Leitfaden IT-Sicherheit / Guideline IT Security

Donnerstag 6. Dezember 2018

Gemeinsam mit dem TÜV SÜD, dem TÜV Nord und mit Unterstützung von Dr. Heidenreich (Siemens) hat das Johner Institut am 21.11. einen Leitfaden zur IT-Sicherheit speziell für Medizinproduktehersteller veröffentlicht.

Leitfaden IT-Sicherheit

Abb. 1: Screenshot des Leitfadens „IT-Sicherheit“, der kostenfrei zur Verfügung steht

An wen sich der Leitfaden zur IT-Sicherheit wendet

Der Leitfaden richtet sich an alle Hersteller von Medizinprodukten (Inverkehrbringer, Dienstleister). Er sollte v.a. gelesen werden von:

  • System-/Software-Entwickler und Architekten
  • (Software-)Tester
  • Produktmanager
  • Qualitätsmanager
  • Regulatory Affairs Manager

Er wendet sich explizit auch an Auditoren, „Reviewer“ von technischen Dokumentationen und an Behörden.

Betreiber wie Krankenhäuser sollten den Leitfaden zur IT-Sicherheit zumindest dann berücksichtigen, wenn sie selbst Medizinprodukte konfigurieren oder gar herstellen.

Wo es den Leitfaden zur IT Security gibt

Der Leitfaden steht kostenfrei zum Download bereit:

  1. Die „offizielle“ Version findet sich als Markdown-Dokumente im Git-Repository „IT Security Guideline“ (deutsch und englisch)
  2. Auf den Seiten des Johner Instituts im Word und Excel-Format (zum schnelleren Sortieren und Weiterverarbeiten – ebenfalls auf Deutsch und Englisch)

Was den Leitfaden auszeichnet

Die Autoren haben beim Schreiben folgende Ziele verfolgt:

  • Die Anforderungen sind leicht verständlich.
  • Die Überprüfung, ob diese Anforderungen erfüllt sind, gelingt unstrittig.
  • Die Anforderungen sind erfüllbar und sinnvoll und damit der IT Sicherheit dienlich.
  • Sie sind – soweit notwendig und möglich – spezifisch für Medizinprodukte.
  • Die Anforderungen reflektieren den Stand der Technik.
  • Herstellern gelingt es damit einfach, Verfahrens- und Arbeitsanweisungen ebenso abzuleiten wie Produktspezifikationen.

Aufbau und Struktur des Leitfadens

Der Leitfaden zur IT-Sicherheit umfasst ca. 150 Anforderungen. Diese sind nach Prioritäten und nach Lebenszyklusphasen sortiert.

Lebenszyklusphasen

Der Leitfaden zur IT Security ist wie folgt in Kapitel gegliedert:

  1. Anforderungen an die Prozesse
    1. Anforderungen an den Entwicklungsprozess
      1. Zweckbestimmung und Stakeholder-Anforderungen
      2. System- und Software-Anforderungen
      3. System- und Software-Architektur
      4. Implementierung und Erstellung der Software
      5. Bewertung von Software-Einheiten
      6. System- und Software-Tests
      7. Produktfreigabe
    2. Anforderungen an die der Entwicklung nachgelagerten Phase
      1. Produktion, Distribution, Installation
      2. Marktüberwachung
      3. Incident Response Plan
  2. Anforderungen an das Produkt
    1. Vorbemerkungen und allgemeine Anforderungen
    2. System-Anforderungen
    3. System- und Software-Architektur
    4. Begleitmaterialien

Die Anforderungen an die Prozesse sollten in entsprechenden Verfahrensanweisung Niederschlag finden, die Anforderungen an das Produkt in den Produktspezifikationen.

Prioritäts-Stufen

  • Stufe 0 („Laien-Niveau“)
    Selbst die meisten Laien würden diese Anforderung erfüllen. Wer nicht einmal die Anforderungen dieser Stufe erfüllt, sollte keine Medizinprodukte entwickeln. Diese Anforderungen darf und muss ein Auditor bereits im allerersten Audit als erfüllt erwarten.
  • Stufe 1 (Niveau „fortgeschrittener Anfänger“)
    Der Hersteller hat sich des Themas IT-Sicherheit bereits angenommen. Bei unkritischeren Produkten und den ersten Audits kann dieses Niveau akzeptiert werden. In jedem Folgejahr wird jedoch eine Verbesserung erwartet, bis die Stufe 2 erreicht wird.
  • Stufe 2 („State-of-the-art“)
    Das ist das Niveau, das Hersteller auf Dauer in der Regel erreichen müssen. Es entspricht aber noch nicht dem Stand der Wissenschaft.
  • Stufe 3 („Experten-Niveau“)
    Dieses Niveau erreichen hauptberufliche IT-Security-Experten. Es geht über das hinaus, was ein Auditor in der Regel bei Medizinprodukten erwarten darf. Energieversorger, Geheimdienste und das Militär müssten auf diesem Niveau agieren.

Weshalb es eines Leitfadens zur IT-Sicherheit bedarf

Es gibt zahlreiche Gründe, die die Autoren dazu geführt haben, den Leitfaden zu erstellen:

  1. Die EU-Verordnungen (MDR, IVDR) fordern explizit die IT-Sicherheit. Im Gegensatz zu den meisten anderen grundlegenden Anforderungen sind keine Normen zum Thema IT-Sicherheit harmonisiert. Daher gibt es keinen kanonischen Katalog an Anforderungen, der anerkannt den geforderten Stand der Technik reflektiert.
  2. Aus diesem Grund haben Auditoren sehr heterogene Erwartungen, und Risiko steigt für Hersteller, im Audit oder bei der Einreichung von Unterlagen auf Probleme zu stoßen.
  3. Viele Normen sind kostenpflichtig (trotz teilweise fragwürdiger Qualität). Hersteller müssen nach Auffassung der Autoren kostenfrei Zugang zu regulatorischen Anforderungen haben.
  4. Hersteller entwickeln immer mehr vernetzte Medizinprodukte. Dadurch erhöhen sich die Risiken durch mangelnde IT-Sicherheit (z.B. gegen Cyberangriffe). Dem tragen viele Hersteller nur unzureichend Rechnung.
  5. Für die meisten Hersteller wäre es weder zeitlich noch finanziell umsetzbar, mit einem Schlag ein IT-Sicherheits-Niveau zu erreichen, wie es z.B. der UL 2900 fordert. Daher sollten die Hersteller schrittweise ein State-of-the-Art Niveau bezüglich der IT-Sicherheit anstreben und erreichen. Damit verfolgt dieser Leitfaden das Ziel, lieber schnell erste Verbesserungen umzusetzen, als wegen Überforderung nichts zu tun.

Es ist zu erwarten, dass Normen zur IT-Sicherheit von Medizinprodukten entwickelt und harmonisiert werden, was aber noch Jahre in Anspruch nehmen kann. Daher bedarf es eines Leitfadens (nur) in dieser Zwischenphase.

Eine vollständige Übersicht über die Erwägungsgründe finden sich am Ende des Dokuments.

Wie es weitergeht

Langfristig (3-5 Jahre?) hoffen die Autoren, dass harmonisierte Normen den IT-Security-Leitfaden überflüssig machen. Solange wird dieser weitergepflegt. Dazu ist jeder eingeladen. „Motzen“ hilft nichts, mitmachen ist gefragt. Wir freuen uns auf Ihre Unterstützung, melden Sie sich gerne z.B. bei den Autoren (z.B. beim Johner Institut).


Kategorien: Johner & Institut

Kommentar schreiben