Sicherheit von Medizinprodukten gemäß BfArM: IT-Sicherheit ist die zweite Säule neben der Produktsicherheit
Mit der neuen EU-MDR rücken die aus der immer stärker vernetzter Technologie resultierenden Risiken stärker in den regulatorischen Fokus: Die IT-Sicherheit in zulassungspflichtigen Produkten oder Anwendungen nimmt an Bedeutung zu – bei Entwicklung, Herstellung und im Betrieb dieser Produkte sind die sich ergebenden Risiken zu berücksichtigen. Auf die Hersteller von Medizinprodukten kommen neue Herausforderungen zu. Sie müssen sich darauf einstellen, dass die IT-Sicherheit der hergestellten Produkte auch im Zulassungsprozess stärker berücksichtigt wird. Randolf Skerka hat dieses Thema in einem bei medizin & technik veröffentlichten Artikel dargestellt.
Beim Zulassungsprozess für Medizinprodukte stand bisher die Produktsicherheit im Mittelpunkt. Das ändert sich nun. Die europäische Verordnung über Medizinprodukte, (EU) 2017/745 (MDR), ersetzt die Richtlinien über Medizinprodukte (93/42/EWG, MDD) und aktive implantierbare Medizinprodukte (90/385/EWG, AIMDD). Ihre Novellierung wurde durch die zunehmende Digitalisierung notwendig – Medizintechnik und ‑produkte funktionieren nicht mehr autonom, sondern innerhalb vernetzter Systeme, was sie prinzipiell angreifbar macht. Damit sind das Risiko von Personenschäden und die IT-Sicherheit in den Fokus gerückt. Denn Medizinprodukte nehmen direkten Einfluss auf den Körper des Patienten – seien es etwa Infusionspumpen oder bildgebende Verfahren wie Röntgen oder Computertomographien. Hersteller sind nun in der Pflicht, potenzielle Risiken auszuschalten beziehungsweise zu minimieren. Hinzu kommt, dass sich das Sicherheitsniveau eines auf den Markt gebrachten, vernetzten Medizinprodukts im Laufe der Zeit verändert – etwa, wenn neue Sicherheitslücken entstehen. Auch dies bringt neue Anforderungen an den Zulassungsprozess mit sich.
Neue Anforderungen an Diga als Medizinprodukt
Für die Hersteller ist der notwendige Perspektivwechsel hin zu Cybersicherheit eine Herausforderungen: Denn bisher lag ihr Fokus darauf gewünschte Funktionen sicherzustellen. Dabei ging man oft vom Best Case aus. Die IT-Sicherheit nimmt aber die gegenteilige Perspektive ein: Die Verhinderung unerwünschter Funktionen und damit die Fragestellung, wie Technologie manipuliert werden kann. Hinzu kommt, dass zu Medizinprodukten nun auch digitale Gesundheitsanwendungen (Diga), beispielsweise Apps auf Rezept, gehören. Auch diese wirken sich indirekt auf die Gesundheit der Nutzer aus – sei es bei Erinnerungsfunktionen zur Einnahme von Medikamenten oder beim Vorhalten von Blutdruckangaben. Der Nutzer verlässt sich auf die Korrektheit der Informationen – und der Hersteller muss diese gewährleisten können.
Software ist damit nicht mehr nur Bestandteil eines Medizinprodukts, sondern wird selbst zu einem. Die MDR deckt diese neue Realität nun ab; ihre Anforderungen sind, wie üblich, aber nicht konkret. Unter anderem ist es die Aufgabe der für die Prüfung der Produkte zuständigen Benannten Stellen – in der Regel privatwirtschaftliche Unternehmen wie TÜV oder Dekra – diese zu konkretisieren.
Bei Problemen ist das BfArm zuständig
Anders als bei der Zulassung von Arzneimitteln ist das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nicht in das Inverkehrbringen von Medizinprodukten involviert. Die Voraussetzung dafür stellt das CE-Kennzeichen dar, dessen Erteilung an gewisse Kriterien gebunden ist. Hier übernehmen wieder die benannten Stellen. Anders liegen die Zuständigkeiten für Produkte, die bereits am Markt sind: Für die zentrale Erfassung, Auswertung und Bewertung der bei Anwendung oder Verwendung auftretenden Risiken und für die Koordinierung der zu ergreifenden Maßnahmen bei Problemen von Medizinprodukten ist das BfArM zuständig. In der Euromed-Datenbank werden diese zentral gesammelt und an die Betreiber weitergeben. Ergeben sich Erkenntnisse über Auswirkungen auf die Patientensicherheit bei Medizinprodukten, müssen diese eskaliert und behoben werden. In der Regel werden die Produktverantwortlichen bzw. Betreiber von den Herstellern informiert.
Ein IT-Sicherheitskonzept wird notwendig
Für die Zulassung müssen Hersteller nachweisen, dass sie in der Lage sind, sichere Produkte zu entwickeln – das beginnt mit Security by Design, das späteren Schwachstellen im Betrieb vorbeugt und Secure Coding. Außerdem muss das Produkt in der späteren Anwendung für den Zulassungszeitraum sicher sein – das umfasst vor allem das Schwachstellenmanagement. Neue Hersteller, die medizinische Produkte auf den Markt bringen wollen, müssen an die Hand genommen werden, um den Zulassungsprozess und seine Rahmenbedingungen zu verstehen; etablierte benötigen fachliche beziehungsweise inhaltlich Unterstützung für den Bereich der IT-Sicherheit und den Aufbau neuer Prozesse.
Ein Partner wie die SRC GmbH kann im Sicherheitsprozess, bei der Erstellung und dem Ausbau des IT-Sicherheitskonzepts unterstützen: Dieses muss gemäß dem Questionnaire IT Security for Medical Devices der IG-NB erstellt werden. Zunächst erfolgt dabei die Schutzbedarfsfeststellung. Dem schließen sich eine Bedrohungsanalyse und eine Risikoanalyse mit geeigneten Maßnahmen zur Vermeidung von Gefährdungen für Patienten, Anwender und Dritte an. Schwachstellen und ihr Schadpotenzial werden bewertet. Außerdem muss das Sicherheitskonzept dauerhaft in einer kontinuierlichen Auseinandersetzung oder ereignisbasiert aktualisiert werden, um den gesamten Lebenszyklus eines Produkts abzudecken. In den isolierten Systemen früherer Zeit war die IT nach der Markteinführung dagegen keinen Änderungen mehr unterworfen.
Der formale Zulassungsprozess ist das Kerngeschäft des Bonner Unternehmens. Man kennt hier zum einen die Probleme der Hersteller, versteht aber auch die Denkweise der prüfenden, beziehungsweise der benannten Stelle, und kann als Vermittler auftreten. Die Priorität der Hersteller liegt meist auf einer Verkürzung der Zulassungszeit auf ein Minimum und damit auf einer schnellen Time to Market. Das gelingt mit einem Partner schneller. SRC weiß, was die einzureichenden Dokumente beinhalten müssen, kann ihre Eignung prüfen, darüber die notwendige Qualität und den Reifegrad sicherstellen und Rückfragen vermeiden.
IT-Sicherheit fürs Medizinprodukt
Das Gesundheitswesen ist ein komplexes System zur Krankenversorgung und Gesunderhaltung. Es ist geprägt von einem überdurchschnittlich hohen Bedarf an Information, Dokumentation und Kommunikation. Gleichzeitig besteht ein außerordentlich ausgeprägter Anspruch an die Integrität und Vertraulichkeit der Daten, so wie die Verfügbarkeit medizinischer Versorgungsprozesse.
Mit der Neufassung der MDR rückt bei der Zulassung von Medizinprodukten die IT-Sicherheit in den Fokus. Hersteller müssen diese während der Entwicklung und später dauerhaft beim Einsatz im Feld sicherstellen können und damit die Patientensicherheit gewährleisten. Notwendig wird dafür ein IT-Sicherheitskonzept mit Bestandteilen wie Risiko- und Schwachstellenmanagement – eine Daueraufgabe, da neue Risiken kontinuierlich bewertet werden müssen. Für Hersteller ist das mit dem Aufbau neuer Kompetenzen verbunden – hier kann ein externer Partner unterstützen.
Die SRC Security Research & Consulting GmbH aus Bonn bündelt aktuelles Know-how der Informationstechnologie und ihrer Sicherheit. Entstanden aus der Kreditwirtschaft stellt die IT-Sicherheitsexperte SRC ein zentrales Bindeglied zwischen Forschung und Produkten beziehungsweise Dienstleistungen dar.
Dieser Artikel ist bei Medizin und Technik am 21. Februar erschienen.
