Die IT-Sicherheit medizinischer Geräte und die Cybersicherheit im Gesundheitswesen ist Gegenstand jüngster Diskussionen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte die transparente Kommunikation über Cybersicherheitsrisiken vernetzter medizinischer Geräte verbessern. Zu diesem Zweck hat das BSI 2019 das Projekt Manipulation von Medizinprodukten (ManiMed) initiiert, um eine vertrauensvolle Kommunikation und Zusammenarbeit zwischen Herstellern, Sicherheitsforschern und Behörden zu ermöglichen.

In diesem Vortrag wollen wir Sicherheitslücken aufzeigen, die wir im Kommunikationsprotokoll einer Insulinpumpe und ihrer mobilen Anwendungen identifiziert haben. Durch Ausnutzung der Schwachstellen sind Angreifer in der Lage Insulin zu verabreichen und damit Patienten schweren Schaden zuzufügen. Die betroffene Insulinpumpe ist ein neuartiges Produkt und einzigartig in Bezug auf ihre Kommunikationsschnittstellen. Wir haben eine Coordinated Vulnerability Disclosure (CVD) initiiert, um das betroffene medizinische Produkt auf dem Markt zu halten, während wir andererseits sicherstellen möchten, dass dieses Produkt keine Bedrohung für die Sicherheit von Patienten darstellt. Da es sich bei der Insulinpumpe um ein zertifiziertes Medizinprodukt handelt, beinhaltete dieser Prozess eine Meldung an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM).

Der Hersteller behob die Schwachstellen durch ein Sicherheitsupdate. Die Verifikation des Updates durch eine Benannte Stelle nahm durch einige Hindernisse mehrere Monate in Anspruch. Um bereits kurzfristige Risiken zu reduzieren, veröffentlichte der Hersteller Sicherheitshinweise in Form einer Field Safety Notice (FSN) und Ankündigung von Field Safety Corrective Actions (FSCA).

Dieses Beispiel zeigt, dass es derzeit keine etablierten und verlässlichen Verfahren für den Umgang mit Sicherheitslücken in aktiven Medizinprodukten gibt. Das charakteristische Merkmal dieser Disclosure-Prozesse ist, dass die medizinische Funktionalität und der therapeutische Zweck des Produkts während der Umsetzung temporärer und permanenter Maßnahmen erhalten bleiben muss.