04K01 Klassifizierung von IT-Security-Risiken – Blick über den Tellerrand
|
Die Nichteinhaltung einer Safety-Vorgabe (Betriebssicherheit) kann zu einer Verletzung (Wunde) führen. Dass damit ein Schaden einhergeht, der quantifiziert werden kann, ist offensichtlich und anerkannt, wenngleich die Bewertung der Höhe eines solchen Schadens Raum für Interpretationen und Diskussionen bietet.
Doch auch die Verletzung der Security (Informationssicherheit) kann zu einem Schaden führen. Dabei ergeben sich zwei Aspekte: Zum einen kann das Ausnutzen einer Security-Schwachstelle zu einem Schaden führen. Beispiel: Eine nicht autorisierte Person führt einen Vorgang an einem Medizinprodukt aus, der zu einer Verletzung des Patienten (oder von Anwendern bzw. Dritten) führt. Zum anderen kann sich aber bereits aus dem Zugriff auf Daten und Informationen ein Schaden ergeben. Beispiel: Eine nicht autorisierte Person greift auf vertrauliche (Patienten-)Informationen zu.
Die Informationssicherheit rückt mit Erscheinen und Inkrafttreten der Medizinprodukteverordnung (MPV) (engl. Medical Device Regulation – MDR) in den Fokus des Risikomanagements. Dieser Beitrag beschreibt, wie ein Schaden bemessen und nachvollziehbar dokumentiert werden kann. Arbeitshilfen: von: |
1 Abgrenzung
Safety-Schutzklassen
Die im Bereich der Medizintechnik verwendeten Software-Sicherheitsklassen, wie sie in der IEC 62304 [1] definiert sind, beziehen sich spezifisch auf Risiken, die eine physische Verletzung oder Schädigung der Gesundheit von Menschen oder eine Schädigung von Gütern oder der Umwelt darstellen, die mit einer Softwarefehlfunktion verbunden sind. Das ergibt sich direkt aus Definition 3.8 „Schaden” in IEC 62304, die sich auf ISO 14971:2007 bezieht. Beachten Sie jedoch, dass in der mittlerweile in neuer Ausgabe erschienenen ISO 14971 der Schadensbegriff geändert und das Wort „physische” gestrichen wurde. Dadurch (und durch die Detaillierung im Scope) ist EN ISO 14971:2019 auch für Betrachtungen bzgl. Security anwendbar.
Die im Bereich der Medizintechnik verwendeten Software-Sicherheitsklassen, wie sie in der IEC 62304 [1] definiert sind, beziehen sich spezifisch auf Risiken, die eine physische Verletzung oder Schädigung der Gesundheit von Menschen oder eine Schädigung von Gütern oder der Umwelt darstellen, die mit einer Softwarefehlfunktion verbunden sind. Das ergibt sich direkt aus Definition 3.8 „Schaden” in IEC 62304, die sich auf ISO 14971:2007 bezieht. Beachten Sie jedoch, dass in der mittlerweile in neuer Ausgabe erschienenen ISO 14971 der Schadensbegriff geändert und das Wort „physische” gestrichen wurde. Dadurch (und durch die Detaillierung im Scope) ist EN ISO 14971:2019 auch für Betrachtungen bzgl. Security anwendbar.
Die Software-Sicherheitsklassen stellen somit Safety-Schutzklassen dar und lassen sich – in Grenzen – mit den Safety Integrity Levels (SIL) aus der funktionalen Sicherheit wie in IEC 61508-3 [2] beschrieben vergleichen.
Neben der in diesem Beitrag beschriebenen Vorgehensweise sind im Bereich der IT-Sicherheit weitere Verfahren bekannt und etabliert. Im Umfeld der Grundschutzvorgehensweisen des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird dazu beispielsweise ebenfalls von Schutzbedarfsklassen gesprochen, in der Regel aber nur mit einer dreistufigen Klassifizierung (niedrig, mittel, hoch). Nur bis zur Schutzklasse „mittel” darf man sich dann auf allgemeine Grundschutzmaßnahmen verlassen, für die Schutzklasse „hoch” müssen eine dedizierte Risikoanalyse und eine spezifische Maßnahmendefinition und -bewertung erfolgen.
