Sicherheit von Anfang an: Integration von Security in den Entwicklungsprozess mechatronischer Systeme

Die Entwicklung von Medizinprodukten birgt viele Herausforderungen, insbesondere wenn es um die Sicherheit geht. Um die Kontrolle über sensible Gesundheitsdaten zu garantieren und die Sicherheit von Patienten zu gewährleisten, ist es für Medizinproduktehersteller und Entwickler von grösster Bedeutung, die Cybersicherheit als integralen Bestandteil der Entwicklung zu berücksichtigen und sie in allen Produktlebensphasen entsprechend umzusetzen. «Security by Design» setzt genau da an.

Cyber Security Integration Entwicklungsprozess mechatronische Systeme

Herausforderungen erkennen und Sicherheitsrisiken gezielt managen

Medizinprodukte, die miteinander kommunizieren, sind wichtige Bestandteile der modernen Gesundheitsversorgung. Obwohl die Vernetzung unbestreitbare Vorteile bietet, hört man in den Medien immer wieder von Systemen mit erheblichen Mängeln und von Hackerangriffen. Schwachstellen bei IoT-Devices können fatale Konsequenzen haben und im schlimmsten Fall das Leben der Patienten gefährden. Für sichere und performante Medizinprodukte während ihres gesamten Lifecycles stellen sich einige Herausforderungen:

  • Regulatorische Anforderungen: Es kann schwierig sein, den Überblick über alle Anforderungen und Normen zu behalten und diese richtig anzuwenden. Zurzeit ist in der Medtech-Branche in diesem Bereich nur wenig Erfahrung vorhanden. Besonders für Unternehmen, die neu in der Branche sind, ist diese Tatsache eine grosse Herausforderung. Eine Möglichkeit, diese zu bewältigen, besteht darin, frühzeitig mit Experten zusammenzuarbeiten, die über Erfahrung in der Entwicklung von Medizinprodukten verfügen und sich mit den entsprechenden regulatorischen Anforderungen auskennen.
  • Richtige Balance und Abwägung: Einerseits sind Sicherheitsmassnahmen in der Medizinprodukteentwicklung unerlässlich, um die Patientensicherheit und die Integrität von Patientendaten zu gewährleisten. Andererseits können zu viele Sicherheitsmassnahmen die Benutzerfreundlichkeit des Medizinprodukts beeinträchtigen. Eine umfassende Risikobewertung sowie sorgfältige Abstimmung der Sicherheitsmassnahmen und Usability ist deshalb unerlässlich, um ein ausgewogenes Verhältnis zu gewährleisten.
  • Entwickler: Wichtig ist auch, dass Entwickler über die erforderlichen Kenntnisse sowie Fähigkeiten verfügen und so sicherheitsrelevante Funktionen in das Produkt integrieren. Um diese Schwierigkeit zu überwinden, können Entwickler durch Training-Programme und Coaching geschult werden, um sicherzustellen, dass sie das notwendige Wissen und Fähigkeiten besitzen.
  • System-Architektur: Für eine ganzheitliche und sichere Architektur, gilt es Entscheidungen bezüglich Technologie, Design und Third-Party-Komponenten bewusst zu fällen und zu dokumentieren. Dabei ist es wichtig, das Bewusstsein für „Security by Design“ zu schärfen und bewährte Methoden und Algorithmen einzusetzen. Ebenfalls beeinflussen die Organisation und Struktur die System-Architektur und müssen berücksichtigt werden.

Ein weiterer wichtiger Bestandteil im Entwicklungsprozess von Medizinprodukten ist die Security Risikoanalyse. Dabei werden potenzielle Bedrohungen und Schwachstellen im System identifiziert, bewertet und geeignete Massnahmen zur Risikominimierung definiert. Eine frühzeitige Durchführung der Risikoanalyse ermöglicht es, Sicherheitsprobleme frühzeitig zu erkennen und entsprechend zu reagieren. Später stellt die Design Verifikation sicher, dass das Produkt entsprechend den zuvor definierten Anforderungen entworfen und implementiert wurde. Ein durchdachtes und gut dokumentiertes Design ist unerlässlich und unterstützt dabei, die Sicherheit des Produkts während des gesamten Produktlebenszyklus unterhalten zu können.

Eine durchgängige Überwachung des Produktlebenszyklus ist unerlässlich

Abschliessend kann festgehalten werden, dass bei der Entwicklung von Medizinprodukten die Einhaltung der Regularien und Normen sowie die Berücksichtigung von Security-Risiken und abgeleiteten Anforderungen essenziell sind. Eine frühzeitige Impact-Analyse und Threat-Modeling ermöglicht eine gezielte Sicherheitsarchitektur und hilft, mögliche Sicherheitsrisiken von Anfang an zu minimieren und das Vertrauen der Anwender in das Produkt zu stärken. Da sich Bedrohungen im Laufe der Zeit verändern können, ist es wichtig, den Markt zu überwachen und die Sicherheitsmassnahmen während des gesamten Produktlebenszyklus fortzuführen sowie das Produkt gegebenenfalls anzupassen. Es liegt also in der Verantwortung des Inverkehrbringers und des Betreibers, ein ausreichendes Mass an Sicherheit zu gewährleisten, um Patienten und medizinisches Personal zu schützen sowie die Sicherheit der Produkte sicherzustellen. Security-Anforderungen müssen deshalb ein integraler Bestandteil im Entwicklungsprozess von mechatronischen Systemen sein.

Als interdisziplinärer Dienstleister mit erfahrenen, kompetenten Mitarbeitenden kann konplan Sie ganzheitlich bei Ihren Projekten unterstützen – schauen Sie sich unser Portfolio an oder nehmen Sie mit uns Kontakt auf.
______________________________________________________________________________

Autoren:

Ivo Locher, Program Manager (in Zusammenarbeit mit Manuela Scavelli, Texterin)

Wir sind für Sie da – senden Sie uns Ihre Anfrage!

gemeinsames entwickeln! Wir setzen Ihre Ideen in die Tat um und begleiten Ihre Vorhaben bis zur Marktreife. Nehmen Sie jetzt Kontakt mit unseren Experten auf.