Um die Lage der Cybersicherheit bei Produkten im medizinischen Bereich zu ermitteln und nach Möglichkeit eine Verbesserung anzustreben, mit dem Ziel ein hohes Niveau erreichen zu können, hat das BSI in den letzten Jahren mehrere Projekte im Bereich des Gesundheitswesens ausgeschrieben. In diesen Projekten erfolgt zunächst eine umfangreiche Marktsichtung. Danach erfolgt die Auswahl der jeweiligen Produkte für die anschließenden sicherheitstechnischen Tests. Am Ende der Projekte werden die Ergebnisse, in enger Zusammenarbeit mit Herstellern und Sicherheitsforschern, veröffentlicht.

Das BSI hat großes Interesse aktuelle Produkte zu testen, die voraussichtlich noch lange auf dem Markt zu finden sind, möglichst viele Schnittstellen aufweisen und auch im Betrieb vernetzt genutzt werden. Daher haben die Aktualität und der Vernetzungsgrad der Produkte einen hohen Stellenwert für die Teilnahme am Projekt. Nur so kann eine realistische Einschätzung der aktuellen sicherheitstechnischen Situation von Produkten im medizinischen Bereich gewährleistet werden.

Es ist dem BSI besonders wichtig mit Herstellern und Sicherheitsforschern eng zusammen zu arbeiten und Schwachstellen gemeinsam zu beheben. Das Vertrauen soll innerhalb solcher Projekte aufgebaut, erhalten und verbessert werden. Dies gilt nicht nur für das Verhältnis zwischen Herstellern, Forschern und BSI, sondern auch mit allen anderen an diesen Projekten beteiligten Personen oder Organisationen, wie Aufsichtsbehörden und Fachanwendern.

CyberPraxMed

Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland wird bisher kaum erfasst, obwohl sie essentiell für die Verarbeitung sensibler Daten ist und Praxen direkt an die Telematikinfrastruktur angeschlossen sind. Um die Resilienz unseres Gesundheitssystems zu erhöhen, hat das BSI unter anderem mit dem Projekt CyberPraxMed eine Datengrundlage geschaffen, mit deren Hilfe die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden kann. In einer Auswahl von 16 Arztpraxen wurde eine Umfrage mit dem Ziel durchgeführt, Cyberrisikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der „Faktor Mensch“, und somit personelle Aspekte, in den Blick genommen. Die Auswahl der Arztpraxen erfolgte nach den Kriterien des Fachgebiets, der Anzahl der Mitarbeiterinnen und Mitarbeiter sowie der geographischen Lage.

Das Ergebnis der Studie ist der CyberPraxMed Abschlussbericht, indem die gefundenen Schwachstellen bewertet und Gegenmaßnahmen aufzeigt werden. Zusätzlich enthält der Bericht eine kompakte Liste mit Empfehlungen. Mit diesen können Ärztinnen und Ärzte mit möglichst geringem Aufwand ihre Praxen robuster gegen Cyberangriffe aufstellen.

eMergent

Das derzeit laufende Projekt „eMergent – Digitalisierung im Rettungsdienst“ gibt einen Überblick zum Stand der Digitalisierung mit Fokus auf die IT-Sicherheit. Hierbei soll eine Auswahl an verwendeten Produkten und Lösungen einer Sicherheitsanalyse unterzogen werden. Das Projektziel ist einen Einblick in den Stand der IT-Sicherheit von vernetzten Produkten in der Bodengebundenen Notfallrettung zu geben.

Die „ Ergebnisse der Orientierungsstudie - BSI-Projekt 453: eMergent – Digitalisierung im Rettungsdienst“ im Rahmen des Projektes ermöglicht die Auswahl von zu untersuchenden Produkten, welche im Rettungsdienst Verwendung finden.

Im Verlauf des Projektes veröffentlicht das BSI zwei weitere Teilstudien. Die erste Teilstudie enthält eine Umfrage der Anwenderinnen und Anwender zu den Prozessen der Digitalisierung und eine Analyse des IST-Zustandes im Rettungsdienst. Außerdem gibt sie einen Ausblick auf zukünftige Entwicklungen. In der zweiten Teilstudie werden die Ergebnisse der Untersuchung ausgewählter Produkte aus dem Rettungsdienst veröffentlicht.

ManiMed

Das BSI-Projekt ManiMed, Manipulation von Medizinprodukten, beschäftigt sich mit der sicherheitstechnischen Einschätzung und Untersuchung unterschiedlicher vernetzter Medizinprodukte. Es werden Geräte aus fünf ausgewählten Medizinprodukteklassen auf ihre cyber-sicherheitstechnischen Implementierungen geprüft. Die fünf Geräteklassen umfassen:

• implementierbare Herzschrittmacher oder ICDs (implantierbarer Kardioverter/Defibrillator), inkl. Programmiereinheiten und Zubehör
• Beatmungsgeräte
• Patientenmonitore
• Insulinpumpen
• Spritzenpumpen

Das Projekt wurde Anfang 2019 gestartet und im Dezember 2020 abgeschlossen. Der Abschlussbericht steht unten zum Download in deutscher und englischer Sprache bereit. Eine Abschlusspräsentation liegt als Video-Serie vor.

Alle Videos der ManiMed-Abschlusspräsentation

Teil 1: Ausgangssituation (s. auch oben)

Teil 2: Die Lage der IT-Sicherheit in Deutschland

Teil 3: Marktanalyse

Teil 4: Ergebnisse der IT-Sicherheitsuntersuchungen

Teil 5: Schwachstellen

Teil 6 und 7: Sichere medizinische Geräte & Ausblick

eCare

Das Projekt eCare – Digitalisierung in der Pflege hat den Anspruch, vernetzte Altenpflegeprodukte sicherheitstechnisch zu untersuchen. Hier geht es nicht um die Untersuchung klassischer Medizinprodukte, wie Insulinpumpen oder Patientenmonitore, sondern um vornehmlich IoT-Produkte, wie vernetzte Betten, intelligentes Geschirr, Erinnerungsdienste oder auch Hausnotrufsysteme. Diese Produkte sollen pflegebedürftige oder chronisch kranke Menschen dabei unterstützen Ihren Alltag besser und angenehmer zu meistern.

Das Projekt wurde Anfang 2019 gestartet.

Alle Berichte und Veröffentlichungen sind unter den nachfolgenden Links einsehbar.