Sicherheits-Framework für medizinische Geräte

Personalisierte, faktengetriebene Medizin ist die Zukunft. Die Kombination persönlicher Medizindaten (z.B. aus in-vitro Diagnostik oder kontinuierlichem Monitoring) mit automatischer Wirkstofffreisetzung sichert nicht nur die Patienten-Compliance und eliminiert Unter-/Überdosierung, sondern eröffnet durch die automatische Erfassung detaillierter medizinischer Daten auch neue Wege in der Pharmaforschung.

Wir gehen also einer strahlenden Zukunft entgegen, wenn da nicht ein paar Wolken am Horizont wären: Vernetze Medizingeräte sind nicht nur eine Gefahr für den Schutz medizinischer Daten, sondern können auch Leib und Leben der Patienten gefährden. Doch nicht nur die Patienten, sondern auch Gerätehersteller und Pharmazeutische Unternehmen sind durch unsachgemäße Vernetzung in Gefahr, z.B. wenn manipulierte medizinische Daten die Weiterentwicklung von Medikamenten behindern.

Patienten-Safety ist des Medizingeräteherstellers tägliches Brot. Security und insbesondere Cyber-Security war bislang in der Branche kein Thema, wie man an haarsträubenden Sicherheitsmängeln in Produkten namhafter Hersteller sehen kann. Ungesicherte Funkverbindungen, leicht zu erratende Passwörter oder völlig unkontrollierter Datenaustausch über fremde Smartphone APIs sind nur einige der
Schwachstellen, die im freien Feld beobachtet werden können. Jedes der oben genannten Beispiele kann das Leben Ihrer Kunden gefährden. Obwohl ungesicherte Funkschnittstellen nur aus der Nähe ausgenützt werden können, sorgt die steigende Verbreitung dafür, dass an geeigneten Orten wie Bahnhöfen zur Stoßzeit dutzende Personen betroffen sein können.

Gelingt es einem Angreifer, ein Medizinprodukt dazu zu bringen, beliebigen Input über das Netz zu akzeptieren, steigt die Zahl der potentiellen Opfer auf Tausende. Natürlich würden nur Psychopathen tausende unschuldige Menschen attackieren, aber gewöhnliche Kriminelle hätten keine Skrupel, eben diese Menschen in Geiselhaft gegen Lösegeld zu nehmen. Zu weit hergeholt, meinen Sie? In 2017 stand die Britische NHS still, weil ein Computervirus große Teile ihrer IT lahmlegte. Spitäler waren im Notbetrieb gezwungen auf moderne Geräte wie MRT oder Ultraschall zu verzichten.

Der Angriff galt nicht der NHS, sie wurde ein zufälliges Opfer einer weitgestreuten und zum Glück wenig professionellen Ransomware-Attacke. Stellen Sie sich vor wie viel schlimmer ein gezielter Angriff von Experten ausgefallen wäre. In der Folgezeit wurde der NHS Mitschuld an den Auswirkungen des Angriffs gegeben: Sie hätten es verabsäumt, auch nur die primitivsten Sichßerheitsmaßnahmen zu ergreifen. War NHS nachlässig? Na, ohne Zweifel. Mehr als andere? Nein, kaum. Sind Sie besser? Vielleicht, vielleicht auch nicht. Würden Ihre vernetzten Produkte einem gezielten Angriff standhalten? Gehen Sie in sich!

Sind vernetzte Medizingeräte also doch nicht die Zukunft? Schon, aber sie erfordern stringente Safety- und Security-Maßnahmen, wie wir in unserem Vortrag präsentieren.

Was sind die Basis Anforderungen an ein Sicherheits-Framework für ein medizinisches Gerät? Beginnen wir mit einer überraschenden Erkenntnis: Sie sind viel zu nett! Sie wollen Menschen gesund machen. Sie wollen, dass Ihre Kunden ihr Leben ohne Beeinträchtigung leben können. Sie würden Ihre Kunden niemals wissentlich gefährden. Um Cyberkriminelle abwehren zu können, müssen Sie allerdings wie ein Verbrecher denken können. Es mangelt Ihnen aber dafür an inhärenter Boshaftigkeit.

Das wichtigste an einem Sicherheits-Framework für medizinische Geräte ist also, dass es alle sicherheitsrelevanten Aspekte wie Datenspeicherung und Datentausch abkapselt. Wer medizinische Algorithmen entwickelt, sollte niemals darüber nachdenken müssen, wie die benötigten Daten sicher herein und wieder hinaus kommen. Es handelt sich um zwei vollständig getrennte Arten von Spezialisierung. Sicherheit sollte explizit gegeben sein.

Sicheres Design von Medizingeräten ruht auf drei Säulen:

  • Rückführbarkeit (Traceability)
  • Sichere Architektur
  • Sichere Entwicklung

Rückführbarkeit

Rückführbarkeit, oder genauer gesagt, ihr eklatanter Mangel ist die häufigste Ursache für Sicherheitsverstöße und Kompromittierung. Denn, was nicht bekannt ist, kann auch nicht gesichert werden. Rückführbarkeit ist auch eine der Kernforderungen der IEC 62304. Die Norm ist laut eigener Definition unabhängig vom gewählten Softwarevorgehensmodell, kann aber ihre Nähe im Wasserfallmodell oder inkrementellen Vorgehensmodellen nicht wirklich verbergen. Beiden Vorgehensmodellfamilien ist gemein, dass alle Anforderungen an ein System vorher bekannt sind. Das macht diese Vorgehensmodelle grundsätzlich ungeeignet für den Einsatz in der vernetzten Welt.

In der vernetzten Welt müssen Sie davon ausgehen, dass jederzeit neue Anforderungen von der Umgebung diktiert werden: Betriebssystemupdates, Vulnerabilities in Abhängigkeiten, ... usw. machen es bisweilen notwendig, Updates binnen Stunden verfügbar zu machen. Ein mehrwöchiger Abnahmeprozess ist diesen Anforderungen nicht gewachsen.

Was bedeutet Rückführbarkeit in der Praxis? In der Softwareentwicklung bedeutet es, dass sie jede einzelne Codezeile nicht nur zum Entwickler, der sie geschrieben hat, sondern bis zu der Anforderung, die sie bedingt hat, zurückverfolgen können. Auf Geräteebene bedeutet es, dass für jedes Gerät Hardware (inkl. größerer Baugruppen) and Firmware Version genau bekannt sind. Auf Testebene bedeutet es, dass für jede Anforderung Akzeptanztests verfügbar sind und automatisiert ausgeführt werden, und für jede im Feld befindliche Hardwareversion entweder ein physikalisches oder simuliertes Testgerät für automatisierte Tests zur Verfügung steht.

Zusammenfassend benötigen Sie zum Erlangen von Rückführbarkeit

  • Datenbankbasiertes Anforderungsmanagement
  • Eine Form von Test Driven Design in einem evolutionären/agilen Vorgehensmodell
  • Continuous Integration und Continuous Deployment
  • Asset Management (Anlagenverwaltung)

Moderne Entwicklungswerkzeuge können alle diese Aspekte abdecken.

Sichere Architektur

Sicherheit im Sinne von (Cyber-) Security war in der Vergangenheit kein Thema für Medizingerätehersteller. In der vernetzten Welt ist sie von ultimativer Bedeutung. Sichere Architektur besteht aus

  • - Hardwarebasierten Sicherheitselementen
  • End-2-End verschlüsselte Software-Geräte Kommunikation
  • Rechenzentrums / Cloud Sicherheit

Bis vor kurzem haben medizinische Geräte selbst für ihre Hardwarebasierte Sicherheit gesorgt. Gerätemanipulation bedurfte des physikalischen Zugriffs auf das Gerät. Seit Smartphones allgegenwärtig sind, ist ein Benutzerinterface aus Miniaturknöpfen und winzigen LCD Displays nicht mehr state-of-the-art. Was spricht also dagegen, das Smartphone des Kunden zur Fernsteuerung für das Medizingerät zu nutzen? Ein Smartphone ist schließlich ein persönliches Gerät? Das sollte doch sicher sein?

Nein! Einem Smartphone die Kontrolle über ein medizinisches Gerät zu überlassen, ist ungefähr so sicher wie einen Löwen als Ziegenhirten zu beschäftigen, nur nicht so offensichtlich. In unserem Vortrag erklären wir, wo im Smartphone als Geräte-Controller Szenario die Gefahren (ja, es sind mehrere) stecken, und wie man medizinische Geräte mit Hilfe von "secure elements" (Sicherheits-Chips, Crypto-Chips) und PKI (Public key Infrastructure) nachhaltig vor Angriffen und Datenmanipulation schützt.

Wir zeigen auch, warum im Fall von medizinischen Geräten die Benutzerfreundlichkeit durch verbesserte Sicherheit steigt, und welche anderen Vorteile hardwarebasierte Sicherheit im Medizingerätebereich bringt.

Sichere Entwicklung

Sichere Entwicklung ist der dritte Pfeiler der sicheren Medizingeräteentwicklung. Dieser Pfeiler inkludiert Best Practises wie testgetriebene Entwicklung, DevOps, Guidelines und Checklisten, um Software in einer nachhaltigen und rückführbaren Art und Weise zu entwickeln. Wir werden auf gängige und auch nicht so gängige Ansätze eingehen und zeigen, wie ein gehärtetes Sicherheitsframework die Entwicklungszeit reduziert und die Sicherheit maximiert.

Was lernen die Zuhörer in dem Vortrag?

Gefahrenpotentiale im Smartphoneeinsatz erkennen und durch verbessere Sicherheitsarchitektur vermeiden.

Larissa Naber
Larissa Naber

Nach Abschluß des Doktoratsstudiums der technischen Wissenschaften, wandte sich Larissa Naber dem Prozess- & Anforderungsmanagement sowie...


Mathias Eng
Mathias Eng

Mathias Eng, Gründer und CEO von QUAREGIA GmbH (quaregia.com), hat nach seinem Bachelor in Civil and Structural Engineering einen Master in...

45 Minuten Vortrag

Einsteiger
Zeit

14:40-15:25
23. Oktober


Raum

Raum "Paris"


Schwerpunkt

Safety & Security


Zielpublikum

Entscheider/Management und (Firmware) Entwickler mit geringer Erfahrung in vernetzten Anwendungen


ID

Mi2.3

Zurück

Copyright © 2019 HLMC Events GmbH