Ein kürzlich veröffentlichter technischer Bericht der Internationalen Elektrotechnischen Kommission (IEC TR 60601-4-5:2021) bietet detaillierte Anleitungen zur Anpassung von IEC 62443 an die besonderen Bedürfnisse des Gesundheitssektors. Diese Norm hat sich als international anerkannter Standard für Security im Umfeld der Prozess- und Automatisierungsindustrie etabliert, deckt aber auch alle weiteren Industriebereiche und die kritischen Infrastrukturen (KRITIS) ab.
Immer mehr medizinische Geräte in Krankenhäusern haben die Konvergenz der einst getrennten Bereiche IT und Betriebstechnologie (OT) beschleunigt und gleichzeitig die Cybersicherheit schwieriger gemacht. Nach einem Bericht von IBM haben sich die Cyberangriffe auf Krankenhäuser und andere Gesundheitseinrichtungen 2020 mehr als verdoppelt. Dies mitten in der Coronavirus-Pandemie, in der Krankenhäuser auf der ganzen Welt mit einem dramatischen Anstieg der Patienten zu kämpfen hatten.
Die Herausforderung: Krankenhausnetzwerke sind im Gegensatz zu Geschäftssystemen tatsächlich darauf ausgelegt, den Zugriff aus verschiedenen Netzwerken zu erleichtern. In einer IT-Umgebung zielt eine Cyber-Sicherheitsstrategie darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen (CIA) zu schützen. In Krankenhäusern liegt der Fokus auf dem Schutz der Sicherheit, Integrität, Verfügbarkeit und Vertraulichkeit (SIAC) eines vielfältigen Verkehrsspektrums.
Krankenhäuser und andere kritische Systeme legen mehr Wert auf Verfügbarkeit. Für IT-geführte Unternehmen besteht eine der ersten Verteidigungslinien darin, das gesamte System herunterzufahren. In Krankenhäusern geht das nicht, Hier müssen lebensrettende Medizinprodukte dauerhaft laufen können, um die Patientensicherheit zu gewährleisten. Darüber hinaus müssen Medizinprodukte im gesamten Krankenhaus frei kommunizieren können. Gleiches gilt für wesentliche Dienste wie Apotheken und Pflegestationen. Einfach Abschalten ist keine Option.
Das alles macht Krankenhäuser zu relativ leichten Zielen für Cyberkriminelle. IEC TR 60601-4-5 enthält Sicherheitsspezifikationen für medizinische elektrische Geräte und Systeme, die mit Krankenhaus-IT-Netzwerken verbunden sind. Dazu gehören die sieben grundlegenden Anforderungen der IEC TS 62443‑1-1: Identifizierungs- und Authentifizierungskontrolle; Kontrolle verwenden; Systemintegrität; Vertraulichkeit der Daten; eingeschränkter Datenfluss: rechtzeitige Reaktion auf Ereignisse; und Ressourcenverfügbarkeit.
Der Bericht definiert vier Sicherheitsstufen und die technischen Fähigkeiten, die ein Gerät benötigt, um eine bestimmte Stufe zu erreichen. Es verweist speziell auf die Anforderungen an das Sicherheitsniveau für Komponenten eines IT-Netzwerks, die in IEC 62443-4-2 festgelegt sind, die für jeden Benutzer des Berichts Pflichtlektüre sind.
Weitere wichtige Standards, die in dem Bericht enthalten sind, sind IEC 60601-1 und IEC 80001. Erstere behandelt allgemeine Anforderungen an die grundlegende Sicherheit und grundlegende Leistung von Medizinprodukten, während letztere die Anwendung des Risikomanagements für Krankenhausnetzwerke mit Medizinprodukten behandelt.