Anwendung von IT-Sicherheitstechnologien auf Medizinprodukte

Nicht jede IT-Sicherheitstechnologie, die auf ein Medizinprodukt angewendet wird bewirkt den gewünschten Erfolg. Manchmal wird das Gegenteil bewirkt, die zu einer Störung des Medizinprodukts führen.

Es ist möglich, Sicherheitstechnologien in folgendes Schema einzusortieren. Die Abszisse beschreibt hierbei die Effektivität der IT-Sicherheitsmaßnahme. Also jede Maßnahme hat einen tollen Namen, aber ist diese überhaupt effektiv? Die Ordinate gibt als Größe den negativen Einfluss auf das Medizinprodukt an: d.h. wie stark störend ist die Maßnahme im Betrieb.

Die vier Quadranten geben hierbei eine Güte über die Maßnahme wider:

  1. effektive Maßnahmen, die aber das Produkt beeinflussen
  2. Maßnahmen mit zweifelhafter Effektivität und störendem Einfluss auf das Produkt
  3. Maßnahmen, die nicht stören, aber die IT-Sicherheit nicht garantieren
  4. Maßnahmen, die sowohl die IT-Sicherheit garantieren als auch das Medizinprodukt gar nicht oder nur gering beeinflussen

 

Aufteilung der Quadranten bei der Einordnung der Medizintechnik

Die Kriterien, die hierfür zum Tragen kommen, können je nach Produkt oder Hersteller variieren. Einige Schlüsselkriterien aber sind:

Ordnet man diese Liste, so kann folgende Grafik herauskommen:

Sicherheitstechniken angewandt auf Medizintechnik

Freilich kann eine Technologie mal anders eingeordnet werden.

Ein Beispiel für einen technischen Mechanismus: Virenschutz:

Ein Virenschutzprogramm verhindert, dass Programme bekannte bösartige Inhalte ausführen. Ein Virenschutz schützt in der Regel nicht vor externen Bedrohungen wir Internetwürmern oder Hackerangriffen.

Bewertung: Ein Virenschutzsystem ist nicht geeignet um Medizinprodukte abzusichern, da es sich um eine dynamische Komponente handelt, die zur Laufzeit entscheidet, wie mit einer Bedrohung umgegangen wird. Durch die Leistungsanforderungen zum Zeitpunkt eines Fullscans der Daten kann in der Regel das Produkt nicht in seinem bestimmungsgemäßen Zweck eingesetzt werden. Durch Nebeneffekte (z.B. Speicherverbrauch) kann ein bestimmtes Verhalten nicht vorhergesehen werden.

Es bestehen bestimmte Anforderungen an ein Virenschutzsystem, wenn es im medizinischen Kontext eingesetzt werden soll: