{"id":1059269,"date":"2018-01-09T09:00:19","date_gmt":"2018-01-09T08:00:19","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=1059269"},"modified":"2023-04-06T15:45:22","modified_gmt":"2023-04-06T13:45:22","slug":"ul-2900-2-1","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/","title":{"rendered":"UL 2900 \u2013 weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten"},"content":{"rendered":"\n<p>Der UL 2900-2-1 nennt sich \u201e<em>Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems<\/em>\u201c. Er z\u00e4hlt zur UL-2900-Familie, der Normenfamilie zur IT-Security.<\/p>\n\n\n\n<p>Lesen Sie in diesem Artikel, welche Schw\u00e4chen der Standard hat und unter welchen Umst\u00e4nden er Ihnen dennoch n\u00fctzlich sein kann.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">Die Normenfamilie UL 2900<\/h2>\n\n\n\n<p>Die Normenfamilie UL 2900 besteht aus mehreren Normen bzw. Standards:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der <strong>UL 2900-1<\/strong> ist der Grundstandard mit allgemeinen <strong>Produkt<\/strong>anforderungen. Er hei\u00dft \u201e<em>Software Cybersecurity for Network-Connectable Products \u2013 General Requirements<\/em>\u201c<\/li>\n\n\n\n<li>Der <strong>UL 2900-2-1<\/strong> z\u00e4hlt zu den branchenspezifischen Standards und wendet sich an den Gesundheitsmarkt. Allerdings gibt es derzeit nur einen weiteren Standard dieser \u201e2er-Serie\u201c, den UL 2900-2-2 \u201e<em>Industrial Control Systems<\/em>\u201c.<\/li>\n\n\n\n<li>In Entwicklung befinden sich die Standards der \u201e3er-Serie\u201c mit den <strong>Prozess<\/strong>anforderungen.&nbsp;Der UL 2900-3-1 wird allgemeine Prozessanforderungen formulieren (\u201e<em>General Process Requirements<\/em>\u201c), der UL 2900-3-2 Anforderungen and den Entwicklungsprozess (\u201e<em>Security Development Lifecycle<\/em>\u201c).<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"198\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie-300x198.jpg\" alt=\"Familie der UL 2900 Standards\" class=\"wp-image-1059289\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie-300x198.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie-150x99.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg 666w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: Familie der UL 2900 Standards \/ Normen. Zum Vergr\u00f6\u00dfern klicken<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">UL 2900-1: Der allgemeine Produktstandard zur Cybersecurity<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Aufbau des UL 2900-1<\/h3>\n\n\n\n<p>Mit 35 Seiten ist der Standard angenehm kurz. Ohne Leerseiten, Inhaltsverzeichnisse, Begriffsdefinitionen und Anh\u00e4nge bleiben sogar nur ca. zehn Seiten. Kompakte Standards zeugen oft von Klarheit. Leider gilt dies nicht f\u00fcr den UL 2900-1.<\/p>\n\n\n\n<p>Das beginnt mit einer Kapitelstruktur, die sich auch nach dem zweiten Lesen nicht erschlie\u00dft:<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-1-and-UL-2900-2-1.jpg\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"138\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-1-and-UL-2900-2-1-300x138.jpg\" alt=\"Kapitelstruktur der UL 2900-1 und UL 2900-2-1\" class=\"wp-image-1061418\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-1-and-UL-2900-2-1-300x138.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-1-and-UL-2900-2-1-768x353.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-1-and-UL-2900-2-1-150x69.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-1-and-UL-2900-2-1.jpg 872w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 2: Kapitelstruktur der UL 2900-1 bzw. UL 2900-2-1. Zum Vergr\u00f6\u00dfern klicken<\/figcaption><\/figure>\n\n\n\n<p>Weshalb die \u201e<em>Risk Controls<\/em>\u201c (Kapitel 7) nicht zum Kapitel \u201e<em>Risk Management<\/em>\u201c (Kapitel 12) z\u00e4hlen, weshalb \u201e<em>Access Control, User Authentication und User Authorization<\/em>\u201c (Kapitel 8) keine Ma\u00dfnahmen zur <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/risikominimierung\/\" target=\"_blank\" rel=\"noopener noreferrer\">Risikokontrolle<\/a> sind, wird noch unklarer, wenn man das siebte Kapitel liest. Denn dort wird im Wesentlichen genau auf die Kapitel 8 und 12 verwiesen.<\/p>\n\n\n\n<p>Auch die Kapitel\u00fcberschriften sind leider etwas irref\u00fchrend: Hinter \u201e<em>Vulnerability und Exploits<\/em>\u201c verbergen sich die Anforderungen an das <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/blackbox-testing\/\" target=\"_blank\" rel=\"noopener noreferrer\">(Blackbox-)Testen<\/a> des Produkts, hinter \u201e<em>Software Weaknesses<\/em>\u201c die <a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/code-review\/\" target=\"_blank\" rel=\"noopener noreferrer\">statische Code-Analyse<\/a>, die sich nicht auf das Kapitel 18 beschr\u00e4nkt, wie man meinen k\u00f6nnte.<\/p>\n\n\n\n<p>Was w\u00fcrden Sie erwarten unter \u201e<em>11. Product Management<\/em>\u201c? Dass sich hier keine Anforderungen an das Produktmanagement verbergen, ahnen Sie sicher schon. Dieses Kapitel nennt Produkt- bzw. <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/software-anforderungen\/\" target=\"_blank\" rel=\"noopener noreferrer\">Systemanforderungen<\/a> &#8211; eben die Inhalte, die man in einer System Requirements Specification erwarten w\u00fcrde. Allerdings enthalten viele andere Kapitel ebenfalls Systemanforderungen.<\/p>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">Inhalt und Anforderungen<\/h3>\n\n\n\n<p>Der UL 2900-1 formuliert Anforderungen an folgende Aspekte:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Produkt<\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/\" target=\"_blank\" rel=\"noopener noreferrer\">Risikomanagement<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/software-testing\/\" target=\"_blank\" rel=\"noopener noreferrer\">Testen<\/a> (statische und dynamische Pr\u00fcfungen)<\/li>\n\n\n\n<li>Dokumentation<\/li>\n\n\n\n<li>Organisation (nur bei UL 2900-2-1)<\/li>\n<\/ul>\n\n\n\n<p>Die folgende Mindmap verschafft einen \u00dcberblick \u00fcber die wichtigsten Anforderungen.<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Anforderungen.jpg\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"134\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Anforderungen-300x134.jpg\" alt=\"Anforderungen der UL 2900-1 und UL 2900-2-1\" class=\"wp-image-1059305\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Anforderungen-300x134.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Anforderungen-768x342.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Anforderungen-1024x456.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Anforderungen-150x67.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Anforderungen.jpg 1087w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 3: Anforderungen der UL 2900-1 und UL 2900-2-1 im \u00dcberblick. Zum Vergr\u00f6\u00dfern klicken<\/figcaption><\/figure>\n\n\n\n<p>Die Anforderungen schwanken zwischen Belanglosigkeit und befremdlicher Konkretheit. Beispielsweise fordert der UL 2900-1, dass der Source Code einer statischen Code-Analyse unterzogen werden soll. Weder nennt der Standard, auf was hin der Soruce Code untersucht werden soll, noch welche Metriken oder Eigenschaften zu pr\u00fcfen sind. Auf der anderen Seite fordert der UL 2900-1 mindestens f\u00fcnf Millionen Testf\u00e4lle oder einen mindestens achtst\u00fcndigen Test. Weshalb gerade f\u00fcnf Millionen, weshalb acht Stunden?!?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">UL 2900-2-1: Die Erg\u00e4nzungen f\u00fcr den Gesundheitsmarkt<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Struktur und Inhalte<\/h3>\n\n\n\n<p>Der UL 2900-2-1 folgt der gleichen Struktur des UL 2900-1. Bei der <a href=\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/iso-9001-2015\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 9001<\/a> w\u00fcrde man von einer \u201eHigh Level Structure\u201c sprechen.<\/p>\n\n\n\n<p>Im Wesentlichen verweist der UL 2900-2-1 nur auf den UL 2900-1. An einigen Stellen, vor allem in den Kapitel 12, 13, 15 und 16 finden sich Erg\u00e4nzungen oder andere Formulierungen. Das Kapitel 20 gibt es nur in dem UL 2900-2-1.<\/p>\n\n\n\n<p>V\u00f6llig befremdlich fordert der UL 2900-2-1 ein QM-System nach <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 13485<\/a> und eine Software-Entwicklung konform <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/\" target=\"_blank\" rel=\"noopener noreferrer\">IEC 62304<\/a>. Bei allem Respekt vor diesen Normen: Aber weshalb w\u00e4re ein QM-System nach <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/21-cfr-part-820\/\" target=\"_blank\" rel=\"noopener noreferrer\">21 CFR part 820<\/a> nicht ad\u00e4quat?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">FDA Cybersecurity Guidance<\/h3>\n\n\n\n<p>Der UL 2900-2-1 wirbt damit, dass er in Abstimmung mit der <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/fda\/\" target=\"_blank\" rel=\"noopener noreferrer\">FDA<\/a> entwickelt worden und geeignet sei, die Anforderungen des <a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/fda-guidance-zur-cybersecurity\/\" target=\"_blank\" rel=\"noopener noreferrer\">FDA Guidance Documents zur Cybersecurity<\/a> nachzuweisen. In der Tat gibt es ein Mapping beider Dokumente, das allerdings nicht Teil des Standards ist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Kritik<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Der Kauf<\/h3>\n\n\n\n<p>Schon der Kauf des Standards wird zur unsch\u00f6nen \u00dcberraschung: Erwirbt man den UL 2900-2-1, stellt man fest, dass dieser ohne den UL 2900-1 wertlos ist. W\u00fcnscht man zudem die HTML-Version, da die PDF-Version nicht nur druck- sondern auch kopiergesch\u00fctzt ist, erh\u00f6ht sich der Preis von 375 USD um weitere 300 USD(!!) Shipping-Kosten und 10 USD f\u00fcr Web-Delivery. Bekommt man die elektronischen Unterlagen per Post zugestellt?<\/p>\n\n\n\n<p>Auf eine entsprechende Anfrage hat UL nicht reagiert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Usability<\/h3>\n\n\n\n<p>Das sogenannte <a href=\"https:\/\/de.wikipedia.org\/wiki\/Digitale_Rechteverwaltung\" target=\"_blank\" rel=\"noopener noreferrer\">Digital Rights Management<\/a> sorgt daf\u00fcr, dass man die Dateien ohne weiteres gar nicht lesen kann. Ein nerviger Installationsprozess und die Installation spezieller Acrobat-Versionen sind notwendig, um die PDF-Dateien \u00fcberhaupt lesen zu k\u00f6nnen.<\/p>\n\n\n\n<p>Jede Form des Bedienerkomforts wird systematisch vermieden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Eine Verlinkung im Dokument fehlt v\u00f6llig. Es gibt sie weder im Inhaltsverzeichnis, noch bei den Anh\u00e4ngen und Fu\u00dfnoten noch im Text.<\/li>\n\n\n\n<li>Das Drucken ist verboten, das Kopieren ebenso.<\/li>\n\n\n\n<li>Ein \u00d6ffnen in der Standardvorschau des Betriebssystems ist nicht m\u00f6glich.<\/li>\n\n\n\n<li>Ein gutes Literaturverzeichnis, handlungsleitende Anh\u00e4nge und eine Begr\u00fcndung und Erl\u00e4uterung der Anforderungen fehlen.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Inhalt und Struktur<\/h3>\n\n\n\n<p>Es hat einen Grund, dass es Normen gibt, wie man Normen schreibt. Doch die UL 2900 scheitert bereits vorher:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Teilweise sind die Inhalte falsch. Verlinkungen stimmen nicht, Referenzen sind falsch.<\/li>\n\n\n\n<li>Der Aufbau entbehrt einer logischen Struktur.<\/li>\n\n\n\n<li>Der angeblich gleiche Aufbau der UL 2900-1 und der UL 2900-2-1 wird an mehreren Stellen durchbrochen.<\/li>\n\n\n\n<li>Dass man keine Kapitel mit nur einem Unterkapitel verwenden soll, lernen die Studierenden normalerweise im ersten Proseminar.<\/li>\n\n\n\n<li>Es ist nicht nachvollziehbar, weshalb die Autoren genau die Anforderungen herausgepickt haben, die jetzt in der Norm zu finden sind. Das betrifft bei Weitem nicht nur die o.g. und willk\u00fcrlich erscheinenden Forderungen nach einer ISO 13485 und f\u00fcnf Millionen Testf\u00e4llen. Im Proseminar lernen Studenten auch Quellen mit Begr\u00fcndungen f\u00fcr solche Angaben zu nennen \u2013 es sei denn sie sind frei erfunden&#8230;<\/li>\n\n\n\n<li>Die innere Logik von Aufz\u00e4hlungen wird verletzt. Teilweise wechseln Anforderungen mit Erkl\u00e4rungen, also dem, was man in einer ISO-Norm als \u201eNote\u201c bezeichnen w\u00fcrde.<\/li>\n\n\n\n<li>Bessere weil vollst\u00e4ndigere und systematischere Best Practice Guidances wie der &#8222;<a href=\"https:\/\/owasp.org\/www-project-web-security-testing-guide\/\" target=\"_blank\" rel=\"noopener noreferrer\">Testing Guide des Open Web Application Security Project (OWASP)<\/a>, kurz OTG, wie der <a href=\"https:\/\/owasp.org\/www-project-mobile-security-testing-guide\/\" target=\"_blank\" rel=\"noopener noreferrer\">OWASP Mobile Security Testing Guide<\/a>, der&nbsp;<a href=\"https:\/\/owasp.org\/www-project-application-security-verification-standard\/\" target=\"_blank\" rel=\"noopener noreferrer\">OWASP Application Security Verification Standard<\/a> (ASVS) oder das&nbsp;Web Application Hacker\u2019s Handbook (WAHH) ignoriert der UL 2900.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit<\/h2>\n\n\n\n<p>Man kann den Standard lesen, um eigene Checklisten zu erg\u00e4nzen. Man kann ihn als abschreckendes Beispiel f\u00fcr eine schlampig geschriebene Norm nutzen. Aber der UL 2900 reflektiert nur teilweise den Stand der Technik \u2013 weder den der IT-Security, noch den von stringenten Normen. Sparen Sie sich den Kauf.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der UL 2900-2-1 nennt sich \u201eParticular Requirements for Network Connectable Components of Healthcare and Wellness Systems\u201c. Er z\u00e4hlt zur UL-2900-Familie, der Normenfamilie zur IT-Security. Lesen Sie in diesem Artikel, welche Schw\u00e4chen der Standard hat und unter welchen Umst\u00e4nden er Ihnen dennoch n\u00fctzlich sein kann.<\/p>\n","protected":false},"author":74,"featured_media":1059289,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1108,1103,184],"tags":[1188,1126,269,364,680],"ppma_author":[1213],"class_list":["post-1059269","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-regulatory-affairs","category-iso-14971-risikomanagement","category-iec-62304-medizinische-software","tag-fda","tag-it-security","tag-medizinische-software","tag-software-testing","tag-standalone-software","category-1108","category-1103","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.2 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>UL 2900-1 und UL 2900-2-1: Standards zur IT-Security ~ NICHT KAUFEN!<\/title>\n<meta name=\"description\" content=\"Der UL 2900-1 und der f\u00fcrs Gesundheitswesen spezifische Standard UL 2900-2-1 formulieren Anforderungen an die IT-Sicherheit (Cybersecurity). Weshalb beide Standards gute Tipps enthalten, Sie sie aber NICHT kaufen sollten...\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"UL 2900-1 und UL 2900-2-1: Standards zur IT-Security ~ NICHT KAUFEN!\" \/>\n<meta property=\"og:description\" content=\"Der UL 2900-1 und der f\u00fcrs Gesundheitswesen spezifische Standard UL 2900-2-1 formulieren Anforderungen an die IT-Sicherheit (Cybersecurity). Weshalb beide Standards gute Tipps enthalten, Sie sie aber NICHT kaufen sollten...\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2018-01-09T08:00:19+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-04-06T13:45:22+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"666\" \/>\n\t<meta property=\"og:image:height\" content=\"440\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"7\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"UL 2900 \u2013 weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten\",\"datePublished\":\"2018-01-09T08:00:19+00:00\",\"dateModified\":\"2023-04-06T13:45:22+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\"},\"wordCount\":1101,\"commentCount\":2,\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg\",\"keywords\":[\"FDA - Medizinprodukte in den USA\",\"IT Security\",\"Medizinische Software \/ Medical Device Software\",\"Software-Testing: Die Forderungen der IEC 62304 und FDA erf\u00fcllen\",\"Standalone-Software\"],\"articleSection\":[\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"Risikomanagement &amp; ISO 14971\",\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\",\"name\":\"UL 2900-1 und UL 2900-2-1: Standards zur IT-Security ~ NICHT KAUFEN!\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg\",\"datePublished\":\"2018-01-09T08:00:19+00:00\",\"dateModified\":\"2023-04-06T13:45:22+00:00\",\"description\":\"Der UL 2900-1 und der f\u00fcrs Gesundheitswesen spezifische Standard UL 2900-2-1 formulieren Anforderungen an die IT-Sicherheit (Cybersecurity). Weshalb beide Standards gute Tipps enthalten, Sie sie aber NICHT kaufen sollten...\",\"breadcrumb\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg\",\"width\":666,\"height\":440,\"caption\":\"Familie der UL 2900 Standards\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"UL 2900 \u2013 weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/JohnerInstitut\/\",\"https:\/\/x.com\/christianjohner\",\"https:\/\/www.youtube.com\/user\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/\"],\"url\":\"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"UL 2900-1 und UL 2900-2-1: Standards zur IT-Security ~ NICHT KAUFEN!","description":"Der UL 2900-1 und der f\u00fcrs Gesundheitswesen spezifische Standard UL 2900-2-1 formulieren Anforderungen an die IT-Sicherheit (Cybersecurity). Weshalb beide Standards gute Tipps enthalten, Sie sie aber NICHT kaufen sollten...","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/","og_locale":"de_DE","og_type":"article","og_title":"UL 2900-1 und UL 2900-2-1: Standards zur IT-Security ~ NICHT KAUFEN!","og_description":"Der UL 2900-1 und der f\u00fcrs Gesundheitswesen spezifische Standard UL 2900-2-1 formulieren Anforderungen an die IT-Sicherheit (Cybersecurity). Weshalb beide Standards gute Tipps enthalten, Sie sie aber NICHT kaufen sollten...","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2018-01-09T08:00:19+00:00","article_modified_time":"2023-04-06T13:45:22+00:00","og_image":[{"width":666,"height":440,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg","type":"image\/jpeg"}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"7\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"UL 2900 \u2013 weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten","datePublished":"2018-01-09T08:00:19+00:00","dateModified":"2023-04-06T13:45:22+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/"},"wordCount":1101,"commentCount":2,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg","keywords":["FDA - Medizinprodukte in den USA","IT Security","Medizinische Software \/ Medical Device Software","Software-Testing: Die Forderungen der IEC 62304 und FDA erf\u00fcllen","Standalone-Software"],"articleSection":["Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","Risikomanagement &amp; ISO 14971","Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/","name":"UL 2900-1 und UL 2900-2-1: Standards zur IT-Security ~ NICHT KAUFEN!","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg","datePublished":"2018-01-09T08:00:19+00:00","dateModified":"2023-04-06T13:45:22+00:00","description":"Der UL 2900-1 und der f\u00fcrs Gesundheitswesen spezifische Standard UL 2900-2-1 formulieren Anforderungen an die IT-Sicherheit (Cybersecurity). Weshalb beide Standards gute Tipps enthalten, Sie sie aber NICHT kaufen sollten...","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg","width":666,"height":440,"caption":"Familie der UL 2900 Standards"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","item":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},{"@type":"ListItem","position":3,"name":"UL 2900 \u2013 weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/UL-2900-Familie.jpg","jetpack-related-posts":[{"id":1480148,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/","url_meta":{"origin":1059269,"position":0},"title":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus","author":"Christian Rosenzweig","date":"6. November 2018","format":false,"excerpt":"Die IEC 62443-4-1 ist Teil einer Normenfamilie zur \u201eIT-Sicherheit f\u00fcr industrielle Automatisierungssysteme\u201c. Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm f\u00fcr Hersteller von Medizinprodukten sinnvoll anwendbar ist. 1. Die Normenfamilie IEC 62443 a)\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Familie der IEC 62443 Normen","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":1529674,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/leitfaden-it-sicherheit-guideline-it-security\/","url_meta":{"origin":1059269,"position":1},"title":"Leitfaden IT-Sicherheit \/ Guideline IT Security","author":"Christian Rosenzweig","date":"6. Dezember 2018","format":false,"excerpt":"Gemeinsam mit dem T\u00dcV S\u00dcD, dem T\u00dcV Nord und mit Unterst\u00fctzung von Dr. Heidenreich (Siemens) hat das Johner Institut am 21.11. einen Leitfaden zur IT-Sicherheit\u00a0speziell f\u00fcr Medizinproduktehersteller ver\u00f6ffentlicht. An wen sich der Leitfaden zur IT-Sicherheit wendet Der Leitfaden richtet sich an alle Hersteller von Medizinprodukten (Inverkehrbringer, Dienstleister). Er sollte v.a.\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Leitfaden IT-Sicherheit","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/12\/Leitfaden-IT-Sicherheit-300x242.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":57,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/security-patch\/","url_meta":{"origin":1059269,"position":2},"title":"Security Patches &#8211; aus der regulatorischen Brille betrachtet","author":"Christian Rosenzweig","date":"12. Januar 2018","format":false,"excerpt":"Unter einem Security Patch versteht man eine Nachbesserung an einer Software, um eine Sicherheitsl\u00fccke zu stopfen. F\u00fcr einen Security Patch gelten teilweise andere regulatorische Anforderungen als an andere Software Updates. Auf was Sie achten m\u00fcssen, erfahren Sie in diesem Beitrag. Security Patch Definition Eine etwas l\u00e4ngliche aber hilfreiche Definition des\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Security Patch","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2008\/10\/Security-Patch-150x150.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":1435961,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/recognized-consensus-standards-der-fda\/","url_meta":{"origin":1059269,"position":3},"title":"Recognized Consensus Standards der FDA","author":"Katharina Keutgen","date":"9. Oktober 2018","format":false,"excerpt":"Die FDA bieten Herstellern an, sogenannte recognized consensus standards\u00a0bei der Zulassung ihrer Produkte zu nutzen. Die US-Beh\u00f6rde hat zu diesen consensus standards ein \u201eGuidance\u201c Dokument ver\u00f6ffentlicht, das Ihnen dieser Artikel vorstellt. Er beschreibt zudem die Voraussetzungen f\u00fcr die Anwendung der \"Standards\" und die Vorteile f\u00fcr Hersteller, weist aber auch auf\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Kapitelstruktur des FDA Guidance Documents zu den Consensus Standards","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/10\/FDA-Guidance-Document-Consensus-Standards.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/10\/FDA-Guidance-Document-Consensus-Standards.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/10\/FDA-Guidance-Document-Consensus-Standards.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/10\/FDA-Guidance-Document-Consensus-Standards.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/10\/FDA-Guidance-Document-Consensus-Standards.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/10\/FDA-Guidance-Document-Consensus-Standards.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":1068086,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fuzz-testing\/","url_meta":{"origin":1059269,"position":4},"title":"Fuzz-Testing: IT-Sicherheit von Produkten bewerten","author":"Christian Rosenzweig","date":"16. Januar 2018","format":false,"excerpt":"Fuzz-Testing ist eine Methode zur Identifizierung bisher nicht-erkannter Schwachstellen und Sicherheitsl\u00fccken in Software (stand-alone oder embedded), die die Schnittstellen der Systeme automatisiert mit korrekten oder falschen Werten testet. Fuzz-Testing: Was es ist Das Fuzz-Testing z\u00e4hlt zu den Testverfahren, bei denen ein lauff\u00e4higes und laufendes (\u2192 Dynamic Testing) computerisiertes System mit\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Fuzz-Testing von Systemen mit zuf\u00e4lligen Daten","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/Fuzz-Testing.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/Fuzz-Testing.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/01\/Fuzz-Testing.jpg?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":5376998,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","url_meta":{"origin":1059269,"position":5},"title":"IT-Security bei \u201cLegacy Devices\u201d","author":"Christian Rosenzweig","date":"28. November 2023","format":false,"excerpt":"Dass Gesetze und Normen die IT-Security auch bei \u201eLegacy Devices\u201c einfordern, ist verst\u00e4ndlich. Die Art, wie diese Anforderungen formuliert werden, f\u00fchrt allerdings oft zu Verwirrung. Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei Legacy Devices, einmal um die IT-Sicherheit\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1400%2C800&ssl=1 4x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-4ryZ","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/1059269","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=1059269"}],"version-history":[{"count":15,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/1059269\/revisions"}],"predecessor-version":[{"id":5369952,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/1059269\/revisions\/5369952"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media\/1059289"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=1059269"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=1059269"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=1059269"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=1059269"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}