Health IT & Medizintechnik

Donnerstag, 30. Juni 2022 | Christian Rosenzweig

IT-Sicherheit im Gesundheitswesen

Wie gefährdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher drängen die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten.

In diesem Artikel erhalten Sie einen Überblick darüber, was die IT-Sicherheit im Gesundheitswesen gefährdet und was Sie dagegen tun können und müssen. Damit wird es Ihnen gelingen, regulatorischen Ärger zu vermeiden und Produkte sicher zu entwickeln und zu betreiben.

Update: Im Kapitel 3. a) die aktuellen Veröffentlichungen des BSI eingefügt. Das verschafft Ihnen einen schnellen Überblick über 120 Seiten.

Beitrag lesen

Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Montag, 23. Mai 2022 | Prof. Dr. Christian Johner

Threat Modeling – eine Einführung

Das Threat Modeling ist für Sie ein „Pflichtthema“, wenn Sie Medizinprodukte herstellen, die Software enthalten oder die Software sind. Denn das Threat Modeling ist ein strukturierter Prozess zur systematischen Analyse von IT-Sicherheitsrisiken, den Auditoren als den „Stand der Technik“ voraussetzen.

Beitrag lesen

Software & IEC 62304

Dienstag, 26. Oktober 2021 | Christian Rosenzweig

IEC 81001-5-1: Die Norm für sichere Health-Software

Die Cybersecurity-Norm IEC 81001-5-1 befasst sich damit, wie IT-Sicherheit im Software-Lebenszyklus berücksichtigt werden muss. 

Als spezielle Norm für Gesundheitssoftware ergänzt sie unter anderem die IEC 82304-1 bzw. die IEC 62304 und kann Lücken schließen, die dringend geschlossen werden müssen. Die EU plant die Harmonisierung der IEC 81001-5-1 derzeit mit Zieldatum 24. Mai 2024.

In diesem Beitrag erfahren Sie:

  • ob die IEC 81001-5-1 für Sie relevant ist,
  • was die Norm fordert, 
  • ob dadurch doppelte Arbeit wegen Überschneidungen z. B. mit der IEC 62304 entsteht und
  • wie die IEC 81001-5-1 insgesamt zu bewerten ist.
Beitrag lesen

Risikomanagement & ISO 14971

Mittwoch, 24. Februar 2021 | Christian Rosenzweig

Dritte Ausgabe der ISO 14971 – Was sich ändert

Die dritte Ausgabe der ISO 14971 steht seit Dezember 2019 bereit.

Die neue Version der ISO 14971 wurde als ISO 14971:2019 publiziert. Sie ist eine evolutionäre Weiterentwicklung der ISO 14971:2007 und bricht nicht mit den bisherigen Konzepten.
 

Hersteller sollten sich mit den neuen und geänderten Anforderungen dieser Norm vertraut machen. Noch im Dezember 2019 hat die FDA die 3. Ausgabe Norm der ISO 14971 anerkannt. Mehr zu den Übergangsfristen weiter unten.

Beitrag lesen

Software & IEC 62304

Donnerstag, 4. Februar 2021 | Christian Rosenzweig

CVSS Common Vulnerability Scoring System

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen.

Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich überwachen, um Risiken für Ihre Produkte einschätzen und beherrschen zu können. Das hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.

Beitrag lesen

Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Mittwoch, 3. Februar 2021 | Christian Rosenzweig

IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?

Die Normenfamilie IEC 60601 ist eigentlich nur für medizinisch elektrische Geräte anzuwenden. Doch die IEC 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im „Scope“, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device.

Erfahren Sie, welche Anforderungen die IEC 6TR 0601-4-5 an Hersteller und Betreiber stellt. Diese Norm gibt Ihnen z.B. konkrete Hinweise, welche Maßnahmen zur Verbesserung der IT-Sicherheit Sie umsetzen müssen und von welchen Faktoren diese Verpflichtung abhängt.

Damit will Ihnen die Norm helfen,

  • sichere Produkte zu entwickeln,
  • gleichzeitig unnötige Aufwände zu vermeiden und
  • die Chancen zu erhöhen, Probleme bei der Zulassung Ihres Produkts zu vermeiden.
Beitrag lesen

Health IT & Medizintechnik

Dienstag, 20. Oktober 2020 | Katrin Schnetter

ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?

Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei ISO-13485-Audits immer häufiger zum Thema. Die Regularien geben dazu Anlass. Dazu zählt u.a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller gerückt hat.

Hersteller müssen die regulatorischen Anforderungen erfüllen, um Ärger mit Behörden und Benannten Stellen zu vermeiden und um Patienten nicht zu gefährden. Sie sollten aber keine unnötigen Aufwände betreiben. Daher sollten sie verstehen,

  • ob sie das Thema ISMS und damit die ISO 27001 überhaupt betrifft,
  • welche Anforderungen die ISO 27001 an sie stellt und
  • wie sie ggf. ein solches ITSM einführen können (insbesondere, wenn es bereits ein QMS gibt).
Beitrag lesen

Software & IEC 62304

Dienstag, 6. November 2018 | Christian Rosenzweig

IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus

Die IEC 62443-4-1 ist Teil einer Normenfamilie zur „IT-Sicherheit für industrielle Automatisierungssysteme“.

Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm für Hersteller von Medizinprodukten sinnvoll anwendbar ist.

Beitrag lesen


FDA Zulassung - die U.S. Food and Drug Administration

Dienstag, 23. Oktober 2018 | Christian Rosenzweig

Cybersecurity in Medical Devices: Die Guidance-Dokumente der FDA

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu drei Guidance-Dokumente veröffentlich, die sich an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.
  1. Das FDA-Guidance-Dokument Cybersecurity in Medical Devices wendet sich an alle Medizinproduktehersteller, deren Produkte Software enthalten oder eigenständige Software sind. Der Fokus liegt auf der Entwicklungsphase (Pre-Market).
  2. Das Dokument Postmarket Management of Cybersecurity in Medical Device schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung.
  3. Das Dokument Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software ist lediglich ein FAQ.

Update: Die FDA hat einen Entwurf für ein Update des Pre-Market Cybersecurity Guidance Documents verfasst. Was die FDA darin fordert, ist hier für Sie zusammengefasst.

Update: Die FDA hat Best Practices for Communicating Cybersecurity Vulnerabilities to Patients veröffentlicht.
Beitrag lesen


Regulatory Affairs

Montag, 4. Juni 2018 | Astrid Schulze

EU Datenschutzgrundverordnung DSGVO

Die EU Datenschutzgrundverordnung (DSGVO) – auf englisch „General Data Protection Regulation“ (GDPR) – muss spätestens ab dem 25. Mai 2018 eingehalten werden.

Viele Firmen, darunter auch Medizinproduktehersteller und Betreiber wie Krankenhäuser, sind darauf nicht ausreichend vorbereitet.

Dieser Beitrag verschafft einen Überblick über die wesentlichen Konzepte und Forderungen der Datenschutzgrundverordnung und beleuchtet Aspekte, die für den Kontext der Medizinprodukte relevant sind.

Beitrag lesen