In regelmäßigen Abständen gibt die amerikanische „Food and Drug Administration“ (FDA) Sicherheitshinweise im Zusammenhang mit der sogenannten Cybersecurity heraus, um auf Sicherheitslücken im Umgang mit Medizinprodukten und auch Diabetes-Technologie aufmerksam zu machen.
Im Endeffekt ermöglichen solche Sicherheitslücken die Manipulation von medizinischen Geräten, um z.B. die Kommunikation zu unterbinden oder deren korrekte Funktion zum Stillstand zu bringen oder Sicherheitsvorrichtungen zu umgehen. Analytiker haben nun herausgefunden, dass es solche Schwachstellen auch bei der weithin verwendeten drahtlosen Kommunikationstechnologie „Bluetooth Low Energy“ (BLE) gibt. BLE ermöglicht es zwei Geräten Informationen auszutauschen, bestimmte Funktionen auszuführen und dabei gleichzeitig weniger Energie zu verbrauchen als die konventionelle Bluetooth-Technik. Dies ist wichtig, damit die medizinischen Geräte nicht zu groß ausfallen und trotzdem eine ausreichende Batterielebensdauer aufweisen.
Nach Aussagen der FDA sind ihr bisher keine bestätigten unerwünschten Ereignisse im Zusammenhang mit diesen Schwachstellen bekannt geworden, davon betroffen sind aber wohl mehrere Chip-Hersteller, darunter einige große Hersteller solche Zubehörteile, die weithin verbaut werden. Zu den betroffenen Geräten gehören neben Herzschrittmachern auch Blutzuckermesssysteme und Insulinpumpen. Die FDA rät den Herstellern, dass diese die Schwachstellen bewerten sollen und die Geräte auf ungewöhnliches Verhalten überwachen. Dabei können die Schwachstellen wohl auch durch Software-Patches kompensiert werden, d.h. es müssen keine neuen Chips verbaut werden. Trotzdem kann es sein, dass die Sicherheit oder Nutzbarkeit des Geräts so beeinträchtigt ist, dass eine Überprüfung vor der Markteinführung erforderlich ist. Firmen wie Medtronic haben schon mit eigenen Verlautbarungen zu diesem Thema reagiert, bei anderen haben entsprechende Überprüfungen wohl keine spezifischen Probleme bei ihren Produkten ergeben (z.B. bei Abbott, Insulet und Dexcom).
Die FDA widmet dem Thema Cybersicherheit viel Aufmerksamkeit, so gibt es detaillierte Kommentare und Hinweise dazu auf ihrer Homepage, dabei liegt der Fokus auf risikoreicheren Medizinprodukten. Hierbei scheint es auch Bedarf für eine stärkere internationale Harmonisierung zu geben. Dabei will die FDA wohl auch vermeiden, dass zu häufig solche Warnungen kommen und dadurch die Aufmerksamkeit dafür abnimmt.
In den USA arbeitet die FDA im Bereich Diabetes-Technologie eng mit der Diabetes Technology Society zusammen, der entsprechenden US-Fachgesellschaft. Dies hat zu einer Reihe von Publikationen und Aktivitäten dazu geführt, die alle unter der Federführung von David Klonoff erfolgen.
Selbst wenn die „Scharfschaltung“ der neuen Medical Device Regulation (MDR) in der EU wegen der Corona-Krise nun um ein Jahr verschoben wurde, so werden die Hersteller die darin enthaltenen verschärften Anforderungen an die Cybersicherheit von Medizinprodukten ernst nehmen. Unter anderem werden neue grundlegende Sicherheitsanforderungen für alle medizinische Geräte festgelegt, die elektronische programmierbare Systeme und Software enthalten, die selbst medizinische Geräte sind. Von den Herstellern wird verlangt, dass sie ihre Produkte nach dem Stand der Technik entwickeln und herstellen, wobei sie die Grundsätze des Risikomanagements, einschließlich der Informationssicherheit, berücksichtigen, sowie Mindestanforderungen an IT-Sicherheitsmaßnahmen, einschließlich des Schutzes vor unbefugtem Zugriff, festlegen.
DiaTec weekly – Mai 15, 20