Software befindet sich inzwischen in einer Vielzahl an Medizinprodukten. Von Herzschrittmachern über Insulinpumpen bis zur Magnetresonanztomographie (MRT) sind immer mehr Geräte Teil eines Netzwerks und untereinander oder mit Schnittstellen vernetzt. Neben den üblichen Konformitätsanforderungen stellen sich daher auch vermehrt Fragen der IT-Sicherheit bei Medizinprodukten. Eine Fehl- oder Nichtfunktion eines Produkts kann für Patienten und Patientinnen unmittelbar lebensgefährlich werden. Ein Beispiel dafür sind die Insulinpumpen eines US-amerikanischen Herstellers, die mangels Verschlüsselung über Funk angegriffen werden und von außen zur Abgabe gefährlicher Mengen an Insulin programmiert werden konnten.[1] IT-Sicherheitslücken bei Medizinprodukten betreffen unter Umständen nicht nur das Produkt selbst, sondern auch die digitale Infrastruktur in die es eingebettet ist, beispielsweise durch Schnittstellen mit der IT von Krankenhäusern.[2]
Trotz dieser Bedrohungslage existiert kein einheitlicher Regelungsansatz zur IT-Sicherheit bei Medizinprodukten; es sind vielmehr Aspekte des Datenschutzrechts, des Medizinprodukterechts und allgemeine Vorschriften des IT-Sicherheitsrechts zu beachten, welche den rechtlichen Rahmen bilden.[3] Weiterhin ist nach der Art des Angriffs auf die IT zu differenzieren: aktive Angriffe betreffen die Funktion eines Medizinprodukts, passive Angriffe zielen auf die Daten der Nutzer ab, die verarbeitet werden, behindert die Funktion aber nicht unmittelbar.[4]
In datenschutzrechtlicher Hinsicht ist zu beachten, dass bei vernetzten Medizinprodukten personenbezogene Daten der Patienten und Patientinnen verarbeitet werden, womit der Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) eröffnet ist. Vielfach werden Gesundheitsdaten gemäß Art. 4 Nr. 15 DSGVO betroffen sein, die aufgrund ihrer Sensibilität gemäß Art. 9 DSGVO zu einer besonderen Kategorie an personenbezogenen Daten zählen, an deren Verarbeitung erhöhte Anforderungen gestellt werden.[5] Der Verantwortliche und Auftragsverarbeiter müssen gemäß Art. 32 DSGVO auch geeignete technische und organisatorische Maßnahmen treffen, um die Sicherheit der Verarbeitung zu gewährleisten, dazu zählt insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen. Diese Anforderungen richten sich weniger an den Hersteller, als an den tatsächlichen Verarbeiter der Daten.
Anforderungen an den Hersteller finden sich dagegen unter anderem in der Medizinprodukteverordnung (MPVO) oder der Verordnung über In-Vitro-Diagnostika (IVDVO). Die Verordnungen sind anwendbar, sofern ein Medizinprodukt vorliegt, also ein Produkt für den Menschen bestimmt ist und alleine oder in Kombination einen spezifischen medizinischen Zweck erfüllt (Art. 2 Nr. 1 MPVO). Die Verordnung erfasst auch Zubehör, sodass Software als Treiber eines Medizinproduktes erfasst sein kann, nicht aber beispielsweise unterstützende Textprogramme.[6] Software kann, sofern sie einen spezifischen medizinischen Zweck erfüllt, auch selbst ein Medizinprodukt sein.[7]
Medizinprodukte müssen, je nach Risikoklasse, ein sogenannten Konformitätsverfahren durchlaufen, bei dem eine Benannte Stelle involviert ist und der Hersteller bestimmte Leistungs- und Sicherheitsanforderungen nachweisen muss. Da der Anwendungsbereich der MPVO und IVDVO sich aber nicht auf digitale Medizinprodukte beschränkt, finden sich auch wenige konkrete Anforderungen an die IT-Sicherheit.[8] In Anhang I der beiden Verordnungen werden lediglich grundlegende Sicherheits- und Leistungsanforderungen festgelegt, die unter anderem ein Risikomanagement fordern, welches auch Cyberbedrohungen miteinschließt. Medizinprodukte müssen demnach dem Stand der Technik entsprechend entwickelt und hergestellt werden. Dabei sind die Grundsätze des Software-Lebenszyklus, des Risikomanagements, einschließlich der Informationssicherheit, der Verifizierung und Validierung zu berücksichtigen (Anhang I Nr. 17.2. MPVO). Medizinprodukte müssen auch nach dem Inverkehrbringen weiter überwacht werden. Hersteller haben außerdem Mindestanforderungen bezüglich der Hardware, Eigenschaften von IT-Netzen und IT-Sicherheitsmaßnahmen, einschließlich des Schutzes vor unbefugtem Zugriff festzulegen, die für den bestimmungsgemäßen Einsatz der Software erforderlich sind. Hierzu sind auch Angaben in der Gebrauchsanweisung erforderlich. Konkretisierungen ergeben sich aus den einschlägigen Normen und Standards, z.B. ISO 14972 (Risikomanagement bei Medizinprodukten) und IEC 62304 (Software-Lebenszyklus bei Medizinprodukten).
Für die genaue Umsetzung der Vorgaben gibt es eine Reihe von Guidelines, wie z.B. die Leitlinie „Guidance on Cybersecurity for medical devices“ der Medical Device Coordination Group (MDCG).[9] Ebenso hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Empfehlung zu „Cybersicherheitsanforderungen an vernetzte Medizinprodukte“ herausgegeben.[10] Eine neuere Entwicklung sind digitale Gesundheitsanwendungen (DiGAs) oder „Apps auf Rezept“ die gemäß § 139e SGB V in ein vom Bundesamt für Medizinprodukte geführtes Verzeichnis aufgenommen werden müssen.[11] Für die Aufnahme müssen bestimmte Kriterien erfüllt werden, unter anderem, dass gemäß § 139e Abs. 2 S. 2 SGB V Nr. 2 die Datensicherheit nach dem Stand der Technik die Datensicherheit gewährleistet wird; das BSI stellt dafür eine Technische Richtlinie zur Verfügung.[12]
Zur Sicherstellung der Integrität der IT-Systeme in der Gesundheitsversorgung hat der Gesetzgeber in § 2 Abs. 10 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) i.V.m. § 6 und Anhang V der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (KritisV) ab einem Jahresumsatz von 90,680,000 auch die Produktionsstätten und Abgabestellen von unmittelbar lebenserhaltenden Medizinprodukten erfasst.[13] Betreiber solcher Herstellungsstätten sind damit verpflichtet IT-Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen umzusetzen und dies dem BSI nachzuweisen.[14] Das BSI darf zudem auch gemäß § 7 a Abs. 1 BSIG zur Erfüllung seiner Aufgaben auf dem Markt bereitgestellte oder dafür vorgesehene informationstechnische Produkte und Systeme untersuchen.
Durch die Corona-Pandemie und das Inkrafttreten der MDR und IVDR im Mai 2021 bzw. Mai 2022 ist die Bedeutung digitaler Medizinprodukte noch einmal gestiegen. Das dadurch erhöhte Datenvolumen wird auch in Zukunft noch mehr zu Zielscheibe von Cyberangriffen werden. Betroffene Unternehmen sollten sich daher mit dem vielschichtigen Regelungssystem zu IT-Sicherheitsanforderungen für Medizinprodukte, sowohl auf nationaler, als auch auf europäischer Ebene vertraut machen und aktuelle Entwicklungen bei IT-Sicherheitsstandards aufmerksam verfolgen.
[1] https://arstechnica.com/information-technology/2018/08/lack-of-encryption-makes-hacks-on-life-saving-pacemakers-shockingly-easy/.
[2] https://www.medtechdive.com/news/coronavirus-chaos-ripe-for-hackers-to-exploit-medical-device-vulnerabilitie/575717/ .
[3] Martini/Kemper, International Cybersecurity Law Review 2022, 3: 191 (210).
[4] Martini/Kemper, International Cybersecurity Law Review 2022, 3: 191 (200).
[5] Mester, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, Art. 9 Rn. 15.
[6] Guidance on Qualification and Classification of Software in Regulation (EU) 2017/745 – MDR and Regulation (EU) 2017/746 – IVDR, October 2019, S. 6, abrufbar unter: https://ec.europa.eu/docsroom/documents/37581.
[7] Gassner, MPR 2021, 41 (42).
[8] Martini/Kemper, International Cybersecurity Law Review 2022, 3: 191 (219).
[9] Abrufbar unter: https://ec.europa.eu/docsroom/documents/41863.
[10] Abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/ManiMed_Abschlussbericht.pdf?__blob=publicationFile&v=1.
[11] Schreiber/Gottwald, ZD 2020, 385, (386).
[12] Abrufbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03161/tr-03161.html.
[13] Tschammler, PharmR 2019, 509, (511).
[14] Sachs, in: Dieners, Handbuch Compliance im Gesundheitswesen, § 12, Rn. 134.
