für Patienten, Anwender und Dritte an. Schwach­stellen und ihr Schad­po­tenzial werden bewertet. Außerdem muss das Sicher­heits­konzept dauerhaft in einer konti­nu­ier­lichen Ausein­an­der­setzung oder ereig­nis­ba­siert aktua­li­siert werden, um den gesamten Lebens­zyklus eines Produkts abzudecken. In den isolierten Systemen früherer Zeit war die IT nach der Markt­ein­führung dagegen keinen Änderungen mehr unterworfen.

Der formale Zulas­sungs­prozess ist das Kernge­schäft des Bonner Unter­nehmens. Man kennt hier zum einen die Probleme der Hersteller, versteht aber auch die Denkweise der prüfenden, bezie­hungs­weise der benannten Stelle, und kann als Vermittler auftreten. Die Priorität der Hersteller liegt meist auf einer Verkürzung der Zulas­sungszeit auf ein Minimum und damit auf einer schnellen Time to Market. Das gelingt mit einem Partner schneller. SRC weiß, was die einzu­rei­chenden Dokumente beinhalten müssen, kann ihre Eignung prüfen, darüber die notwendige Qualität und den Reifegrad sicher­stellen und Rückfragen vermeiden.

IT-Sicherheit fürs Medizinprodukt

Das Gesund­heits­wesen ist ein komplexes System zur Kranken­ver­sorgung und Gesund­erhaltung. Es ist geprägt von einem überdurch­schnittlich hohen Bedarf an Infor­mation, Dokumen­tation und Kommu­ni­kation. Gleich­zeitig besteht ein außer­or­dentlich ausge­prägter Anspruch an die Integrität und Vertrau­lichkeit der Daten, so wie die Verfüg­barkeit medizi­ni­scher Versorgungsprozesse.

Mit der Neufassung der MDR rückt bei der Zulassung von Medizin­pro­dukten die IT-Sicherheit in den Fokus. Hersteller müssen diese während der Entwicklung und später dauerhaft beim Einsatz im Feld sicher­stellen können und damit die Patien­ten­si­cherheit gewähr­leisten. Notwendig wird dafür ein IT-Sicher­heits­konzept mit Bestand­teilen wie Risiko- und Schwach­stel­len­ma­nagement – eine Dauer­aufgabe, da neue Risiken konti­nu­ierlich bewertet werden müssen. Für Hersteller ist das mit dem Aufbau neuer Kompe­tenzen verbunden – hier kann ein externer Partner unterstützen.

Die SRC Security Research & Consulting GmbH aus Bonn bündelt aktuelles Know-how der Infor­ma­ti­ons­tech­no­logie und ihrer Sicherheit. Entstanden aus der Kredit­wirt­schaft stellt die IT-Sicher­heits­experte SRC ein zentrales Binde­glied zwischen Forschung und Produkten bezie­hungs­weise Dienst­leis­tungen dar.

Dieser Artikel ist bei Medizin und Technik am 21. Februar erschienen.