Eid des Hippokrates für Medizintechnik

Eid des HippokratesZu Nutz und Frommen der Kranken: seit über 2000 Jahren dient der Eid des Hippokrates Ärzten als Richtschnur für ethisches Handeln. Brauchen Entwickler und Hersteller von Medizin-IT und Medizintechnik – angesichts rasanter Entwicklung auf diesem Gebiet, die gleichzeitig zu immer neuen Sicherheitslücken führt – einen eigenen hippokratischen Eid? Die Organisation The Cavalry, ein Zusammenschluss von IT-Sicherheitsexperten und interessierten Laien, findet: ja.
Die Gruppierung hat auf ihrer Webseite im Januar den „Hippocratic Oath for Connected Devices“ veröffentlicht. Dieser Eid, zu dem Ärzte, Hersteller, Entwickler und andere interessierte Parteien sich öffentlich auf der Webseite bekennen können, fordert die Beachtung von fünf Prinzipien:

Cyber Safety by Design: Bereits existierende Industriestandards sollten auch in der Medizintechnik durchgesetzt und ebenso bei der Auswahl von Lieferanten und Komponenten beachtet werden. Zugriff auf medizintechnische Devices über das Internet oder durch drahtlose Verfahren wie Bluetooth sollte sorgfältig gegen Eindringlinge gesichert werden, und Angriffsszenarien sollten vor Markteinführung eines Produkts durchgespielt werden.

Third-Party Collaboration: IT-Sicherheitsexperten und Benutzer von medizinischer Software sollten ermutigt werden, Bugs und Sicherheitslücken sofort an den Hersteller zu melden – gegebenenfalls auch durch finanzielle Anreize. Dies erleichtert es den Herstellern, Sicherheitslücken zu schließen, bevor sie von Angreifern ausgenutzt werden können.

Evidence Capture: Fehlfunktionen, Fehlbedienung oder bösartige Attacken auf ein System sollten gleichermaßen protokolliert und ausgewertet werden. Die Protokollierung sollte manipulationssicher sein und gleichzeitig nicht die Vertraulichkeit der verarbeiteten Patientendaten beeinträchtigen.

Resilience and Containment: Es sollten nur solche Kommunikationsschnittstellen aktiviert sein, die unbedingt notwendig sind oder zur Verbesserung der Funktion eines Geräts beitragen, da jede Schnittstelle auch ein potenzielles Angriffsziel ist. Patientendaten und Eingaben sollten manipulationssicher sein und auf Integrität beziehungsweise Plausibilität überprüft werden. Falsche Eingaben und andere Fehlfunktionen sollte das Gerät deutlich erkennbar machen, so dass auf sie reagiert werden kann und sie die Patientenversorgung nicht beeinträchtigen.

Cyber Safety Updates: Software-Updates sollten zügig und regelmäßig erfolgen. Der Update-Prozess sollte auf einem sicheren Weg erfolgen, so dass keine Manipulation von Dritten erfolgen kann, und sollte die Patientenversorgung nicht beeinträchtigen.

Wenn Kliniker und IT-Sicherheitsexperten zusammenarbeiten, so verspricht es The Cavalry, könnten sie gemeinsam schneller bessere und sicherere Outcomes erreichen*.

* Oder, um es in den Worten von Hippokrates zu sagen: „Wenn ich nun diesen Eid erfülle und nicht verletze, möge mir im Leben und in der Kunst Erfolg zuteil werden und Ruhm bei allen Menschen bis in ewige Zeiten; wenn ich ihn übertrete und meineidig werde, das Gegenteil.“


Nachtrag: Ich habe für I am the Cavalry den Hippocratic Oath for Connected Medical Devices ins Deutsche übersetzt – PDF hier.