DIN EN ISO 11073-40102:2022-07

Viele persönliche Gesundheitsgeräte (PHDs, englisch: Personal Health Devices,) und patientennahe medizinische Geräte (PoCDs, englisch: Point-of-Care Devices) bieten lebenswichtige Unterstützung für Menschen, die mit chronischen Krankheiten leben oder ein lebensbedrohliches medizinisches Vorkommnis erleben. Cybersicherheitsangriffe auf anfällige Geräte können zur Änderung der verordneten Therapie (zum Beispiel Schlafapnoe-Atemtherapie, Insulintherapie) oder zur Offenlegung von Informationen führen, die zu Versicherungs- oder Identitätsbetrug oder zu direktem oder indirektem Schaden für Patienten führen. Unternehmen, die einem erfolgreichen Cybersicherheitsangriff ausgesetzt sind, können finanziellen Schaden und einen negativen Ruf erleiden. Von den Herstellern von PHDs/PoCDs kann verlangt werden, dass sie die End-zu-End-Informationssicherheit der Anwendungsebene unterstützen. Der PHD/PoCD-Datenaustausch darf über einen nicht vertrauenswürdigen Transport erfolgen. Außerdem dürfen Anforderungen für mehrere Zugriffskontrolllevel existieren (zum Beispiel eingeschränkter Lesezugriff, eingeschränkter Schreibzugriff, vollständiger Lesezugriff, vollständiger Schreibzugriff, vollständige Zugriffskontrolle). Die meisten PHDs/PoCDs haben begrenzte Ressourcen (zum Beispiel Verarbeitungsleistung, Speicher, Energie). Beim derzeitigen standardisierten PHD/PoCD-Datenaustausch wird angenommen, dass der Austausch durch andere Mittel, wie einen sicheren Transportkanal, gesichert ist. Diese Annahme erfordert, dass die Hersteller Lösungen festlegen, zum Beispiel durch Erweiterungen oder die Verwendung von Mechanismen auf der Transportschicht. Solche Lösungen schränken die Verwendung von PHD/PoCD-Datenaustauschstandards ein und schränken die Interoperabilität ein. Im Kontext der sicheren Plug-and-play-Interoperabilität ist Cybersicherheit der Prozess und die Fähigkeit, den unbefugten Zugriff oder die unbefugte Änderung, den Missbrauch, die Verweigerung der Nutzung oder die unbefugte Nutzung von Informationen zu verhindern, die auf einem PHD/PoCD gespeichert sind, auf die auf einem PHD/PoCD zugegriffen wird oder die auf ein und von einem PHD/PoCD übertragen werden. Der Teil der Cybersicherheit, der die Möglichkeiten der Schadensbegrenzung betrifft, dient der Steuerung der Informationssicherheit in Bezug auf digitale Daten und die Beziehungen zur Sicherheit und Nutzbarkeit. Für PHDs/PoCDs legt diese Norm eine Sicherheitsgrundlage für Cybersicherheit durch Beschreibung von Techniken zur Schadensbegrenzung auf der Anwendungsschicht für bestimmte Anwendungsfälle oder für Zeiten, in denen bestimmte Kriterien erfüllt sind, fest. Diese Norm bietet einen skalierbaren Werkzeugkasten für die Informationssicherheit, der für PHD/PoCD-Schnittstellen geeignet ist und die Anforderungen und Empfehlungen des National Institute of Standards and Technology (NIST) und der European Network and Information Security Agency (ENISA) erfüllt. Diese Norm entspricht dem NIST Rahmenwerk zur Cybersicherheit [B15], IEC TR 80001 22 [B8] und dem Klassifizierungsschema STRIDE: - Identitätsverschleierung (englisch: Spoofing); - Manipulation (englisch: Tampering); - Verleugnung (englisch: Repudiation); - Verletzung der Privatsphäre oder Datenpanne (englisch: Information Disclosure); - Verweigerung des Dienstes (englisch: Denial of Service) und - Rechteausweitung (englisch: Elevation of Privilege). Die Abwehrtechniken basieren auf dem erweiterten CIA-Dreiklang und werden allgemein beschrieben, damit die Hersteller die am besten geeigneten Algorithmen und Implementierungen bestimmen können. Für diese Norm ist das Gremium NA 063-07-02 AA "Interoperabilität" bei DIN zuständig.