Risikomanagement für Medizinprodukte nach ISO 14971:2019 fokussiert sich auf die Safety von Medizinprodukten. Allerdings gewinnt auch die Security von Medizinprodukten immer mehr an Bedeutung. Die MDR fordert, dass Hersteller Risiken gemäß dem „Stand der Technik“ identifizieren müssen und beinhaltet auch konkrete Anforderungen zu Security. Um Security-Risikomanagement für Medizinprodukte sinnvoll umzusetzen, könnt ihr den Technical Information Report AAMI TIR57:2016 der amerikanischen Association for the Advancement of Medical Instrumentation heranziehen. Außerdem gibt es auch den internationalen Standard IEC 81001-5-1:2022, der bei der Erstellung eines Security-Risikomanagementprozesses unterstützt. Dieser Standard bildet analog der IEC 62304 einen Prozess für den Produktlebenszyklus von Gesundheitssoftware und Gesundheits-IT-Systemen mit dem Fokus auf Security ab. Die IEC 81001-5-1:202 wird im Mai 2024 harmonisiert und beschäftigt sich unter anderem mit dem Entwicklungsprozess:
- Softwareentwicklungsplanung inklusive der Entwicklungsumgebung für Security und Secure Coding Standards
- Anforderungsanalyse von Gesundheitssoftware mit Blick auf Security
- Softwarearchitektur unter Beachtung von Secure Design Best Practices
- Softwaredesign inklusive Schnittstellen
- Implementierung und Verifikation einer Softwareeinheit
- Testen der Softwareintegration
- Testen des Softwaresystems , z.B. mit Hilfe von Threat Mitigation Testing, Vulnerability Testing oder Penetration Testing
- Softwarerelease
Zusätzlich beschäftigt sich die IEC 81001-5-1 noch mit dem Wartungsprozess, Security-Risikomanagementprozess, Softwarekonfigurationsmanagementprozess und Managementprozess zur Lösung von Softwareproblemen.
Um besser zwischen Safety und Security unterscheiden zu können, verwende ich im Nachfolgenden für Risikomanagement, das sich auf die Safety von Medizinprodukten bezieht, den Begriff „Safety-Risikomanagement“. Für Risikomanagement, das die Security von Medizinprodukten betrachtet, verwende ich den Begriff „Security-Risikomanagement“.
Prozess
Die folgende Abbildung zeigt, dass Security-Risikomanagement (links) und Safety-Risikomanagement (rechts) miteinander verwoben sind. Es kann beispielsweise Security-Risikobeherrschungen geben, die einen Einfluss auf das Safety-Risikomanagement haben. Daher müsst ihr diese Security-Risikobeherrschungen bei der Safety-Risikoanalyse berücksichtigen. Außerdem kann ein Security-Risiko einen möglichen Einfluss auf die Safety haben.
© Method Park by UL in Anlehnung an AAMI TIR57:2016
Weitere Details zum Security-Risikomanagementprozesses stehen in der IEC 81001-5-1:2022, die auf folgende Aspekte genauer eingeht:
- Der Kontext des Security-Risikomanagements
- Identifizierung von Schwachstellen (Vulnerabilities), Bedrohungen (Threats) und damit verbundene negative Auswirkungen
- Einschätzung und Bewertung von Security-Risiken
- Beherrschung von Security-Risiken
- Überwachung der Effektivität der Security-Risikobeherrschungsmaßnahmen
Safety vs. Security
Falls ihr euch jetzt fragen solltet, was eigentlich der Unterschied zwischen Security- und Safety-Risikomanagement ist, schaut euch doch mal diese Abbildung an:
© Method Park by UL
Ein sicheres System im Sinne von Security kann nicht durch Angreifer von außen manipuliert werden. Ein sicheres System in Sinne von Safety schadet dem Patienten oder Nutzer nicht. Der Zusammenhang zwischen den beiden Aspekten besteht darin, dass ein System, das von außen angreifbar ist, dem Patienten oder Nutzer Schaden zufügen kann. Aber: Die Ziele von Safety und Security können sogar im Konflikt miteinander stehen. Ein Beispiel ist, wenn der Nutzer auf ein System im Notfall nicht schnell zugreifen kann, da es durch 2-Faktor-Authentifizierung geschützt ist. Im schlimmsten Fall kann deswegen der Patient gefährdet werden.
Im Prozess, wie in der ersten Abbildung zu sehen, besteht der Hauptunterschied zwischen Security- und Safety-Risikomanagement darin, was analysiert wird und welche Methoden dafür eingesetzt werden. Die folgende Tabelle zeigt euch, in welchen Aspekten sich die Security-Risikoanalyse und die Safety-Risikoanalyse unterscheiden:
Quelle: AAMI TIR57:2016 und ISO 14971:2019
Um das Ganze zu verdeutlichen, zeige ich euch jeweils ein Beispiel für die Safety-Risikoanalyse und die Security-Risikoanalyse anhand eines aktiven implantierbaren Medizinproduktes.
Safety-Risikoanalyse
Die nachfolgende Tabelle zeigt einen möglichen Eintrag aus einer Safety-Risikoanalyse:
© Method Park by UL
Hinweis: Der Hersteller muss die Kategorien bzw. die Wertebereiche für Schweregrad und Auftretenswahrscheinlichkeit im Safety-Risikomanagementplan definieren. Sie sind für jedes Medizinprodukt unterschiedlich.
Security-Risikoanalyse
Für die Security-Risikoanalyse kann der Hersteller CVSS (Common Vulnerability Scoring System) verwenden. Hier ein Beispiel:
© Method Park by UL in Anlehnung an OpenSSL Heartbleed Vulnerability
Hinweis: CVSS gibt Metriken und mögliche Werte dazu vor. Der Hersteller muss sich dann aber Gedanken machen, warum ein bestimmter Wert zutreffend ist, und das im Kommentar begründen. Je nach Ausprägung der Werte wird ermittelt, welchen Wert die Attacke in Kombination mit der Schwachstelle insgesamt erhält. In dem oben genannten Beispiel erhält das Szenario einen Wert von 7,5 (hoch). Diesen Wert habe ich mit Hilfe eines Rechners ermittelt.
Die Methoden, die zur Risikoanalyse verwendet werden, sind ein weiterer Unterschied zwischen Safety- und Security-Risikomanagement. Beim Safety-Risikomanagement werden vor allem PHA, FTA und FMEA eingesetzt. Wenn ihr mehr dazu erfahren wollt, dann schaut doch mal hier rein.
Beim Security-Risikomanagement werden zum Beispiel Threat Modeling, Attack Trees und CVSS eingesetzt.
Fazit
Safety- und Security-Risikomanagement unterscheiden sich vor allem darin, was betrachtet wird und welche Methoden für die Risikoanalyse verwendet werden. Der grundlegende Prozess ist aber bei beiden sehr ähnlich. Deswegen solltet ihr Safety und Security nie vollkommen losgelöst voneinander betrachten, da sie sich gegenseitig beeinflussen können.
Am Ende ist das Wichtigste, dass die Sicherheit von Patient und Nutzer gewährleistet ist. Und das gelingt nur, wenn das Medizinprodukt safe und secure ist.
Mehr Informationen zum Thema Medical Cybersecurity kannst du hier in unserem Kompetenzfeld oder bei unserem ParkCheck für Cybersecurity finden.
- Risikomanagement für Medizinprodukte: Safety vs. Security - 6. Juli 2023
- Medical Risk Management nach ISO 14971:2019 (Teil 2) - 2. Dezember 2021
- Medical Risk Management nach ISO 14971:2019 (Teil 1) - 30. November 2021
