Der Expertenkreis CyberMed (EK CyberMed) in der Allianz für Cyber-Sicherheit (ACS) ist ein Zusammenschluss von Vertretern von Industrie, Anwendern und Behörden, die sich aktiv mit dem Thema Cyber-Sicherheit von Medizintechnik befassen bzw. dafür Verantwortung tragen. Durch einen vertrauensvollen und übergreifenden Austausch sollen gemeinsame Sichtweisen und Aussagen zwischen den Beteiligten entwickelt und kommuniziert werden. Im Rahmen dieses offenen Erfahrungsaustauschs sollen nachhaltige Maßnahmen der Prävention, Detektion und Reaktion im Falle eines Cyber-Vorfalls diskutiert werden. Der EK CyberMed veröffentlicht Positionen, die auf Erkenntnissen zum aktuellen Stand der Technik basieren. Die Arbeiten zielen darauf ab, die Cyber-Sicherheit von Medizintechnik und -produkten verlässlich einschätzen, konkret verbessern und dauerhaft auf hohem Niveau halten zu können.

SBOM für vernetzbare Medizingeräte

Das folgende Dokument ist im Rahmen der Arbeit des Expetenkreises CyberMed entstanden und erhebt keinen normativen Anspruch. Diese Stellungnahme erläutert den Beitrag der Software Bill of Materials (SBOM) für die Informationssicherheit von vernetzten Medizingeräten.

Im Entwurf des neuen US FDA-Leitfadens zur Informationssicherheit sowie des International Medical Device Regulators Forum (IMDRF) ist vorgesehen, dass jeder Betreiber beim Bekanntwerden einer Schwachstelle („vulnerability“) geeignete Schutzmaßnahmen ergreifen sollte. Hierfür muss der Hersteller dem Betreiber eine SBOM zur Verfügung stellen, auf der alle Software-Komponenten aufgelistet sind. Zum Zeitpunkt der Veröffentlichung dieses Dokumentes, gibt der Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ (Version 1.0 vom 12.07.2023) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Anforderungen an eine SBOM vor. Durch die Übergabe der SBOM von allen vernetzbaren Medizingeräten an die Betreiber kann laut IMDRF WG/N73 die Informationssicherheit im Betrieb verbessert werden.

Die SBOM als produktbegleitendes Dokument zu vernetzbaren Medizingeräten kann als ein unterstützendes Element in allen Phasen des Lebenszyklus vernetzter Medizingeräte angesehen werden. Als einzelnes Dokument enthält die SBOM dabei lediglich die Bestandteile der Software und ist somit vergleichsweise statisch. Zur Etablierung effektiver Schutzmaßnahmen sollte die SBOM durch weitere produktbezogene Informationen, insbesondere der Bereitstellung von Schwachstellenmeldungen, von den Herstellern ergänzt und durch organisatorische Maßnahmen von Betreibern genutzt werden. Beispiele hierfür wären das Profil VEX oder auch standardisierte, geräte-orientierte Nachrichten gemäß dem Standard CSAF. Diese ermöglichen einen automatisierten Abgleich der SBOM mit den Schwachstellen und Mitigationsmaßnahmen.

Download: SBOM für vernetzbare Medizingeräte

Sicherheit von Medizinprodukten - Leitfaden zur Nutzung des MDS2 aus 2019

Die Publikation Sicherheit von Medizinprodukten - Leitfaden zur Nutzung des MDS2 aus 2019 ist die erste Veröffentlichung, die vom Expertenkreis CyberMed erstellt wurde. Sie ist eine Empfehlung, die sich an Hersteller und Betreiber von Medizinprodukten richtet. Das Dokument ist ein Leitfaden zur Anwendung des Manufacturer Disclosure Statement for Medical Device Security (MDS2) und soll als Hilfestellung dienen, um das MDS2 bestmöglich ausfüllen und verwenden zu können. Das MDS2 ist ein standardisiertes und maschinenlesbares Tabellendokument, das seit 2008 in den USA als Standard verpflichtend für Medizinproduktehersteller auszufüllen und an Betreiber zu übergeben ist. Es ermöglicht Herstellern die Informationen zu (cyber-) sicherheitsrelevanten Merkmalen und Funktionen ihrer Produkte in strukturierter Form an Betreiber zu übermitteln und beschreibt die Sicherheitseigenschaften des Standardprodukts, im Rahmen der vom Hersteller vorgesehenen Konfigurationsmöglichkeiten. Der Expertenkreis CyberMed empfiehlt, das MDS2 als Kommunikationsinstrument und als Grundlage für weitere Diskussion rund um den Bereich Cyber-Sicherheit, auf freiwilliger Basis, zu nutzen.