Rundum sichere Sache? Cybersicherheit von persönlichen Gesundheitsgeräten
Viele persönliche Gesundheitsgeräte (PHDs, en: Personal Health Devices) und patientennahe medizinische Geräte (PoCDs, en: Point-of-Care Devices) bieten lebenswichtige Unterstützung für Menschen, die mit chronischen Krankheiten leben oder ein lebensbedrohliches medizinisches Vorkommnis erleben.
Cybersicherheitsangriffe auf anfällige Geräte können zur Änderung der verordneten Therapie (z. B. Schlafapnoe-Atemtherapie, Insulintherapie) oder zur Offenlegung von Informationen führen, die zu Versicherungs- oder Identitätsbetrug oder zu direktem oder indirektem Schaden für Patienten führen. Unternehmen, die einem erfolgreichen Cybersicherheitsangriff ausgesetzt sind, können finanziellen Schaden und einen negativen Ruf erleiden.
DIN EN ISO 11073-40101:2022-07 und DIN EN ISO 11073-40102:2022-07 bieten eine Schwachstellenanalyse und Risikobewertung sowie einen Werkzeugkasten zur Erhöhung der Cybersicherheit von persönlichen Gesundheitsgeräten.
Die beiden neuen Normen entsprechen dem NIST (National Institute of Standards and Technology)-Rahmenwerk zur Cybersicherheit und dem Klassifizierungsschema STRIDE:
- Identitätsverschleierung (en: Spoofing);
- Manipulation (en: Tampering);
- Verleugnung (en: Repudiation);
- Verletzung der Privatsphäre oder Datenpanne (en: Information Disclosure);
- Verweigerung des Dienstes (en: Denial of Service) und
- Rechteausweitung (en: Elevation of Privilege)
Anhand dieser Normen können Hersteller nun eine iterative, systematische, skalierbare und überprüfbare Schwachstellenbewertung durchführen und mittels einem skalierbaren Werkzeugkasten für die Informationssicherheit, der für PHD/PoCD-Schnittstellen geeignet ist und die Anforderungen und Empfehlungen des National Institute of Standards and Technology (NIST) und der European Network and Information Security Agency (ENISA) erfüllt, anwenden.
Die Abwehrtechniken basieren auf dem erweiterten CIA-Dreiklang und werden allgemein beschrieben, damit die Hersteller die am besten geeigneten Algorithmen und Implementierungen bestimmen können.