Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»

Gilbert Semmer:: Das ist mir zu allgemein. Ich denke, die dauernden Nachrichten über Lecks und Datendiebstähle sprechen hier eine deutliche Sprache zum Stand der Dinge. Im Bereich Medizintechnik und vernetzte Geräte sehe ich einen positiven Trend. Neben der neuen EU-Richtlinie GDPR (General Data Protection Regulation) gibt es mittlerweile themenrelevante FDA-Guidelines sowie ISO-Standards für Medizingeräte und Krankenhäuser. Dabei sehe ich die Rolle des Treibers im Gesundheitswesen allerdings nicht nur in der Europäischen Union, sondern auch in den USA – und zwar sowohl für Cybersicherheit als auch für den Schutz der Privatsphäre.

Das mag für andere Bereiche stimmen, nicht aber für den der Medizintechnik. Die amerikanische Gesundheitsbehörde FDA (Federal Drug Administration) ist mit Polizeigewalt ausgestattet und darf im engen Rahmen sogar Gesetze erlassen. Somit ist sie gewissermassen Legislative, Judikative und Exekutive in einer Person. Damit ist die FDA mächtiger als vergleichbare Institutionen in Europa – eine Macht, die durchaus bereit ist, sich einzusetzen. Das geht von der Veröffentlichung der «Schandtaten» bis zur Werkschliessung, vom Importverbot bis zum Einsammeln aller Produkte durch US-Marshalls – und das auf Kosten des Unternehmens.

Für Entwickler medizinischer Software oder vernetzter Geräte hat sie eigens sogenannte Guidance Dokumente herausgegeben. Das FDA Guidance Dokument «Management of Cybersecurity in Medical Devices» wendet sich an alle Medizinproduktehersteller, deren Produkte Software enthalten oder eigenständige Software sind. Das Dokument «Postmarket Management of Cybersecurity in Medical Device» schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung, um zwei zu nennen. Diese Dokumente haben in der Praxis eine hohe Relevanz, zum Beispiel, um eine Zulassung für den amerikanischen Markt zu erhalten. Im Vergleich mit europäischen Normen wie CE sind diese Dokumente ausserdem sehr konkret in ihren Empfehlungen.

Nur auf den ersten Blick. Ich selbst habe seit 2005 an der Ausarbeitung des ISO / IEC Standards 80001 mitgearbeitet. Im zuständigen Gremium hatten auch Vertreter der FDA Einsitz, die so die Norm mitgeprägt haben. Teile davon nden sich heute in den erwähnten Guidelines. Es ndet also eine gegenseitige Befruchtung statt. Der Wermutstropfen dabei ist der lange Prozess. Angefangen hatten wir vor 2003, ein erster Draft war 2007 fertig, der Hauptteil dann 2010 und weitere ab 2012. Es dauerte also etwa 10 Jahre.

Hier gibt es zwei relevante Gesetze: HIPAA (Health Insurance Portability and Accountability Act) und die Health Breach Noti cation Rule der FTC (Federal Trade Commission). Diese Gesetze etablieren eine Meldep icht bei einer Verletzung der Vertraulichkeit von Gesundheitsdaten. Ausserdem wird klar gesagt, was eine solche Meldung enthalten muss. Das heisst, was Sie melden müssen, wann Sie es melden müssen, in welcher Form und an wen Sie es melden müssen.

Es scheint zumindest ernster zu werden. Gemäss einer Liste der Compliancy Group verhängte das Of ce for Civil Rights (OCR) 2015 Strafen im Gesamtwert von 6,2 Millionen Dollar. 2016 waren es 23,5 Millionen Dollar. Das sind zwar immer noch Peanuts, aber der Stein scheint allmählich ins Rollen zu kommen.

In Kraft getreten ist die Verordnung bereits am 24. Mai 2016. 2018 endet lediglich die zweijährige Übergangsfrist. Allerdings wird sich die Stärke und Relevanz der Verordnung erst in der Anwendung zeigen. Aber mit der GDPR gibt es jetzt zumindest theoretisch die Möglichkeit, handfeste Strafen zu verhängen – im Falle eines Unternehmens Geldbussen von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Hersteller und Krankenhäuser sind in der Pflicht, die Sicherheit von vernetzten Medizingeräten zu gewährleisten, d. h. sowohl in der Entwicklung, Herstellung als auch im Betrieb. Dazu bedarf es auch einer Abstimmung zwischen Krankenhäusern und Herstellern, um die sicherheitstechnischen Möglichkeiten im Rahmen eines Krankenhaus-Netzwerkes optimal zu nutzen. Cybersecurity ist dabei nicht nur ein technisches Thema. Sie müssen erst einmal Awareness schaffen und entsprechende Policies & Procedures aufstellen. Der Schlüssel ist dabei das Risikomanagement. Grosse, internationale Medizintechnikhersteller haben heute Cybersecurity als wesentliche Komponente in ihre Prozesse integriert, und zwar schon in den ersten Momenten der Produktentwicklung. Eine gute Umsetzung der ISO 14971 (Risikomanagement für Medizinprodukte) sollte genau das machen, ergänzt um Security-Risiken. Aus diesen Teilen resultiert dann eine bestmögliche Sicherheit.

Sicherheit können Sie nur beherrschen, wenn Sie alle Risiken kennen. Das ist ein aufwendiger Prozess: Man muss seine Assets kennen, mögliche Angreifer und Schwachstellen. Zu 100 Prozent ist das aber leider nicht möglich, zumal wir mittlerweile in einer vernetzen Welt leben. Selbst wenn ich alles richtig mache, kann einer unserer Partner am Ende eine Lücke schaffen. Da reicht ein nicht abgesicherter Hotspot. Deswegen können wir auch nicht die alleinige Verantwortung tragen.

2017 erfolgte durch den Verschlüsselungstrojaner WannaCry einer der weltweit grössten Cyberattacken. Betroffen waren unter anderem auch Spitäler in Grossbritannien. Warum? Eine bekannte Sicherheitslücke war nicht gepatcht.

Ja, das ist auch paradox. So tasten wir uns aber langsam an des Pudels Kern heran. Sowohl Unternehmen wie Krankenhäuser können hier mehr tun. Dennoch müssen wir auch eine gesellschaftliche Debatte über grundlegende Sicherheitsaspekte führen. Sollten unsere Geheimdienste die Zero-Day-Exploits einfach horten oder sollten wir sie zu «Responsible Disclosures» zwingen? Die Sicherheitsdienste haben zweifellos auch ihre Bedürfnisse – ich vermisse hier aber den Dialog. Wenn medizinische Geräte kompromittiert werden, geht es schliesslich genauso um Menschleben wie in der Verbrechensbekämpfung.