Noch bevor Donald Trump letzten Freitag als 45. Präsident der USA vereidigt wurde, hat die US-amerikanische FDA die endgültige Version ihrer Leitlinie zum Schutz von Medizinprodukten wie Herzschrittmachern und Insulinpumpen vor Cyberattacken veröffentlicht (offiziell am 28. Dezember 2016).

Das Thema der Datensicherheit bei Medizinprodukten, die mit dem Internet verbunden sind, haben wir auch hier im Blog schon öfter thematisiert. Laut FDA sind die Bedrohungen durch Cyberattacken real, immer präsent und ändern sich kontinuierlich. „Digitale Konnektivität steht für große Innovation in der Medizintechnik – aber die Datensicherheit muss mit dieser Entwicklung Schritt halten“ heißt es in der Ankündigung und weiter: „Alle Stakeholder im medizintechnischen Umfeld müssen zusammenarbeiten und die Sicherheit bereits bei der Entwicklung der Produkte einfliessen lassen.“

Konkret fokussiert das Papier auf drei Punkte:

• Medizinische Geräte brauchen eine Routine, die alle Zugriffe (erlaubt wie unerlaubt) dokumentiert.
• Ein firmenübergreifendes Dokumentationssystem für berichtete Sicherheitslücken muss etabliert werden.
• Erkannte Sicherheitslücken müssen vom Hersteller umgehend geschlossen werden.

All das ist in der Software-Industrie längst Standard – und es wirft kein besonders gutes Licht auf die Entwicklung in den USA, wenn die FDA die Industrie zu diesem Standard nötigen muss.

FDA-Guideline „ Postmarket Management of Cybersecurity in Medical Devices. Guidance for Industry and Food and Drug Administration Staff“.