Lange Zeit interessierte sich die Nahrungs- und Arzneimittelbehörde der USA wenig für Sicherheitslücken in Software von medizinischen Geräten. Mit einem neuen Positionspapier scheint sich das zu ändern.
Die US-Nahrungsmittel- und Arzneimittelbehörde Food and Drug Administration (FDA) hat einen Richtlinien-Entwurf veröffentlicht, der darauf abzielt Hersteller von Medizintechnik zu mehr Sicherheit zu verpflichten. Die FDA beruft sich dabei auf sich häufende Berichte zu Hacks von medizinischen Geräten wie Herzschrittmachern, Defibrillatoren sowie Insulin- und Infusionspumpen. Laut dem Entwurf sollen Hersteller bei bereits zugelassenen Geräten schnell auf Sicherheitslücken reagieren und Informationen über solche Lücken verantwortungsvoll mit anderen Firmen und öffentlichen Behörden teilen.
Die FDA empfiehlt die Richtlinien der Standardisierungsbehörde NIST zur Absicherung kritischer Infrastruktur vor Cyberangriffen umzusetzen. Außerdem schreibt die Behörde nun vor, dass Hersteller sie informieren müssen, falls Sicherheitslücken in ihren Geräten "mit deutlicher Wahrscheinlichkeit ernstzunehmende Konsequenzen für die Gesundheit oder den Tod" eines Patienten zur Folge haben könnte. Kann die Lücke innerhalb von 30 Tagen geschlossen werden und zieht deswegen keine solchen Folgen nach sich, will die FDA nicht auf diese Informationspflicht bestehen.
Die Behörde erbittet innerhalb der nächsten 90 Tage Rückmeldung von betroffenen Firmen und Organisationen zu dem Richtlinien-Entwurf. Bisher hatte sich die FDA bei Sicherheitsprüfung von IT-Komponenten in medizinischen Geräten deutlich zurückgehalten. Diese Haltung scheint auf Grund verstärkter Berichterstattung über Sicherheitslücken in lebenswichtigen Geräten nun in der Umkehr begriffen zu sein.