Sichere SW-Entwicklung für Medizingeräte

Cybersicherheit für vernetzte Medizinprodukte und Software für Medizinprodukte

Heutzutage werden immer mehr diagnostische und therapeutische Funktionen "in silico" realisiert: Software wird zum Medizinprodukt. Medizinprodukte werden weltweit reguliert um Sicherheit, Zuverlässigkeit und Effektivität zu gewährleisten. Ein weiterer großer Trend ist die Vernetzung von Medizinprodukten. Leider gibt dies Angreifern die Möglichkeit, bestehende Schwachstellen auszunutzen. Daher legen die Regulierungsbehörden weltweit immer mehr Wert darauf, Sicherheit als integralen Bestandteil des Produktlebenszyklus zu betrachten, da ein manipuliertes Gerät zu schweren Schäden führen kann. Leider haben viele softwarebasierte Medizinprodukte grundlegende Sicherheitsprobleme, wie z. B. mit den eklatanten Schwachstellen in implantierbaren Herzschrittmachern und Insulinpumpen gezeigt wurde (Rios and Butts, 2018). Unser Modul spricht diese Mängel an und ermöglicht es den Lernenden, durch den Aufbau eines fundierten Basiswissens sichere Software für Medizinprodukte zu entwickeln.

Zielgruppe: Masterstudierende der Medizinischen Informatik und der Medizintechnik

Lernziele: In diesem Modul werden Sicherheitsmaßnahmen und Aktivitäten für jede Phase des Softwareentwicklungszyklus vorgestellt, behandelt und an einem Beispiel aus dem Bereich Medizinprodukte-Software eingeübt. Die behandelten Themen sind u. a.:

  • Sicherer SW-Entwicklungszyklus (z. B. der Microsoft Secure Development Lifecycle)
  • Spezifikationen von Sicherheitsanforderungen, Misuse-Cases und Attack Trees
  • Bedrohungsmodellierung und best practice Gegenmaßnahmen
  • Risikobasierte Einschätzung von Bedrohungen (z. B. nach der OWASP Risk Rating Methodology)
  • Wie man IT-Sicherheit in Anforderungsanalyse, Design und auf Code-Ebene umsetzt
  • Häufige Schwachstellen, grundlegende Sicherheitsdesign-Prinzipien und bewährte Sicherheitsverfahren
  • Hacking von anfälligen Anwendungen
  • Sichere Implementierung von kritischen Software-Bausteinen (z. B. 2-Faktor Authentifizierung), die häufig benötigt werden
  • Sicherheitstests
  • Sichere SW-Bereitstellung, sicherer Betrieb und Post-Market-Sicherheit

Einbettung Das Modul ist eingebettet in den kooperativen Masterstudiengang "Medizinische Informatik", der gemeinsam von der Hochschule Heilbronn und der Universität Heidelberg realisiert wird. Er war einer der ersten seiner Art, wurde 1972 gegründet und zählt bis heute mehr als 1.800 Alumni.

Literatur: Rios, B., and Butts, J. (2018). Understanding and Exploiting Implanted Medical Devices. Black Hat USA 2018, Las Vegas, Nevada, USA.