Gibt es für das Gerät ein Back-up-System? Eine Fehlfunktion außerhalb der Klinik wäre sicherlich fatal.
Karch: Ja, das ist ein sehr wichtiges Thema bei so einem Gerät. Das Risikomanagement betrachtet genau solche Überlegungen: Was passiert, wenn eine Komponente ausfällt? Aus diesen Gründen werden in das System Redundanzen eingebaut. Zum Beispiel ist die Energieversorgung mehrfach redundant. Das heißt, wenn ein Teil ausfällt, springt ein anderes ein. Auch das Pumpensystem ist redundant, sodass der Blutfluss stets gewährleistet ist.
All diese Überlegungen sind Teil unserer Entwicklungsarbeit für die Software. Wir überlegen immer genau, was schiefgehen könnte. Welche Fehler könnten eintreten? Um schon vorausschauend Funktionen einzubauen, die einen Schaden verhindern.
Wie stellen Sie dabei den Schutz der Software sicher?
Karch: Gerade haben wir über die Sicherheit im Sinne der funktionalen Sicherheit gesprochen, also zum Beispiel den Ausfall eines Geräts. Mittlerweile ist tatsächlich auch die IT-Sicherheit ein großes Thema. Wir müssen die Software schützen, zum Beispiel vor einem Angriff von außen. Wir sehen dies als integralen Bestandteil der gesamten Softwareentwicklung. Das heißt, wir betrachten diesen Aspekt in allen Phasen der Softwareentwicklung bis hin zur Verifizierung.
Zentral ist, dass wir ein sogenanntes Bedrohungsmodell erstellen. Daraus leiten wir notwendige Schutzfunktionen für die Software ab.
Mit diesem Vorgehen setzen wir die Norm IEC 81001-5-1 um, welche die Sicherheit im Software-Lebenszyklus bei medizinischen Geräten definiert. Dabei entsteht natürlich einiges an Dokumentation. Diese verwenden wir als Nachweis, dass wir nach aktuellem Stand der Technik die Software gut geschützt haben.