Kürzlich erläuterte ein FDA-Kommissar die laufenden Bemühungen seiner Behörde um Cybersicherheit, zu denen die Unterzeichnung zweier Verträge und Gespräche zur Unterstützung der Zusammenarbeit zwischen Regierungsbehörden gehören. FDA-Kommissar Dr. Scott Gottlieb gab zusätzlich eine Erklärung ab, in der er das „Medical Device Cybersecurity Regional Incident Preparedness and Response Playbook“ enthüllte – ein Dokument, das gemeinsam mit der gemeinnützigen Mitre Corporation verfasst wurde. Es beschreibt, wie Gesundheitsversorgungsunternehmen ihre medizinischen Geräte und Mitarbeiter am besten auf eine Verletzung der Gerätesicherheit vorbereiten und schulen können. Die Agentur kündigte auch die Entwicklung eines eigenen internen Manuskripts an, das den Mitarbeitern der Agentur helfen soll, einen Reaktionsplan für cyberkriminelle Vorfälle zu entwickeln und durchzuführen.

Darüber hinaus kündigte der Kommissar zwei memoranda of understanding (MOA) an. Hierbei handelt es sich um unverbindliche, formelle Vereinbarungen zwischen der FDA und anderen Unternehmen. Mit mehreren Interessensgruppen, die sich zu Expertengruppen zusammenschließen, werden Informationen über die Sicherheit von Medizinprodukten gesammelt, analysiert und verbreitet. Diese Expertengruppen werden als „Informationsaustausch-Analyse-Organisationen“ bezeichnet. Die FDA plant Gespräche mit dem US Department of Homeland Security über ein weiteres behördenübergreifendes MOA speziell für die Cybersicherheit von Medizinprodukten, so die Aussage.Jede dieser Aktionen geht einher mit den anderen Initiativen der FDA zur Verbesserung der Sicherheit von Medizinprodukten.

Warum das Thema so wichtig ist

In den letzten Jahren gab es eine Vielzahl von Hacks und Datenschutzverletzungen, die auf Krankenhäuser abzielten. Die wachsende Zahl vernetzter Medizinprodukte erschwert es den Anbietern, mit neuen Schwachstellen Schritt zu halten.“Die FDA ist sich keiner Berichte über einen nicht autorisierten Benutzer bewusst, der eine Cybersicherheitsschwachstelle in einem Medizinprodukt ausnutzt, das von einem Patienten verwendet wird“, schrieb der Kommissar. „Aber das Risiko eines solchen Angriffs besteht weiterhin. Und wir verstehen, dass die Bedrohung durch einen solchen Angriff einen Alarm bei Patienten auslösen kann, die möglicherweise über Geräte verfügen, die mit einem Netzwerk verbunden sind. Wir möchten Patienten und Anbietern versichern, dass die FDA mit Hochdruck daran arbeitet, vorbereitet und reaktionsschnell zu sein, wenn Cyber-Schwachstellen in Medizinprodukten identifiziert werden.“ Das neu erschienene Manuskript diene nicht nur als Modell für Krankenhäuser, die einen Reaktionsplan erstellen wollten, sondern biete den Herstellern von Medizinprodukten auch mehr Möglichkeiten, das Potenzial für eine großflächige, multipatientenwirksame Wirkung zu nutzen.

Es handelt sich nicht um ein amerikanisches Phänomen

Auch wir berichteten hier auf unserem Blog immer wieder von den Erfahrungen, die wir mit den Angriffen auf Versorgungsstrukturen, Krankenhäusern und medizinische IoT-Geräten gesammelt haben. Da es sich hierbei um ein besonders wichtiges Thema handelt, sind wir am 15.11.2018 im Rahmen des Medical Health IT Forums in Düsseldorf anzutreffen. Dort leisten wir mit einem spektakulären Live-Hacking eines Herzschrittmachers, ab 13.15 Uhr unseren Beitrag zur Awareness für das sensible Thema der IT-Sicherheit in der Medizinbranche.

Zum Event