Instandhaltung Medtech: ein Sicherheitsrisiko für Patienten?
Medtech-Geräte durchlaufen Instandhaltungs- und Reparaturprozesse während des Lebenszyklus, dies garantiert den zuverlässigen Betrieb. Diese Prozesse müssen zwingend beim Produktdesign vom Hersteller eingeplant werden. Die korrekte Datenhaltung sowie der Schutz der Patientendaten haben höchste Priorität.
Werden im Einsatz stehende Medizinprodukte für eine notwendige oder präventive Instandhaltung oder Reparatur an den Hersteller oder dessen Unterhaltspartner zurückgeschickt, unterliegen sie nicht mehr dem Schutz der medizinischen Einrichtung, der die Nutzung der gespeicherten Daten erlaubt ist. Sobald Daten auf dem Gerät in irgendeiner Form personenbezogen oder Personen zuweisbar sind, müssen die Vorgaben und Datenschutzaspekte eingehalten werden. Damit die Hersteller oder ihre Partner nicht den Sicherheitsrisiken ausgesetzt werden, soll der Umgang mit den Daten in der Sicherheitsarchitektur berücksichtigt werden und in die Produktentwicklung einfliessen.
Regulatoren verlangen Datenschutz
Nach Datenschutzverordnung (z. B. DSGVO) gehören Gesundheitsdaten, wenn sie personenbezogen sind, zu den sensiblen, schützenswerten Daten. Darum müssen nach MDR und ISO13485:2016 die Datenschutzaspekte in Bezug auf die Patientendaten im Medizinprodukt durch die Hersteller zuverlässig berücksichtigt werden. In diesem Zusammenhang definiert die Datenschutzverordnung zwei Begriffe: "Privacy by Design" und "Privacy by Default". Mit diesen sollen dem Datenschutz schon während der Entwicklung Rechnung getragen werden. Einerseits durch technisch organisatorische Massnahmen und andererseits durch datenschutzfreundliche Grundeinstellungen. Dieser Schutz gilt für den gesamten Produktlebenszyklus, auch während des Instandhaltungs- und Reparaturprozesses.
Factory Reset genügt nicht
Hersteller von Medtech-Geräten lösen diesen datenschutz-rechtlichen Aspekt, indem sie ihre Geräte mit Rücksetz-Funktionalitäten "Factory Reset" ausrüsten. Die Geräte werden in einen vermeintlichen Auslieferungszustand zurückgesetzt. Entsprechende Konfigurations- und Nutzdaten werden, gemäss dem Versprechen der Hersteller, auf dem Gerät gelöscht. Beim Instandhaltungs- oder Reparaturprozess werden die Betreiber durch die Hersteller aufgefordert, das Gerät ausschliesslich im Auslieferungszustand zu senden. Jeder Forensiker wird bestätigen, dass das blosse Löschen von Daten oder das Formatieren eines Datenträgers die Daten nicht sicher löscht. Noch anspruchsvoller sind Speichermedien mit NAND-Flash-Speicherchips wie etwa USB, SSD, eMMC-Flash Chips oder (Micro-)SD-Karten. Diese verfügen über interne Reservesektoren, um auftretende Ausfälle kompensieren zu können. Die bei solchen Ausfällen nicht mehr verwendeten Sektoren enthalten aber weiterhin Daten, die durch den Speicherkontroller nicht mehr angesprochen werden können. Im medizinischen Umfeld können diese ausgefallenen Sektoren auch sensible Patientendaten enthalten.
"Security by Design" und Kryptografie
Hersteller müssen deshalb bereits bei der Produktentwicklung optimale Sicherheitsarchitekturen vorsehen, die den wichtigen Datenschutzaspekten während der Instand- oder Reparaturzyklen gerecht werden. Durch den Einsatz von hardware-naher und dadurch performanten kryptografischen Verfahren kann der permanente Schutz von Daten sicher und elegant gelöst werden. Diese Technologie bietet interessante Möglichkeiten wie die Einführung einer sicheren Daten- und Konfigurations-Backup-Lösung. Die Betreiber müssen die in den Medizinprodukten eingesetzten Verfahren detailliert beim Hersteller einfordern und kritisch hinterfragen. Dabei muss geklärt werden, ob die implementierten Verfahren tatsächlich ausreichen, um den Datenschutz der Patienten sicherzustellen.
----------
Bei unseren Reviews finden wir oft fehlerhafte SSD-Löschkommandos
Das einfache Löschen von Datenträgern von medizinischen Geräten genügt den Vorgaben des Datenschutzes nicht. Denn so können bei Instandhaltungs- und Reparaturprozessen Daten unbefugt eingesehen werden. Stefan Frank von CyOne Security erklärt, was zu beachten ist. Interview: Marc Landis
Warum genügt das einfache Löschen von Daten oder das Formatieren eines Datenträgers nicht, um den Vorgaben des Datenschutzes während Instandhaltungs- und Reparaturprozessen von Medizinprodukten zu entsprechen?
Stefan Frank: Einfaches Überschreiben oder Formatieren der Datenspeicher erfüllt die Anforderung an sicheres Löschen nicht. Unsere Erfahrungen zeigen, dass in diesem Punkt in der Umsetzung oft einiges schiefläuft. Der Klassiker: Bei einem vermeintlichen Löschvorgang werden nur Indizes auf File-Systemebene gelöscht. Auch sind die spezifischen Funktionsweisen von Flash-Speichern häufig unberücksichtigt. Bei unseren Reviews finden wir oft fehlerhafte Implementationen der SSD-Löschkommandos.
Welche Sicherheitsarchitekturen sollten Hersteller von Medizinprodukten implementieren, damit dem Datenschutzaspekt Genüge getan ist?
Folgende Punkte sind für eine sichere Datenarchitektur und somit Sicherstellung des Datenschutzes wichtig: Modellierung (Hersteller-/Betreiber- beziehungsweise Patientendaten); Schutzbedarf (Integrität, Vertraulichkeit oder beides); Trennung/Kontrolle (Zuordnung der Daten gemäss Datenmodell zu separaten kryptografischen Domänen/Schlüsseln); Datenschutzkonzept (Inbetriebnahme, Zurücksetzen auf Werkseinstellungen, Updates); Logging (Was? Für wen? Integrität/Vertraulichkeit und Nachvollziehbarkeit); Import/Export (Integrität, Vertraulichkeit und Signaturen für Importfunktionalitäten bei Onlinesystemen).
Wie können Betreiber von Medizinprodukten erkennen, ob solche Sicherheitsarchitekturen implementiert sind?
Die Betreiber sind in der Verantwortung. Bei der Evaluation eines neuen Medizinprodukts, vor allem beim Reparatur- und Instandhaltungsprozess und dem damit oft verbundenen "Rücksetzen auf Werkseinstellung", muss bezüglich Datenschutz genau hingeschaut werden. Hier sollte aus unserer Sicht der Betreiber kritischer hinterfragen, indem er beim Hersteller detaillierte Angaben zum Verfahren des sicheren Löschens einfordert und diese prüft. Es nützt dem Patienten am Schluss wenig, wenn seine sensiblen Daten wegen eines Datenlecks öffentlich werden und sich Betreiber und Hersteller auf "Einhaltung der Regulatoren" und "Best Practice" berufen müssen.
Welche Verfahren zur sicheren Löschung von Daten auf Datenträgern von Medizinprodukten gibt es?
Die richtigen Verfahren sind abhängig von den eingesetzten Datenträgern, der vorhandenen Firmware und weiteren Faktoren. Aus unserer Sicht ist eine Kombination mit einem geeigneten, sicher implementierten kryptografischen Verfahren ein guter Weg. Vorteilhaft bei einem solchen Chiffrieransatz ist, dass der permanenten Löschung nicht Rechnung getragen werden muss. Es muss nur der verwendete kryptografische Schlüssel sicher gelöscht werden. Infolge der chiffrierten Daten wird dem Datenschutz optimal Rechnung getragen.
Was ist mit "hardware-nahen, performanten kryptografischen Verfahren" genau gemeint?
Darunter verstehen wir Verfahren, die das zeitliche Verhalten und die Performanz des Geräts als Ganzes infolge der implementierten kryptografischen Verfahren nicht negativ beeinflussen. Für diese Sicherheitsfunktionalität wird zusätzlich ein Chiffrierprozess für das Schreiben und ein Dechiffrierprozess für das Lesen der Daten benötigt. Unsere Erfahrungen bezüglich Minimierung der Performanz-Einbussen zeigen, dass die Hersteller die besten Resultate erzielen, wenn die benötigten Chiffrieroperationen bereits im Hardwaredesign berücksichtigt und in dezidierter Hardware implementiert werden.
In Österreich wäre die Krosse Krabbe dran
Update: Tiktoks letzte Stunde könnte bald in den USA schlagen
Forschende kreieren Exploits per GPT-4
Update: Die .swiss-Domain ist für alle verfügbar
Microsoft präsentiert kleines KI-Modell für Smartphones & Co.
Apple kündigt Event für den 7. Mai an
Gobugfree lanciert kostenloses VDP
Der Beitrag generativer künstlicher Intelligenz zu Web Accessibility
Huawei Digitaltruck tourt durch die Schweiz
