Pentests für Medizinprodukte im Kontext der MDR (Medical Device Regulation)

Einführung

Die Medical Device Regulation (MDR) stellt Anforderungen an die Sicherheit von Medizinprodukten, insbesondere wenn diese Software enthalten oder selbst softwarebasiert sind.

Im Anhang I der Verordnung wird unter Punkt 17.2 gefordert, dass Software nach dem Stand der Technik entwickelt und hergestellt wird. Dabei sind insbesondere folgende Aspekte zu berücksichtigen:

• Software-Lebenszyklus
• Informationssicherheit
• Verifizierung und Validierung

Aus Perspektive der IT-Sicherheit bedeutet dies, dass Hersteller nachweisen müssen, dass ihre Produkte gegen relevante Bedrohungen abgesichert sind und sicher funktionieren.

Leitfaden zur Cybersicherheit für medizinische Geräte

Die regulatorische Anforderung selbst nennt keine konkreten Prüfverfahren. Eine Konkretisierung erfolgt jedoch durch das Dokument MDCG 2019-16 (Guidance on Cybersecurity for medical devices).

Dieses Dokument beschreibt, dass Verifizierung und Validierung primär durch Tests erfolgen sollen, und nennt explizit verschiedene Methoden der Sicherheitsprüfung:

• Security Feature Testing
• Fuzz Testing
• Vulnerability Scanning
• Penetration Testing

Penetrationstests werden dabei als eine Möglichkeit eingeordnet, reale Angriffsszenarien zu simulieren und die Wirksamkeit von Sicherheitsmaßnahmen praktisch zu überprüfen.

Vorgehensweise in der Praxis

Die regulatorischen Anforderungen definieren das Ziel, nicht jedoch eine standardisierte Methodik. In der Praxis ist die Durchführung von Penetrationstests für Medizinprodukte stark vom jeweiligen Gerät und dessen Einsatzkontext abhängig.

Medizinprodukte bestehen häufig aus komplexen Systemen, beispielsweise:

• Sensoren und Messgeräte
• Embedded Systeme (häufig auf Basis von Linux)
• Kabellose Kommunikation wie Bluetooth, RFID oder WLAN
• Backend-Systeme wie Server-Infrastrukturen, Cloud-Dienste oder mobile Apps

Aufgrund dieser Heterogenität ist jeder Penetrationstest ein individueller Einzelfall. Die konkrete Vorgehensweise wird initial gemeinsam mit dem Hersteller definiert.

Typische leitende Fragestellungen sind:

• Kann die Gesundheit eines Patienten durch direkte Manipulation des Geräts beeinträchtigt werden?
• Können Messdaten manipuliert werden, sodass falsche medizinische Entscheidungen getroffen werden?
• Sind Gesundheitsdaten entlang der gesamten Verarbeitungskette angemessen geschützt?

Daraus ergeben sich typische Prüfbereiche und Angriffsvektoren:

• Analyse kabelloser Kommunikationsschnittstellen
• Physischer Zugriff und Öffnen des Geräts zur Identifikation interner Schnittstellen (z. B. JTAG, UART)
• Untersuchung von Embedded Systemen und Firmware
• Analyse von Backend-Systemen einschließlich Webanwendungen und APIs

Ziel ist es, reale Angriffsszenarien entlang der gesamten technischen Architektur abzubilden und deren Auswirkungen auf Patientensicherheit und Datenschutz zu bewerten.

Bedeutung für Hersteller

Für Hersteller von Medizinprodukten ergibt sich daraus, dass Penetrationstests ein geeignetes Mittel sind, um regulatorische Anforderungen zu unterstützen. Sie dienen insbesondere dazu, Sicherheitsmaßnahmen praktisch zu validieren, Risiken nachvollziehbar zu bewerten und regulatorische Nachweise zu stärken.

Penetrationstests sind somit kein explizit namentlich verpflichtender Bestandteil der MDR, werden jedoch im Kontext der geforderten Verifizierung und Validierung als relevante und empfohlene Methode betrachtet.

In der Praxis fordern benannte Stellen im Rahmen der Konformitätsbewertung in der Regel entsprechende Nachweise zur Sicherheitsprüfung. Penetrationstests werden dabei häufig erwartet, insbesondere bei softwarebasierten oder vernetzten Medizinprodukten, da sie die Widerstandsfähigkeit gegenüber realistischen Angriffsszenarien nachvollziehbar belegen.