Normen und Richtlinien
Welche Normen und welche Richtlinien gibt es im Bereich Cyber Security für die Medizintechnik? Die Rechtsgrundlage für Medizinprodukte und damit auch für medizinische Software sind die europäische Medizinprodukteverordnung (EU) 2017/745 (MDR) sowie In-vitro-Diagnostika-Verordnung (EU) 2017/746 (IVDR). Doch wie geht es hier weiter?
Risiko Management
Das Risikomanagement ist die Basis für Cyber Security - doch wie halte ich das Risikomanagement aktuell? Welche Kosten muss ich einplanen? Wie gestalte ich das Risikomanagement, dass kurzfristig notwendige Änderungen sofort vorgenommen werden können?
Connected Devices
Wie sichere ich die Kommunikation zwischen diversen Medical Devices untereinander ab? Wer kennt welches Passwort? Wie entdecke und vermeide ich fest codierte Passwörter? Wie integriere ich einen kontinuierlichen Indetitätscheck?
Denken wie ein Hacker
Schon zu Beginn der Risikoanalyse muss die oberste Prämisse sein: Denken wie ein Hacker, nicht wie ein Software- oder System Ingenieur - nur so finden Sie die echten Schwachstellen.
Rechtliche Aspekte
Die von der EU kürzlich überarbeitete NIS-Richtlinie (NIS2) sieht vor, dass künftig die Unternehmensführung von Medizintechnik Unternehmen persönlich haften sollen. Als Maßstab werden dabei die Lösegeldforderungen angesetzt, die Ransomware-Kriminelle bei Erpressungsversuchen mit Verschlüsselungstrojanern verlangen. Das können Geldbußen bis zu 2% des Jahresumsatzes sein. Was bedeutet das künftig für den Stellenwert von Cyber Security in der Medizintechnik?
Update Management
Gerade bei medizinischen Geräten ist der Spagat zwischen ``Gerät muss laufen`` und ``Sicherheits-Updates zeitnah deployen und Sicherheitslücken beim Kunden schließen`` nicht so einfach. Das Erkennen der Sicherheitslücken (zum Beispiel über CVE-Tracking) ist dabei nur ein Aspekt, wichtig sind auch sichere OTA-Updates vernetzter Geräte sowie generelle Deploy und Release Konzepte.