Dienstag 23. Oktober 2018 von Prof. Dr. Christian Johner

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu drei Guidance Dokumente veröffentlich, die sich an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.
  1. Das FDA Guidance Dokument „Cybersecurity in Medical Devices“ wendet sich an alle Medizinproduktehersteller, der Produkte Software enthalten oder eigenständige Software sind. Der Fokus liegt auf der Entwicklungsphase (Pre-Market).
  2. Das Dokument „Postmarket Management of Cybersecurity in Medical Device“ schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung.
  3. Das Dokument „Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software“ ist lediglich ein FAQ.

Update: Die FDA hat einen Entwurf für ein Update des Pre-Market Cybersecurity Guidance Documents verfasst. Was die FDA darin fordert, finden Sie hier zusammengefasst.
Cybersecurity in Medical Devices: FDA Guidance Dokumente | Beitrag lesen »


Donnerstag 13. September 2018 von Prof. Dr. Christian Johner

Lastenheft und Pflichtenheft, Systemspezifikation und Systemanforderungen

Die Vorstellungen darüber, was diese Lastenhefte und Pflichtenhefte enthalten müssen, gehen weit auseinander – manchmal auch innerhalb einer Firma.

Regelmäßig beobachtet das Johner Institut, dass die beiden Dokumente die verschiedenen Anforderungstypen nicht konsequent unterscheiden.

Lastenheft und PflichtenheftNur in der Granularität und dem Detailgrad unterscheiden sie sich. Schon aus regulatorischer Sicht sollten Sie die Begriffe Lastenheft und Pflichtenheft gegeneinander abgrenzen.

Lastenheft und Pflichtenheft | Beitrag lesen »


Mittwoch 5. September 2018 von Prof. Dr. Christian Johner

Zum 09. Februar 2015 hat die FDA den Entwurf zu den Medical Device Data Systems MDDS in ein finales Dokument überführt. Dieser Beitrag beschreibt, was ein MDDS ist und welche regulatorischen Anforderungen Sie diesbezüglich erfüllen müssen.

Update: Der 21st Century Cures Act hat die Definition von Medizinprodukten geändert. MDDS fallen damit meist nicht mehr unter die Definition eines Medizinprodukts!

MDDS: Medical Device Data Systems | Beitrag lesen »


Mittwoch 11. Juli 2018 von Prof. Dr. Christian Johner

Das V-Modell ist ein Entwicklungsprozessmodell, das ursprünglich für staatliche Projekte entwickelt wurde.

Das V-Modell unterscheidet sich vom Wasserfall-Modell dadurch, dass bereits während der konstruktiven Phasen (z.B. während dem Schreiben der Anforderungen oder dem Entwerfen der Architektur) die zugehörigen Tests spezifiziert werden müssen.

Das hat den Vorteil, dass unvollständige Spezifikationen frühzeitig erkannt werden, auch dadurch, dass die für das Testen verantwortlichen Personen mit eingebunden werden.

V-Modell vs. Wasserfallmodell für Hardware- und Softwareentwicklung | Beitrag lesen »


Sonntag 13. Mai 2018 von Prof. Dr. Christian Johner

Viele Lastenhefte und Pflichtenhefte unterscheiden sogenannte funktionale Anforderungen und nicht-funktionale Anforderungen. Funktionale Anforderungen sind Anforderungen mit Bezug zur Zweckbestimmung des Produkts. Zu den nicht-funktionale Anforderungen zählen Anforderungen wie die Zuverlässigkeit und das Zeitverhalten.

Funktionale Anforderungen versus nicht-funktionale Anforderungen | Beitrag lesen »


Donnerstag 10. Mai 2018 von Prof. Dr. Christian Johner

Software-Systeme sollten aus Komponenten bestehen, die über Software-Schnittstellen miteinander kommunizieren.

Dieser Artikel beschreibt, wie Sie Software-Schnittstellen dokumentieren können. Dabei zeigt er Konzepte, die sich nicht nur auf interne und externe Software-Schnittstellen, sondern auch auf Hardware-Schnittstellen übertragen lassen.

Software-Schnittstellen: Beschreibung konform IEC 62304 | Beitrag lesen »


Donnerstag 18. Januar 2018 von Prof. Dr. Christian Johner

Das IMDRF (International Medical Device Regulators Forum) möchte zur Harmonisierung der international unterschiedlichen Vorschriften beitragen und dadurch die Zulassung von Medizinprodukten vereinheitlichen und vereinfachen. Dazu veröffentlichen die Freiwilligen des IMDRF Leitfäden, die zwar nicht verbindlich sind, aber Hilfestellungen geben. In diesem Artikel stelle ich Ihnen v.a. die Leitfäden mit Bezug zur Software „as a Medical Device“ vor.

IMDRF: Neues vom International Medical Device Regulators Forum | Beitrag lesen »


Dienstag 16. Januar 2018 von Prof. Dr. Christian Johner

Fuzz-Testing ist eine Methode zur Identifizierung bisher nicht-erkannter Schwachstellen und Sicherheitslücken in Software (stand-alone oder embedded), die die Schnittstellen der Systeme automatisiert mit korrekten oder falschen Werten testet.

Fuzz-Testing: IT-Sicherheit von Produkten bewerten | Beitrag lesen »


Freitag 12. Januar 2018 von Prof. Dr. Christian Johner

Unter einem Security Patch versteht man eine Nachbesserung an einer Software, um eine Sicherheitslücke zu stopfen. Für einen Security Patch gelten teilweise andere regulatorische Anforderungen als an andere Software Updates. Auf was Sie achten müssen, erfahren Sie in diesem Beitrag.

Security Patches – aus der regulatorischen Brille betrachtet | Beitrag lesen »


Dienstag 9. Januar 2018 von Prof. Dr. Christian Johner

Der UL 2900-2-1 nennt sich „Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems“. Er zählt zur UL-2900-Familie, der Normenfamilie zur IT-Security.

Lesen Sie in diesem Artikel, welche Schwächen der Standard hat und unter welchen Umständen er Ihnen dennoch nützlich sein kann.

UL 2900 – weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten | Beitrag lesen »

Seite 2