Safety versus Security auf der MedConf 2017

MEDCONF 2017

Vortrag: Safety versus Security - Dürfen Medizingeräte ins Internet gehen?

Referent: Stephan Strohmeier, FreshX GmbH im Auftrag der NewTec GmbH

Tag und Uhrzeit: Mittwoch, 18. Oktober 2017, 16:00 - 16:45 Uhr

Level: Einsteiger

Zielgruppe: Entscheider, Business- und Marketingverantwortliche, Projektleiter und Software-Entwickler

Abstract: Das IoT hat mittlerweile einen zweifelhaften Ruf. Auf der einen Seite stehen blumige Prognosen und Versprechungen steigender Produktivität durch die Vernetzung von medizinischen Geräten und Infrastruktur. Das führt jedoch laut Experten zu einem Sicherheitsrisiko. Undenkbar wenn IT-Ganoven lebenswichtige Medizingeräte kapern und damit Menschenleben gefährden.

Die Entwickler von Medizingeräten stehen dabei vor einem Dilemma: Sie müssen die Anforderung der Funktionalen Sicherheit (“Safety”) z. B. nach IEC 60601 mit den teils gegenläufigen Requirements der Computersicherheit (“Security”) ausbalancieren. So fordern die Apologeten der reinen “Safety-Lehre”, dass ein System möglichst geschlossen und unveränderbar sein soll, um Integrität und permanente Verfügbarkeit zu gewährleisten. Demgegenüber steht die Ansicht der “Security-Evangelisten”, die verlangen, dass ein Gerät permanenten Änderungen ausgesetzt sein muss, um neu entdeckte Sicherheitslücken schnell schließen zu können.

Dabei dürfte auch jedem Laien klar sein: Ein funktional sicheres Gerät ist nicht mehr vertrauenswürdig, sobald ein feindlicher Hacker die Kontrolle übernommen hat. Safety und Security hängen somit eng zusammen.

Was lernen die Zuhörer in dem Vortrag? Wie also vorgehen, um diesem oben genannten Dilemma zu entgehen? In unserem Vortrag stellen wir die Frage, ob und wie Medizingeräte ans Internet angeschlossen werden sollen. Wir schlagen eine neuartige Vorgehensweise für Entwickler sicherheitskritischer Systeme vor, die einen ganzheitlichen Blick auf die teils gegenläufigen Anforderungen der Funktionalen Sicherheit und der IT-Security ermöglicht. Darüber hinaus stellen wir eine hochgradig gehärtete, kryptografisch geschlossene Infrastruktur zur Verwaltung und Instandhaltung medizinischer Geräte vor.

Und schließlich zeigen wir, welche Lektionen wir aus konkreten Projekten mit Medizingeräteherstellern gelernt haben und welche Anforderungen sich dadurch an zukünftige Entwicklungen ableiten lassen.