IT-Sicherheit in der Pharmabranche – sind die Medizinhersteller zu nachlässig?

Kritische Infrastruktur in der Pharmaindustrie nach BSI-Gesetz

Drei von vier Chemie- und Pharmaunternehmen (74 Prozent) wurden in den vergangenen zwei Jahren Opfer von Sabotage, Datendiebstahl oder Wirtschaftsspionage. Das ist das aktuelle Ergebnis einer Studie des Digitalverbands Bitkom.1 Die Bedrohung Opfer eines Cyberangriffs zu werden beschränkt sich selbstverständlich nicht nur auf den Gesundheitssektor. Trotzdem bringt dieser besondere Risiken mit sich. Im Gegensatz zu beispielsweise Infrastrukturen von Unternehmen oder auch Privatpersonen, stellen Angriffe auf die IT-Infrastrukturen im Gesundheitswesen möglicherweise eine echte, direkte Bedrohung für Menschen dar. Fällt zum Beispiel die IT in einem Krankenhaus aus, können wichtige Operationen nicht mehr durchgeführt werden, Patienteninformationen fehlen oder schlimmer noch, ein Angriff auf überlebensnotwendige Maschinen wie ein Beatmungsgerät kann dazu führen, dass ein Patient innerhalb von Minuten verstirbt. Im europäischen Gesundheitswesen gibt es im Gegensatz zu den USA bis jetzt nur wenige konkrete Regelungen, wie IT-Security im GMP- und medizinischen Umfeld gehandhabt werden muss.

Bis zum Ende dieses Jahres soll allerdings das IT-Sicherheitsgesetz mit der Verordnung zur Bestimmung kritischer Infrastrukturen dahingehend angepasst werden. Ein Entwurf dafür wurde bereits präsentiert. Darin enthalten ist beispielsweise, dass das BSI künftig nicht nur defensiven Schutz und Beratung leisten soll, sondern auch offensiv in IT-Systeme eindringen darf. Auch der EU-GMP Leitfaden Annex11 ist eine Reaktion darauf, dass die Anwendung computergestützter Systeme Alltag in den Firmen ist und die Komplexität dieser Systeme und ihre Vernetzung immer weiter zunimmt. Annex 11 stellt daher ergänzende Leitlinien zum EU-GMP Leitfaden mit speziellen Anforderungen an computergestützte Systeme auf. Zusätzlich ist die seit Mai 2018 gültige Datenschutzgrundverordnung (DSGVO) zu beachten. Sie stellt einen nicht unerheblichen Anspruch an die Datensicherheit personenbezogener Daten dar.

Neue Anforderungen an Produktionsanlagen

Durch die zunehmende Vernetzung und Anbindung von Produktionsanlagen an komplexe IT-Systeme bei den Produzenten und Lieferanten, wie auch mit Service-Firmen, Kunden oder speziellen Mitarbeitern in Service und Management, werden auch neue Anforderungen in Sachen Sicherheit von Anlagen und Maschinen hervorgerufen. Doch gerade in der Pharmabranche birgt die digitale Vernetzung von Produktionsanlagen große Herausforderungen in Bezug auf die Sicherheit. Dass hierbei noch Nachholbedarf besteht, bewies der Vorfall mit der Erpressersoftware Wannacry im Zuge dessen 48 Krankenhäuser Patientenbehandlungen einstellen mussten.2 Die Gesundheitsbranche ist vor allem deshalb für Hackerangriffe so interessant, weil medizinische Entwicklungen meist mit einem hohen Wettbewerbsvorteil und Umsätzen verbunden sind. Um die Sicherheit künftig im Gesundheitssektor zu optimieren, hat die Bundesregierung deshalb bereits im Juni 2017 die Verordnung zur Bestimmung Kritischer Infrastrukturen angepasst. Und, wie schon erwähnt, steht eine Neufassung des IT-Sig von 2015 gegen Ende 2019 wahrscheinlich ins Haus.

Unter anderem deswegen sind Krankenhäuser, Labore oder Pharmaunternehmen nun dazu verpflichtet, ihre Systeme an diese Verordnung anzupassen und abzusichern. Aber aufgepasst: obwohl es wegen anderer gültiger Gesetze den Rahmen hier sprengen würde, auch Unternehmen der Medizintechnikbranche unterliegen dem IT-Sig und der KritisV und können sich informieren!

Wie steht es um Ihre IT-Sicherheit? Können Sie die IT-Compliance zu jeder Zeit nachweisen?  Erfahren Sie jetzt in unserem Infopaper worauf es dabei ankommt:

Pflichtfelder sind mit einem Stern (*) markiert.

Anrede

Benutzeranmeldung

Geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein, um sich anzumelden. Pflichtfelder sind mit einem Stern (*) markiert.

Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an: t.karlewski@how2lifescience.com 

Kommentare

Noch nicht bewertet

Danke

Danke für dieses interessante Update. Als kleiner Schweizer CMO sind wir wahrscheinlich weniger betroffen, aber eine Aufstellung der kritischen IT Infrastruktur ist immer gut, und eine Anlehnung ans BSI auch.

Kommentar hinterlassen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Einverstanden