{"id":12813,"date":"2023-02-17T18:54:29","date_gmt":"2023-02-17T17:54:29","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=12813"},"modified":"2025-03-21T12:58:23","modified_gmt":"2025-03-21T11:58:23","slug":"it-sicherheit-im-gesundheitswesen","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/","title":{"rendered":"IT-Sicherheit im Gesundheitswesen"},"content":{"rendered":"\n<p>Wie gef\u00e4hrdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher achten die Beh\u00f6rden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gew\u00e4hrleisten.<\/p>\n\n\n\n<p>In diesem Artikel erhalten Sie einen \u00dcberblick dar\u00fcber, was die IT-Sicherheit im Gesundheitswesen gef\u00e4hrdet und was Sie dagegen tun k\u00f6nnen und m\u00fcssen. Damit wird es Ihnen gelingen,&nbsp;<strong>regulatorischen \u00c4rger zu vermeiden<\/strong>&nbsp;und&nbsp;<strong>Produkte sicher zu entwickeln und zu betreiben<\/strong>.<\/p>\n\n\n\n<p><em><strong>Update<\/strong>: Im Kapitel 3. a) die aktuellen Ver\u00f6ffentlichungen des BSI eingef\u00fcgt. Das verschafft Ihnen einen schnellen \u00dcberblick \u00fcber 120 Seiten.<\/em><\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 aria-label=\"1. Gesundheitswesen\">1. Was die IT-Sicherheit im Gesundheitswesen besonders macht<\/h2>\n\n\n\n<p>Die Bedrohung der&nbsp;IT-Sicherheit&nbsp;beschr\u00e4nkt sich nicht auf das Gesundheitswesen. Dennoch gibt es einige Besonderheiten zu beachten:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Menschenleben werden bedroht<\/strong><br>Im Gegensatz zu Angriffen auf die Infrastrukturen von Privatpersonen oder Unternehmen stellen Angriffe auf IT-Infrastrukturen im Gesundheitswesen (z. B. in Kliniken) eine Bedrohung von Menschen, konkret von Patientinnen und Patienten dar. Wenn, wie jetzt geschehen, die IT einer Klinik ausf\u00e4llt, kann sie keine Patienten mehr aufnehmen und muss OPs verschieben. Wenn der Angriff die Beatmungsger\u00e4te einer Intensivstation trifft, k\u00f6nnen Patienten innerhalb von Minuten versterben.<\/li>\n\n\n\n<li><strong>Spezifische Regularien sind einzuhalten<\/strong><br>Die Bedrohung der IT-Sicherheit im Gesundheitswesen ist auch eine Bedrohung des Schutzes h\u00f6chst vertraulicher Gesundheitsdaten. Auch, aber nicht nur deshalb gibt es spezifische Regularien f\u00fcr die Betreiber von Gesundheitseinrichtungen und die Hersteller von Medizinprodukten. Diese werden Sie im folgenden Abschnitt finden.<\/li>\n\n\n\n<li><strong>Einige Kliniken agieren&nbsp;<\/strong><b>amateurhaft<\/b><br>In nur wenigen Branchen wird so wenig Geld in die IT investiert wie in Gesundheitseinrichtungen. Gem\u00e4\u00df dem Motto &#8222;you get what you pay for&#8220; arbeitet in vielen Kliniken zu wenig und zu schlecht ausgebildetes Personal in der IT. Zudem schw\u00e4chen abenteuerliche IT-Infrastrukturen und ein hohes Ma\u00df an \u2013 teilweise unkoordiniertem \u2013 Outsourcing an verschiedene Akteure (z. B. Dienstleister f\u00fcr Drucker, Firewalls, PCs, Hersteller von IT-Systemen und Medizinger\u00e4ten) die IT-Sicherheit.<\/li>\n\n\n\n<li><strong>Hersteller handeln unverantwortlich<\/strong><br>Auch die Hersteller sind f\u00fcr die mangelnde IT-Sicherheit verantwortlich. Zu den Defiziten z\u00e4hlen:\n<ul class=\"wp-block-list\">\n<li>&#8222;Historisch gewachsene&#8220; System- und Software-Architekturen<\/li>\n\n\n\n<li>Ein mangelndes Verst\u00e4ndnis f\u00fcr die Bedrohung der IT-Sicherheit durch die v\u00f6llige Vernetzung von IT und Medizintechnik<\/li>\n\n\n\n<li>Ein mangelnder Wille, im Risikomanagement die IT-Security systematisch zu analysieren und zu beherrschen<\/li>\n\n\n\n<li>Fehlende Bereitschaft, Verantwortung nicht nur f\u00fcr das eigene Produkt zu \u00fcbernehmen, sondern auch f\u00fcr das Produkt im Kontext eines Kliniknetzes<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>M\u00f6chten Sie wissen, wie Sie Ihre IT-Systeme sicherer machen k\u00f6nnen? Die Expertinnen und Experten des Johner Instituts <a href=\"https:\/\/www.johner-institut.de\/digitale-dienstleistungen\/it-security\/\" target=\"_blank\" rel=\"noreferrer noopener\">beraten Sie gern<\/a>!<\/p>\n<\/div>\n\n\n\n<h2 aria-label=\"2. Regulatorische Anforderungen\">2. Regulatorische Anforderungen an die IT-Sicherheit im Gesundheitswesen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"a-anforderungen-an-die-hersteller\">a) Anforderungen an die Hersteller<\/h3>\n\n\n\n<p>Im europ\u00e4ischen Rechtsraum gibt es im Gegensatz zu den USA nur wenige&nbsp;konkrete Vorgaben, wie IT-Security bei Medizinprodukten zu adressieren ist. <\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"eu-verordnungen-und-nationale-gesetze\">EU-Recht und nationale Gesetze <\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/medical-device-regulation-mdr-medizinprodukteverordnung\/\"><strong>MDR<\/strong><\/a> fordert im MDR Anhang I, 17.2. explizit eine &#8222;State-of-the-art&#8220;-Softwareentwicklung auch mit Bezug zur IT-Sicherheit. Die Hersteller m\u00fcssen nun die Anforderungen an Ma\u00dfnahmen der Betreiber mit Bezug zur IT-Sicherheit bestimmen. Selbst die Forderung nach Datenschutz macht sich die MDR zu eigen.<\/li>\n\n\n\n<li>Die MDCG hat dazu den <a aria-label=\"Leitfaden 2019-16 (opens in a new tab)\" href=\"https:\/\/ec.europa.eu\/docsroom\/documents\/38941\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Leitfaden 2019-16<\/strong><\/a> ver\u00f6ffentlicht, in dem die Medical Device Coordination Group noch genauer ausf\u00fchrt, wie sie die Anforderungen der MDR und IVDR an die IT-Sicherheit umgesetzt haben m\u00f6chte.<\/li>\n\n\n\n<li>Die <strong>DiGAV<\/strong> fordert die IT-Sicherheit und den Datenschutz. Der <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-gesundheitsanwendungen-verordnung-digav\/\">Artikel zur DiGAV<\/a> adressiert auch, dass das BfArM dazu einen Leitfaden und FAQ ver\u00f6ffentlicht hat, das u. a. auf den Einsatz von US-Cloud-Anbietern eingeht.<\/li>\n\n\n\n<li>Die EU hat die IT-Sicherheit in die <a href=\"https:\/\/ec.europa.eu\/growth\/sectors\/electrical-and-electronic-engineering-industries-eei\/radio-equipment-directive-red_en\" target=\"_blank\" rel=\"noreferrer noopener\">Funkger\u00e4terichtlinie (RED)<\/a> aufgenommen. IT-Sicherheit ist damit eine verbindliche Anforderung f\u00fcr die CE-Kennzeichnung von Produkten mit Funkmodul. Allerdings sind Medizinprodukte nach MDR\/IVDR von den entsprechenden Regelungen ausgenommen (Art. 2 Abs. 1 <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/PDF\/?uri=CELEX:32022R0030\" target=\"_blank\" rel=\"noreferrer noopener\">Delegierte Verordnung (EU) 2022\/30<\/a>).&nbsp;<\/li>\n\n\n\n<li>Der neue <a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/library\/cyber-resilience-act\" target=\"_blank\" rel=\"noreferrer noopener\">Cyber Resilience Act <\/a>ist ebenfalls <strong>nicht<\/strong> auf Medizinprodukte nach MDR und IVDR anwendbar. Allerdings k\u00f6nnen Hersteller ihn als zus\u00e4tzliche Richtschnur f\u00fcr den Stand der Technik betrachten.<\/li>\n\n\n\n<li>Die EU hat Ende 2022 eine&nbsp;<a href=\"https:\/\/www.consilium.europa.eu\/en\/press\/press-releases\/2022\/11\/28\/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation\/\">neue Richtlinie mit dem Namen \u201eNIS2\u201c<\/a>&nbsp;auf den Weg gebracht. Sie muss nun innerhalb von 21 Monaten in nationales Recht \u00fcberf\u00fchrt werden.<br>Unmittelbare Konsequenzen hat die neue Richtlinie f\u00fcr die Hersteller noch nicht. Das liegt auch daran, dass die Mitgliedsstaaten die \u00c4nderungen erst in nationale Gesetze \u00fcberf\u00fchren m\u00fcssen. Aber es ist offensichtlich, dass Medizinproduktehersteller die IT-Sicherheit nicht nur ihrer Produkte, sondern auch ihrer Organisation gew\u00e4hrleisten m\u00fcssen.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"vorgaben-der-nationalen-behorden-und-benannten-stellen\">Vorgaben der nationalen Beh\u00f6rden und Benannten Stellen<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Der Expertenkreis CyberMed erl\u00e4utert im <a href=\"https:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Presse\/Pressemitteilungen\/Presse2019\/Leitfaden_Med-Produkte_231019.html\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden zur Nutzung des MDS2 aus 2019<\/a>, der auf den Seiten des BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) verf\u00fcgbar ist, wie Hersteller das \u201eManufacturer Disclosure Statement for Medical Device Security (MDS2)\u201d ausf\u00fcllen sollen.<\/li>\n\n\n\n<li>Das BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) hat ein Dokument zu <a href=\"https:\/\/www.allianz-fuer-cybersicherheit.de\/SharedDocs\/Downloads\/Webs\/ACS\/DE\/BSI-CS\/BSI-CS_132.html\" target=\"_blank\" rel=\"noreferrer noopener\">Cyber-Sicherheitsanforderungen an netzwerkf\u00e4hige Medizinprodukte<\/a> publiziert.<\/li>\n\n\n\n<li>Ebenso vom BSI stammt die <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR03161\/BSI-TR-03161.html\" target=\"_blank\" rel=\"noreferrer noopener\">Technische Richtlinie BSI TR-03161<\/a>: Sicherheitsanforderungen an digitale Gesundheitsanwendungen. Die BSI-Richtlinie verweist wiederum auf weitere Vorgaben, die allerdings nicht spezifisch f\u00fcr Medizinprodukte sind:\n<ol class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/BSI-Standards\/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit\/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html\" target=\"_blank\" rel=\"noreferrer noopener\">BSI Standard 200-1<\/a>,&nbsp;<a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/BSI-Standards\/BSI-Standard-200-2-IT-Grundschutz-Methodik\/bsi-standard-200-2-it-grundschutz-methodik_node.html\" target=\"_blank\" rel=\"noreferrer noopener\">BSI Standard 200-2<\/a>,&nbsp;<a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/BSI-Standards\/BSI-Standard-200-3-Risikomanagement\/bsi-standard-200-3-risikomanagement_node.html\" target=\"_blank\" rel=\"noreferrer noopener\">BSI Standard 203<\/a><\/li>\n\n\n\n<li>BSI IT-Grundschutz-Kompendium<\/li>\n\n\n\n<li><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR02102\/BSI-TR-02102.html\" target=\"_blank\" rel=\"noreferrer noopener\">BSI TR-02102-1<\/a>: Kryptographische Verfahren: Empfehlungen und Schl\u00fcssell\u00e4ngen<\/li>\n\n\n\n<li><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR02102\/BSI-TR-02102-2.html\" target=\"_blank\" rel=\"noreferrer noopener\">BSI TR-02102-2<\/a>: Kryptographische Verfahren: Verwendung von TLS<\/li>\n\n\n\n<li><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR03107\/TR-03107-1.html\" target=\"_blank\" rel=\"noreferrer noopener\">TR-03107-1<\/a>: Elektronische Identit\u00e4ten und Vertrauensdienste im E-Government Teil 1<\/li>\n<\/ol>\n<\/li>\n\n\n\n<li>Die Benannten Stellen haben basierende auf dem Leitfaden des Johner Instituts einen eigenen <a href=\"https:\/\/www.ig-nb.de\/veroeffentlichungen\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden zur IT-Sicherheit<\/a> entwickelt. Da dieser von den Benannten Stellen selbst herausgegeben und damit verwendet wird, ist er zumindest f\u00fcr deutsche Hersteller ein Must-Read.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"normen\">Normen<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/\">ISO 13485:2016<\/a>&nbsp;hat in ihrer aktuellen Ausgabe den Schutz vertraulicher Daten sowie die Festlegung und \u00dcberpr\u00fcfung der Anforderung an verbundene Medizinprodukte als neue Forderungen erg\u00e4nzt.<\/li>\n\n\n\n<li>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/iec-60601-1\/\">IEC 60601-1<\/a> fordert, dass&nbsp;Risiken aufgrund &#8222;fehlender Datensicherheit, insbesondere Anf\u00e4lligkeit f\u00fcr Verf\u00e4lschung, unerw\u00fcnschte Wechselwirkung mit anderen Programmen und Viren&#8220; beherrscht sein m\u00fcssen.<\/li>\n\n\n\n<li>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/\">IEC\/TR 60601-4-5<\/a> ist ebenfalls spezifisch f\u00fcr Medizinprodukte. Sie referenziert normativ die IEC 62443, wodurch ihr Anforderungskatalog sehr umfangreich ist.<\/li>\n\n\n\n<li>Mit dem Amendment I (2016) der IEC 62304&nbsp;fordert die Norm, dass&nbsp;die Software-Anforderungen Anforderungen an die IT-Sicherheit beinhalten m\u00fcssen.<\/li>\n\n\n\n<li>Im Risikomanagement (z.B. konform mit <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/\">ISO 1497<\/a><strong><a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/\">1<\/a><\/strong>) mussten schon immer alle&nbsp;Risiken adressiert werden, somit auch Risiken, die durch mangelnde IT-Sicherheit verursacht werden. Dies schlie\u00dft Cyber-Angriffe mit ein.<\/li>\n\n\n\n<li>Die Cybersecurity-Norm <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>IEC 81001-5-1<\/strong><\/a> befasst sich damit, wie IT-Sicherheit im Software-Lebenszyklus ber\u00fccksichtigt werden muss.<\/li>\n\n\n\n<li>Die&nbsp;<a href=\"https:\/\/www.beuth.de\/de\/norm\/iso-iec-27002\/352094880\">ISO 27002<\/a>&nbsp;beschreibt fast 100 \u201eControls\u201c (Sicherheitsma\u00dfnahmen). Sie wurde 2022 deutlich \u00fcberarbeitet. F\u00fcr das Jahresende erwartet man auch eine Neuauflage der ISO 27001, die bereits als&nbsp;<a href=\"https:\/\/www.beuth.de\/de\/norm-entwurf\/iso-iec-fdis-27001\/357954004\">FDIS<\/a>&nbsp;vorliegt.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"regulatorische-anforderungen-in-den-usa-und-anderen-landern\">Regulatorische Anforderungen in den USA und anderen L\u00e4ndern<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li>In den USA m\u00fcssen die Betreiber die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\">Anforderungen des HIPAA<\/a> erf\u00fcllen.<\/li>\n\n\n\n<li><span style=\"letter-spacing: 0px;\">Die<strong> <\/strong><\/span><a aria-label=\"Draft Guidance &quot;Pre-market Requirements for Medical Device Cybersecurity&quot; (opens in a new tab)\" style=\"letter-spacing: 0px;\" href=\"https:\/\/www.johner-institut.de\/blog\/category\/fda\/\">FDA<\/a><span style=\"letter-spacing: 0px;\"> stellt konkrete Anforderungen, die sie in&nbsp;<\/span><strong style=\"letter-spacing: 0px;\">vier(!)<\/strong><span style=\"letter-spacing: 0px;\"> Guidance-Dokumenten&nbsp;zum Thema <\/span><strong style=\"letter-spacing: 0px;\">Cybersecurity<\/strong><span style=\"letter-spacing: 0px;\"> ver\u00f6ffentlicht hat. <\/span><\/li>\n\n\n\n<li>Die FDA referenziert dabei auch den <a href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/aami-tir-57-it-security-medizinprodukte\/\" target=\"_blank\" rel=\"noopener noreferrer\">AAMI 57<\/a> zum IT-Security-Risk-Management nach ISO 14971. <\/li>\n\n\n\n<li>Sie erkennt auch den <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/ul-2900-2-1\/\" target=\"_blank\" rel=\"noopener noreferrer\">UL 2900-2-1 als Standard<\/a> zur IT-Sicherheit an.<\/li>\n\n\n\n<li>Health Canada hat im Dezember 2019 nachgezogen und ebenfalls einen <a aria-label=\"Draft Guidance &quot;Pre-market Requirements for Medical Device Cybersecurity&quot; (opens in a new tab)\" href=\"https:\/\/www.canada.ca\/en\/health-canada\/services\/drugs-health-products\/public-involvement-consultations\/medical-devices\/consutation-premarket-cybersecurity-profile\/draft-guidance-premarket-cybersecurity.html\" target=\"_blank\" rel=\"noreferrer noopener\">Draft Guidance &#8222;Pre-market Requirements for Medical Device Cybersecurity<strong>&#8222;<\/strong><\/a> publiziert.<\/li>\n\n\n\n<li>Im April 2020 hat das IMDRF ebenfalls eine&nbsp;<a href=\"http:\/\/www.imdrf.org\/docs\/imdrf\/final\/technical\/imdrf-tech-200318-pp-mdc-n60.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Leitlinie zur Cybersecurity<\/a> ver\u00f6ffentlicht.<\/li>\n\n\n\n<li>Im April 2022 hat die FDA einen Entwurf f\u00fcr eine Leitlinie <a href=\"https:\/\/www.fda.gov\/media\/119933\/download\" target=\"_blank\" rel=\"noreferrer noopener\">Cybersecurity in Medical Devices<\/a>: <strong>Quality System Considerations and Content of Premarket Submissions Draft Guidance for Industry and Food and Drug Administration Staff<\/strong> ver\u00f6ffentlicht.<\/li>\n\n\n\n<li>Die FDA hat MITRE (eine gemeinn\u00fctzige Organisation) beauftragt, ein \u201ePlaybook\u201c zu entwickeln.&nbsp;<a href=\"https:\/\/www.mitre.org\/news-insights\/publication\/medical-device-cybersecurity-regional-incident-preparedness-and-response\">Dieses&nbsp;<em>\u201eMedical Device Cybersecurity Regional Incident Preparedness and Response Playbook\u201c<\/em>&nbsp;steht nun bereit.<\/a><\/li>\n<\/ol>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Lesen Sie hier mehr zu den&nbsp;<strong><a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/fda-guidance-zur-cybersecurity\/\" target=\"_blank\" rel=\"noreferrer noopener\">FDA Cybersecurity Guidances<\/a><\/strong> und hier mehr zum <strong><a href=\"https:\/\/www.johner-institut.de\/blog\/johner-institut\/leitfaden-it-sicherheit-guideline-it-security\/\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden IT-Sicherheit<\/a><\/strong>, den das Johner Institut und einige T\u00dcVs gemeinsam herausgegeben haben.<\/p>\n\n\n\n<p>DiGA-Hersteller sollten den <strong><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\">Beitrag zur Datensicherheit und zum Datenschutz f\u00fcr DIGA<\/a><\/strong> lesen. Dieser fasst alle f\u00fcr DIGA relevanten regulatorischen Anforderungen zusammen und erspart Ihnen somit die Suche in 100 Seiten an Vorschriften. Dazu z\u00e4hlt auch der BSI TR 03161.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"b-anforderungen-an-die-betreiber\">b) Anforderungen an die Betreiber<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"eu-verordnungen-eu-richtlinien-nationale-gesetze\">EU-Verordnungen, EU-Richtlinien, nationale Gesetze<\/h4>\n\n\n\n<p>Vielen unbekannt ist die <a aria-label=\"EU-Richtlinie 2016\/1148 (opens in a new tab)\" href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/HTML\/?uri=CELEX:32016L1148&amp;from=EN\" target=\"_blank\" rel=\"noreferrer noopener\">EU-Richtlinie 2016\/1148<\/a> <em>&#8222;\u00fcber Ma\u00dfnahmen zur Gew\u00e4hrleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union&#8220;<\/em>. Sie ist auch als NIS Directive bekannt (The Directive on security of network and information systems).<\/p>\n\n\n\n<p>Diese Richtlinie nennt im Anhang II explizit &#8222;<em>Einrichtungen der medizinischen Versorgung (einschlie\u00dflich Krankenh\u00e4user und Privatkliniken)<\/em>&#8222;. Sie wurde als <a aria-label=\"BSI-Gesetz (opens in a new tab)\" href=\"https:\/\/www.gesetze-im-internet.de\/bsig_2009\/BJNR282110009.html\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>BSI-Gesetz<\/strong><\/a> (s.o.) in nationales Recht \u00fcberf\u00fchrt.<\/p>\n\n\n\n<p>Weiter m\u00fcssen die Betreiber den Datenschutz gew\u00e4hrleisten. Die IT-Sicherheit ist eine notwendige, aber keine hinreichende Voraussetzung daf\u00fcr. Die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/eu-datenschutzgrundverordnung-dsgvo\/\">Datenschutzgrundverordnung<\/a> bildet die Grundlage.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"nationale-gesetze-und-verordnungen\">Nationale Gesetze und Verordnungen<\/h4>\n\n\n\n<p>Daneben gibt es nationale Vorschriften wie beispielsweise das <strong><a href=\"http:\/\/www.gesetze-im-internet.de\/bsig_2009\/index.html\" target=\"_blank\" rel=\"noopener noreferrer\">BSI-Gesetz<\/a><\/strong> sowie weitere Anforderungen des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) speziell an das Gesundheitswesen. Im Zuge der <a href=\"https:\/\/www.bmi.bund.de\/SharedDocs\/downloads\/DE\/publikationen\/themen\/bevoelkerungsschutz\/kritis.html;jsessionid=2678D599A63F0018F375BBB8745658ED.2_cid350\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Nationalen Strategie zum Schutz kritischer Infrastrukturen<\/a> (KRITIS-Strategie) wurde auch das <strong><a href=\"https:\/\/www.bgbl.de\/xaver\/bgbl\/start.xav?startbk=Bundesanzeiger_BGBl&amp;jumpTo=bgbl115s1324.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl115s1324.pdf%27%5D__1508055935434\" target=\"_blank\" rel=\"noopener noreferrer\">IT-Sicherheitsgesetz<\/a><\/strong> in Kraft gesetzt, das das Gesundheitswesen explizit einschlie\u00dft.<\/p>\n\n\n\n<p>Durch die st\u00e4rkere Vernetzung werden Hersteller von Medizinprodukten zunehmend auch zum Betreiber, sodass die <strong><a href=\"https:\/\/www.gesetze-im-internet.de\/mpbetreibv_2025\/BJNR0260B0025.html\" target=\"_blank\" rel=\"noreferrer noopener\">MPBetreibV<\/a><\/strong> zum Tragen kommt, die den sicheren Betrieb fordert.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"normen\">Normen<\/h4>\n\n\n\n<p>Die <strong><a href=\"\/blog\/tag\/iec-80001\">IEC 80001<\/a><\/strong> ist eine Norm, die das Risikomanagement beim Betrieb von IT-Systemen im Gesundheitswesen beschreibt. Die Daten- und Systemsicherheit (IT-Security) ist eines der drei expliziten Schutzziele. Relevant ist in diesem Kontext insbesondere die <a href=\"https:\/\/www.iso.org\/standard\/64635.html\">IEC 80001-2-8<\/a> (Application guidance &#8212; Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2).<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"sonstiges\">Sonstiges<\/h4>\n\n\n\n<p>Die Deutsche Krankenhausgesellschaft hat einen <a href=\"https:\/\/www.dkgev.de\/fileadmin\/default\/Mediapool\/2_Themen\/2.1_Digitalisierung_Daten\/2.1.4._IT-Sicherheit_und_technischer_Datenschutz\/2.1.4.1._IT-Sicherheit_im_Krankenhaus\/B3S_KH_v1.1_8a_geprueft.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden mit dem Titel &#8222;Branchenspezifischer Sicherheitsstandard f\u00fcr die Gesundheitsversorgung im Krankenhaus&#8220;<\/a> herausgegeben. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"c-branchenunspezifische-anforderungen\">c) Branchenunspezifische&nbsp;Anforderungen<\/h3>\n\n\n\n<p>Auch die folgenden Gesetze&nbsp;haben einen direkten Bezug zur IT-Sicherheit:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>KontraG<\/li>\n\n\n\n<li>StGB: \u00a7 202b Abfangen von Daten,&nbsp;\u00a7 263a Computerbetrug, \u00a7 303a Datenver\u00e4nderung und&nbsp;\u00a7 303b Computersabotage<\/li>\n<\/ul>\n\n\n\n<p>Dieser Beitrag&nbsp;verschafft Ihnen einen&nbsp;<a href=\"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/\">\u00dcberblick \u00fcber die relevanten&nbsp;<strong>Datenschutz-Vorschriften<\/strong><\/a>.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Beachten Sie auch den Podcast zur IT-Sicherheit!<\/span><\/div>\n<p>Christian Rosenzweig, der am Johner Institut auch die Seminare zur IT-Sicherheit h\u00e4lt und Hersteller dabei unterst\u00fctzt, berichtet im Gespr\u00e4ch mit Professor Johner, welche Schwerpunkte die Benannte Stellen haben, welche Kritikpunkte sie \u00e4u\u00dfern und wie es Herstellern gelingen kann, die &#8222;Zulassungen&#8220; dennoch schnell und sicher zu erhalten.<\/p>\n\n\n\n<p>Diese und weitere Podcast-Episoden finden Sie auch&nbsp;<a href=\"https:\/\/www.johner-institut.de\/podcast\/medical-device-insights\/\">hier<\/a>.<\/p>\n<\/div>\n\n\n\t\t\t<style type=\"text\/css\">#pp-podcast-842 a, .pp-modal-window .modal-842 a, .pp-modal-window .aux-modal-842 a, #pp-podcast-842 .ppjs__more { color: #dc1a22; } #pp-podcast-842:not(.modern) .ppjs__audio .ppjs__button.ppjs__playpause-button button *, #pp-podcast-842:not(.modern) .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover *, #pp-podcast-842:not(.modern) .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus *, .pp-modal-window .modal-842 .ppjs__audio .ppjs__button.ppjs__playpause-button button *, .pp-modal-window .modal-842 .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover *, .pp-modal-window .modal-842 .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus *, .pp-modal-window .aux-modal-842 .pod-entry__play *, .pp-modal-window .aux-modal-842 .pod-entry__play:hover * { color: #dc1a22 !important; } #pp-podcast-842.postview .episode-list__load-more, .pp-modal-window .aux-modal-842 .episode-list__load-more, #pp-podcast-842:not(.modern) .ppjs__time-handle-content, .modal-842 .ppjs__time-handle-content { border-color: #dc1a22 !important; } #pp-podcast-842:not(.modern) .ppjs__audio-time-rail, #pp-podcast-842.lv3 .pod-entry__play, #pp-podcast-842.lv4 .pod-entry__play, #pp-podcast-842.gv2 .pod-entry__play, #pp-podcast-842.modern.wide-player .ppjs__audio .ppjs__button.ppjs__playpause-button button, #pp-podcast-842.modern.wide-player .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover, #pp-podcast-842.modern.wide-player .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus, .pp-modal-window .modal-842 button.episode-list__load-more, .pp-modal-window .modal-842 .ppjs__audio-time-rail, .pp-modal-window .modal-842 button.pp-modal-close { background-color: #dc1a22 !important; } #pp-podcast-842 .hasCover .ppjs__audio .ppjs__button.ppjs__playpause-button button { background-color: rgba(0, 0, 0, 0.5) !important; } .pp-modal-window .modal-842 button.episode-list__load-more:hover, .pp-modal-window .modal-842 button.episode-list__load-more:focus, .pp-modal-window .aux-modal-842 button.episode-list__load-more:hover, .pp-modal-window .aux-modal-842 button.episode-list__load-more:focus { background-color: rgba( 220,26,34, 0.7 ) !important; } #pp-podcast-842 .ppjs__button.toggled-on, .pp-modal-window .modal-842 .ppjs__button.toggled-on, #pp-podcast-842.playerview .pod-entry.activeEpisode, .pp-modal-window .modal-842.playerview .pod-entry.activeEpisode { background-color: rgba( 220,26,34, 0.1 ); } #pp-podcast-842.postview .episode-list__load-more { background-color: transparent !important; } #pp-podcast-842.modern:not(.wide-player) .ppjs__audio .ppjs__button.ppjs__playpause-button button *, #pp-podcast-842.modern:not(.wide-player) .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover *, #pp-podcast-842.modern:not(.wide-player) .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus * { color: #dc1a22 !important; } #pp-podcast-842.modern:not(.wide-player) .ppjs__time-handle-content { border-color: #dc1a22 !important; } #pp-podcast-842.modern:not(.wide-player) .ppjs__audio-time-rail { background-color: #dc1a22 !important; } #pp-podcast-842, .modal-842, .aux-modal-842 { --pp-accent-color: #dc1a22; } #pp-podcast-842 .ppjs__script-button { display: none; }<\/style>\n\t\t\t<div id=\"pp-podcast-842\" class=\"pp-podcast single-episode has-header header-hidden playerview media-audio hide-download hide-description hide-content\"  data-teaser=\"\" data-elength=\"18\" data-eunit=\"\" data-ppsdata=\"{&quot;ppe-842-1&quot;:{&quot;title&quot;:&quot;2023-04: IT-Sicherheit: Erwartungen der Benannte Stellen&quot;,&quot;author&quot;:&quot;Christian Rosenzweig, Prof. Dr. Christian Johner&quot;,&quot;date&quot;:&quot;7. M\\u00e4rz 2023&quot;,&quot;link&quot;:&quot;https:\\\/\\\/johner-institut.podigee.io\\\/64-it-sicherheit-benannte-stellen&quot;,&quot;src&quot;:&quot;https:\\\/\\\/audio.podigee-cdn.net\\\/1038586-m-30b64a6506d31c3825a9e1f4555f77d6.mp3?source=feed&quot;,&quot;mediatype&quot;:&quot;audio&quot;,&quot;season&quot;:0,&quot;categories&quot;:[],&quot;duration&quot;:&quot;14:10&quot;,&quot;episodetype&quot;:&quot;full&quot;,&quot;timestamp&quot;:1678158000,&quot;key&quot;:&quot;0a1b43024933061b0dd35c68d717534e&quot;},&quot;load_info&quot;:{&quot;loaded&quot;:1,&quot;displayed&quot;:1,&quot;offset&quot;:0,&quot;maxItems&quot;:1,&quot;src&quot;:&quot;5a329de0e539499bf1ed92d7abcc9adb&quot;,&quot;step&quot;:1,&quot;sortby&quot;:&quot;sort_date_desc&quot;,&quot;filterby&quot;:&quot;IT-Sicherheit&quot;,&quot;fixed&quot;:&quot;&quot;,&quot;args&quot;:{&quot;imgurl&quot;:&quot;https:\\\/\\\/images.podigee-cdn.net\\\/0x,sqvWI5fZv_m3DhwUGGW8fZRSSgFarfP0F8a2nNIFtktA=\\\/https:\\\/\\\/main.podigee-cdn.net\\\/uploads\\\/u17081\\\/b9425c6a-8ecc-48cf-888c-a2351bacd246.jpg&quot;,&quot;imgset&quot;:&quot;&quot;,&quot;display&quot;:&quot;&quot;,&quot;hddesc&quot;:1,&quot;hdfeat&quot;:1,&quot;oricov&quot;:&quot;https:\\\/\\\/images.podigee-cdn.net\\\/0x,sqvWI5fZv_m3DhwUGGW8fZRSSgFarfP0F8a2nNIFtktA=\\\/https:\\\/\\\/main.podigee-cdn.net\\\/uploads\\\/u17081\\\/b9425c6a-8ecc-48cf-888c-a2351bacd246.jpg&quot;,&quot;elength&quot;:18}},&quot;rdata&quot;:{&quot;permalink&quot;:&quot;https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-json\\\/wp\\\/v2\\\/posts\\\/12813&quot;,&quot;fprint&quot;:&quot;5a329de0e539499bf1ed92d7abcc9adb&quot;,&quot;from&quot;:&quot;feedurl&quot;,&quot;elen&quot;:18,&quot;eunit&quot;:&quot;&quot;,&quot;teaser&quot;:&quot;&quot;,&quot;title&quot;:&quot;&quot;,&quot;autoplay&quot;:&quot;&quot;}}\"><div class=\"pp-podcast__wrapper\"><div class=\"pp-podcast__info pod-info\"><div class=\"pod-info__header pod-header\"><div class=\"pod-header__image\"><div class=\"pod-header__image-wrapper\"><img decoding=\"async\" class=\"podcast-cover-image\" src=\"https:\/\/images.podigee-cdn.net\/0x,sqvWI5fZv_m3DhwUGGW8fZRSSgFarfP0F8a2nNIFtktA=\/https:\/\/main.podigee-cdn.net\/uploads\/u17081\/b9425c6a-8ecc-48cf-888c-a2351bacd246.jpg\" srcset=\"\" sizes=\"(max-width: 640px) 100vw, 25vw\" alt=\"\"><\/div><span class=\"pod-header__image-style\" style=\"display: block; width: 100%; padding-top: 100%\"><\/div><\/div><\/div><div class=\"pp-podcast__content pod-content\"><div class=\"pp-podcast__single\"><div class=\"pp-podcast__player\"><div class=\"pp-player-episode\"><audio id=\"pp-podcast-842-player\" preload=\"none\" class=\"pp-podcast-episode\" style=\"width: 100%;\" controls=\"controls\"><source type=\"audio\/mpeg\" src=\"https:\/\/audio.podigee-cdn.net\/1038586-m-30b64a6506d31c3825a9e1f4555f77d6.mp3?source=feed\" \/><\/audio><\/div><\/div><div class=\"pod-content__episode episode-single\"><button class=\"episode-single__close\" aria-expanded=\"false\" aria-label=\"Close Single Episode\"><span class=\"btn-icon-wrap\"><svg class=\"icon icon-pp-x\" aria-hidden=\"true\" role=\"img\" focusable=\"false\"><use href=\"#icon-pp-x\" xlink:href=\"#icon-pp-x\"><\/use><\/svg><\/span><\/button><div class=\"episode-single__wrapper\"><div class=\"episode-single__header\"><div class=\"episode-single__title\">2023-04: IT-Sicherheit: Erwartungen der Benannte Stellen<\/div><div class=\"episode-single__author\"><span class=\"byname\">by<\/span><span class=\"single-author\">Christian Rosenzweig, Prof. Dr. Christian Johner<\/span><\/div><\/div><\/div><\/div><\/div><\/div><\/div><div class=\"pod-content__launcher pod-launch\"><button class=\"pod-launch__button pod-launch__info pod-button\" aria-expanded=\"false\"><span class=\"ppjs__offscreen\">Show Podcast Information<\/span><span class=\"btn-icon-wrap\"><svg class=\"icon icon-pp-podcast\" aria-hidden=\"true\" role=\"img\" focusable=\"false\"><use href=\"#icon-pp-podcast\" xlink:href=\"#icon-pp-podcast\"><\/use><\/svg><svg class=\"icon icon-pp-x\" aria-hidden=\"true\" role=\"img\" focusable=\"false\"><use href=\"#icon-pp-x\" xlink:href=\"#icon-pp-x\"><\/use><\/svg><\/span><\/button><\/div><\/div>\n\n\n<h2 aria-label=\"3. Negativbeispiele\">3. Beispiele f\u00fcr die Verletzung von IT-Security<\/h2>\n\n\n\n<p>Eine \u00dcbersicht \u00fcber IT-Sicherheitsprobleme im Gesundheitswesen liefert&nbsp;ein <a href=\"https:\/\/www.doccheck.com\/de\/detail\/articles\/1863-medizingeraete-implantat-fein-gehackt\" rel=\"nofollow\">Beitrag von Doccheck<\/a>.&nbsp;Die AAMI berichtet, dass auch f\u00fcr die FDA die Ransomware-Angriffe im Mai 2017 (Wanna Cry) ein Weckruf&nbsp;seien, der auf die Verletzlichkeit der IT-Systeme im Gesundheitswesen aufmerksam mache.<\/p>\n\n\n\n<p>Cave: IT-Sicherheit ist das Ausma\u00df, in dem die Verf\u00fcgbarkeit, Integrit\u00e4t und Vertraulichkeit von Informationen gesch\u00fctzt ist. IT-Sicherheit ist mehr als der Schutz vor Cyberangriffen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"a-medizintechnikhersteller\">a) Medizintechnikhersteller<\/h3>\n\n\n\n<p>Es finden sich st\u00e4ndig neue Bedrohungen durch Medizinprodukte, die offensichtlich die Forderungen nach Risikomanagement sowie die <a aria-label=\"FDA Cybersecurity Guidance (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/fda\/fda-guidance-zur-cybersecurity\/\" target=\"_blank\" rel=\"noreferrer noopener\">FDA Cybersecurity Guidance<\/a> und damit elementare Sicherheitsstandards ignorieren.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die Hospira Infusionspumpen weisen eine fatale Telnet-L\u00fccke auf, wie heise.de mehrfach und auch hextech.com berichten [<a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Root-Shell-im-Krankenhaus-Hospira-Infusionspumpe-mit-Telnet-Luecke-2633529.html\" target=\"_blank\" rel=\"noopener noreferrer\">1<\/a>], [<a href=\"http:\/\/www.heise.de\/security\/meldung\/Root-Shell-im-Krankenhaus-Hospira-Infusionspumpe-mit-Telnet-Luecke-2633529.html\" target=\"_blank\" rel=\"noopener noreferrer\">2<\/a>].<\/li>\n\n\n\n<li>Tausende Medizinger\u00e4te sind aus dem Internet angreifbar, wie heise.de und golem.de \u00fcbereinstimmend berichten [<a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Tausende-medizinische-Geraete-aus-dem-Internet-angreifbar-2831620.html\" target=\"_blank\" rel=\"noopener noreferrer\">3<\/a>], [<a href=\"http:\/\/www.golem.de\/news\/it-sicherheit-lebenswichtige-medizinische-geraete-ungeschuetzt-im-internet-1509-116563.html\" target=\"_blank\" rel=\"noopener noreferrer\">4<\/a>].<\/li>\n\n\n\n<li>Zunehmend werden Schlampereien von Herstellern beim Schreiben und Updaten von Firmware zum Problem.<\/li>\n\n\n\n<li>Mehrfach <a aria-label=\" (opens in a new tab)\" href=\"https:\/\/www.fda.gov\/news-events\/fda-brief\/fda-brief-fda-warns-patients-providers-about-cybersecurity-concerns-certain-medtronic-implantable\" target=\"_blank\" rel=\"noreferrer noopener\">warnt die FDA<\/a> vor aktiven Implantaten von Medtronic, bei denen die Kommunikation unverschl\u00fcsselt geschieht und\/oder keine Autorisierung erfolgt.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"bsi\">BSI: Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte<\/h4>\n\n\n\n<p>Interessant ist auch die systematische Auswertung des BSI mit dem Titel <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/DigitaleGesellschaft\/ManiMed_Abschlussbericht.pdf?__blob=publicationFile&amp;v=3\">Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte<\/a>. Die Beh\u00f6rde untersuchte dabei die folgenden Produktklassen: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implantierbare Herzschrittmacher und Defibrillatoren sowie deren Equipment<\/li>\n\n\n\n<li>Insulinpumpen<\/li>\n\n\n\n<li>Beatmungsger\u00e4te<\/li>\n\n\n\n<li>Infusionspumpen<\/li>\n\n\n\n<li>Patientenmonitore<\/li>\n<\/ul>\n\n\n\n<p>Als Ergebnis schlussfolgert das BSI:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Insgesamt wurden den Herstellern im Rahmen des Projekts mehr als 150 Schwachstellen gemeldet. Bei der Pr\u00fcfung stellte sich heraus, dass die Schwachstellen h\u00e4ufig in der begleitenden Infrastruktur, selten jedoch in Medizinprodukten zu finden waren.  [&#8230;] Es wird darauf hingewiesen, dass die Ergebnisse der IT-Sicherheitspr\u00fcfungen m\u00f6glicherweise verzerrt, beziehungsweise beeinflusst wurden.  Da die Teilnahme der Hersteller am Projekt freiwillig war, wurde erwartet, dass diejenigen Hersteller am ehesten kooperieren w\u00fcrden, die bereits einen gewissen Reifegrad<br>in ihren IT-Sicherheitsprozessen aufweisen.<br>Die Sicherheitsbewertungen haben auch gezeigt, dass die IT-Sicherheitslage von Hersteller zu Hersteller sehr unterschiedlich ist und stark vom Reifegrad des einzelnen Herstellers abh\u00e4ngt. <\/p>\n<cite>BSI<\/cite><\/blockquote>\n\n\n\n<p>Hersteller sollten diese Dokumente nutzen und<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00fcberpr\u00fcfen, ob die eigenen Produkte von dem gleichen Fehler betroffen sind;<\/li>\n\n\n\n<li>dieses Dokument in ihrer Post-Market Surveillance ber\u00fccksichtigen;<\/li>\n\n\n\n<li>die empfohlenen Ma\u00dfnahmen zum Vermeiden von Schwachstellen daraufhin \u00fcberpr\u00fcfen, ob sie im eigenen Unternehmen anwendbar sind (&#8222;Preventive Action&#8220;);<\/li>\n\n\n\n<li>die verwendeten Methoden zum Aufsp\u00fcren der Schwachstellen ggf. in das eigene Arsenal \u00fcbernehmen. Das BSI listet sogar Methoden f\u00fcr die \u00dcberpr\u00fcfung von Apps und Web-basierten Systemen, obwohl diese gar nicht Schwerpunkt der Studie waren.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"bsi-ecare-digitalisierung-in-der-pflege\">BSI: eCare Digitalisierung in der Pflege<\/h4>\n\n\n\n<p>Die Auswertung des BSI liest sich spannend. Bereits die Markt\u00fcbersicht ist hilfreich. Die vernetzten Systeme reichen von Hausnotrufsystemen \u00fcber smarte Betten und die Schlaf\u00fcberwachung bis zu vernetzten W\u00e4rmedecken.<\/p>\n\n\n\n<p>Das Ergebnis ist ern\u00fcchternd:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Zusammenfassend l\u00e4sst sich unter Ber\u00fccksichtigung des besonders hohen Schutzbedarfs von Gesundheitsdaten das vorgefundene IT-Sicherheitsniveau mit schlecht bis sehr schlecht bewerten. Das kann u.a. damit begr\u00fcndet werden, dass bei allen untersuchten Ger\u00e4ten mittlere bis schwere Schwachstellen aufgedeckt worden sind. Zudem gilt es zu ber\u00fccksichtigen, dass die Pr\u00fcftiefe [&#8230;] als niedrig zu bezeichnen ist und bei weitem keinen vollst\u00e4ndigen Penetrationstests oder einer Sicherheitsevaluierung entspricht.<\/p>\n<cite>BSI: \u201e\u201eeCare \u2013 Digitalisierung in der Pflege. Aktuelle Marktanalyse und IT-Sicherheitsbetrachtung\u201c<\/cite><\/blockquote>\n\n\n\n<p>&#8222;Setzen, 6&#8220; k\u00f6nnte man diese Schlussfolgerung zusammenfassen. Zumindest eignen sich die Produkte als schlechtes Vorbild und verschaffen Herstellern eine Vorstellung davon, <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>wie das BSI pr\u00fcft, wenn es nur oberfl\u00e4chlich pr\u00fcft,<\/li>\n\n\n\n<li>welche Mindestanforderungen das BSI stellt,<\/li>\n\n\n\n<li>welche Fehler Herstellern auf keinen Fall unterlaufen d\u00fcrfen.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"b-krankenkassen\">b) Krankenkassen<\/h3>\n\n\n\n<p>In einigen Artikeln haben wir bereits der Sorge Ausdruck verliehen, dass es nur noch eine Frage der Zeit ist, bis auch Krankenh\u00e4user und Klinikketten durch Datendiebe erpresst werden. Leider hatte ich einen wichtigen erpressbaren Teilnehmer des Gesundheitswesens \u00fcbersehen: die Krankenkassen. Jetzt ist es passiert, wie die S\u00fcddeutsche und der Spiegel berichten [<a href=\"http:\/\/www.sueddeutsche.de\/,ra13m1\/finanzen\/729\/502958\/text\/\" target=\"_blank\" rel=\"noopener noreferrer\">7<\/a>].<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"c-krankenhauser\">c) Krankenh\u00e4user<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"cyberangriffe\">Cyberangriffe<\/h4>\n\n\n\n<p>Die IT-Sicherheit im Gesundheitswesen wird immer st\u00e4rker bedroht, weil die Hacker den Wert der Daten erkannt haben [<a href=\"http:\/\/www.silicon.de\/41624339\/neuer-ibm-it-sicherheitsreport-gesundheitsdaten-ziehen-kriminelle-besonders-an\/\">9<\/a>].<\/p>\n\n\n\n<p>Oft sind&nbsp;die Krankenh\u00e4user&nbsp;nicht gezieltes Opfer von&nbsp;Cyberangriffen. Vielmehr steht deren&nbsp;unzureichend gewartete IT-Infrastruktur mit veralteten und nicht gepatchten Betriebssystemen wie offene Scheunentore den Angriffen hilflos gegen\u00fcber:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Im Februar 2016 legt der&nbsp;Computervirus &#8222;Locky&#8220; mehrere Kliniken in Nordrhein-Westfalen lahm. Dies berichten beispielsweise <a href=\"http:\/\/www.rp-online.de\/nrw\/panorama\/hacker-angriffe-auf-mehrere-kliniken-in-nrw-aid-1.5761798\" rel=\"nofollow\">rp-online<\/a> und <a href=\"http:\/\/heise.de\/-3100418\" rel=\"nofollow\">heise.de<\/a>. Ein Kommentator schreibt, dass nicht zwei, sondern 48(!) Kliniken betroffen sind. Ein Experte von Kaspersky best\u00e4tigt die Schwachstellen (<a href=\"http:\/\/www.medizin-edv.de\/modules\/AMS\/article.php?storyid=3899\">Artikel im KH-IT-Journal)<\/a>.<\/li>\n\n\n\n<li>Diese Angriffe beschr\u00e4nken sich nicht auf Deutschland. Ein Krankenhaus in Kalifornien muss Millionen an L\u00f6segeld bezahlen, wie <a href=\"http:\/\/www.inquisitr.com\/2800186\/hackers-hold-hollywood-hospital-to-ransom-for-3-6-million-in-bitcoin-in-ransomware-cyberattack\/\" rel=\"nofollow\">Inquisitr berichtet<\/a>.<\/li>\n\n\n\n<li>Im Mai 2017 trifft es erneut Krankenh\u00e4user, insbesondere die des britischen Gesundheitssystems NHS [<a href=\"https:\/\/www.theguardian.com\/technology\/2017\/may\/15\/warning-of-nhs-cyber-attack-was-not-acted-on-cybersecurity\" rel=\"nofollow\">10<\/a>, <a href=\"https:\/\/www.nzz.ch\/wirtschaft\/wanna-cry-veraltete-systeme-sind-eine-grosse-gefahr-ld.1293234\" rel=\"nofollow\">11<\/a>]. Dieses Mal hei\u00dft der Virus &#8222;Wanna Cry&#8220;.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"ubersicht-uber-anzahl-und-ursachen-der-datenverluste\">\u00dcbersicht \u00fcber Anzahl und Ursachen der Datenverluste<\/h4>\n\n\n\n<p>Das <a aria-label=\"U.S. Department of Health and Human Services ver\u00f6ffentlich und bewertet fortlaufend die &quot;Security Braches&quot; im Gesundheitwesen (opens in a new tab)\" href=\"https:\/\/ocrportal.hhs.gov\/ocr\/breach\/breach_report.jsf\" target=\"_blank\" rel=\"noreferrer noopener\">U.S. Department of Health and Human Services ver\u00f6ffentlicht und bewertet fortlaufend die &#8222;Security Breaches&#8220; im Gesundheitswesen<\/a>. Die Analysen zeigen, dass die Anzahl der Zwischenf\u00e4lle kontinuierlich steigt.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"484\" height=\"334\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg\" alt=\"Anzahl der Probleme mit der IT-Sicherheit im Gesundheitswesen (Quelle: US DHS)\" class=\"wp-image-2737953\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg 484w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2-300x207.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2-150x104.jpg 150w\" sizes=\"auto, (max-width: 484px) 100vw, 484px\" \/><figcaption class=\"wp-element-caption\"><strong>Abb. 1<\/strong>:. Die Anzahl der &#8222;Breaches&#8220; steigt seit Jahren kontinuierlich. Anfang Oktober 2019 hat die Anzahl der Zwischenf\u00e4lle schon fast das Niveau des Vorjahrs erreicht.<\/figcaption><\/figure>\n\n\n\n<p>Die Beh\u00f6rde hat auch die Arten der Angriffe untersucht:<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"679\" height=\"379\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Types3.jpg\" alt=\"Kuchendiagramm: ein Drittel der &quot;Breaches&quot; sind durch Hacking verursacht. (Daten: Januar 2017 bis Oktober 2019)\" class=\"wp-image-2738383\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Types3.jpg 679w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Types3-300x167.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Types3-150x84.jpg 150w\" sizes=\"auto, (max-width: 679px) 100vw, 679px\" \/><figcaption class=\"wp-element-caption\"><strong>Abb. 2<\/strong>: Ein Drittel der &#8222;Breaches&#8220; sind durch Hacking verursacht. (Daten: Januar 2017 bis Oktober 2019)<\/figcaption><\/figure>\n\n\n\n<p>Dabei haben die Datenabfl\u00fcsse durch Hacking kontinuierlich zugenommen:<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"757\" height=\"420\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress.jpg\" alt=\" Grafik der Anteil der Braches durch &quot;Hacking\/IT Incident&quot; hat \u00fcber die Jahre kontinuierlich zugenommen. Daf\u00fcr gibt es weniger klassische Diebst\u00e4hle. (Daten: Januar 2009 bis Mai 2019)\" class=\"wp-image-2738390\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress.jpg 757w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress-300x166.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress-150x83.jpg 150w\" sizes=\"auto, (max-width: 757px) 100vw, 757px\" \/><figcaption class=\"wp-element-caption\"><strong>Abb. 3<\/strong>: Der Anteil der Breaches durch &#8222;Hacking\/IT Incident&#8220; hat \u00fcber die Jahre kontinuierlich zugenommen. Daf\u00fcr gibt es weniger klassische Diebst\u00e4hle. (Daten: Januar 2009 bis Mai 2019)<\/figcaption><\/figure>\n\n\n\n<p>Trotzdem muss klar sein, dass ein gro\u00dfer Anteil der Probleme mit der IT-Sicherheit im Gesundheitswesen nicht auf b\u00f6swillige Angriffe von au\u00dfen zur\u00fcckzuf\u00fchren ist. Vielmehr ist die Nachl\u00e4ssigkeit der Krankenh\u00e4user und Praxen Ursache von &#8222;geleakten&#8220; Daten. So standen im September 2019 Millionen radiologische Bilddaten ungesch\u00fctzt im Netz [<a href=\"https:\/\/www.sueddeutsche.de\/digital\/patientendaten-netz-sicherheit-1.4604064\">Quelle<\/a>].<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"staatliche-stellen\">Staatliche Stellen<\/h4>\n\n\n\n<p>Nicht nur Verschw\u00f6rungstheoretiker lassen sich dar\u00fcber aus, welche M\u00f6glichkeiten die NSA nutzt oder nutzen kann, weil die IT-Sicherheit im Gesundheitswesen so l\u00f6chrig ist. Dazu finden Sie auch mehr in einem <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/\">Artikel zur&nbsp;IT-Sicherheit<\/a>&nbsp;(unabh\u00e4ngig vom Gesundheitswesen).<\/p>\n\n\n\n<p>Auch f\u00fcr die Wanna-Cry-Angriffe gibt man der NSA eine Mitschuld: Sie hatte die Sicherheitsl\u00fccke in Windows erkannt und f\u00fcr nachrichtendienstliche Aktivit\u00e4ten ausgenutzt. Sie hatte die L\u00fccke noch nicht einmal dann an Microsoft gemeldet, als ihr die Spionagewerkzeuge gemeldet wurden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"d-bedrohungen\">d) Bedrohungen<\/h3>\n\n\n\n<p>Das ECRI Institute hat die gr\u00f6\u00dften Gef\u00e4hrdungen f\u00fcr Patienten in dem Dokument <a href=\"https:\/\/www.ecri.org\/Resources\/Whitepapers_and_reports\/Haz_18.pdf\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"Top 10 Health Technology Hazards for 2018 (opens in a new tab)\">Top 10 Health Technology Hazards for 2018<\/a> zusammengetragen. Darunter sind mehrere Gef\u00e4hrdungen, die die IT-Sicherheit betreffen (fett markiert).<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Ransomware and Other Cybersecurity Threats to Healthcare Delivery Can Endanger Patients<\/strong><\/li>\n\n\n\n<li>Endoscope Reprocessing Failures Continue to Expose Patients to Infection Risk<\/li>\n\n\n\n<li>Mattresses and Covers May Be Infected by Body Fluids and Microbiological Contaminants<\/li>\n\n\n\n<li><strong>Missed Alarms May Result from Inappropriately Configured Secondary Notification Devices and Systems<\/strong><\/li>\n\n\n\n<li>Improper Cleaning May Cause Device Malfunctions, Equipment Failures, and Potential for Patient Injury<\/li>\n\n\n\n<li>Unholstered Electrosurgical Active Electrodes Can Lead to Patient Burns<\/li>\n\n\n\n<li>Inadequate Use of Digital Imaging Tools May Lead to Unnecessary Radiation Exposure<\/li>\n\n\n\n<li>Workarounds Can Negate the Safety Advantages of Bar-Coded Medication Administration Systems<\/li>\n\n\n\n<li><strong>Flaws in Medical Device Networking Can Lead to Delayed or Inappropriate Care<\/strong><\/li>\n\n\n\n<li>Slow Adoption of Safer Enteral Feeding Connectors Leaves Patients at Risk<\/li>\n<\/ol>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<h2 aria-label=\"4. Umsetzung\">4. Umsetzung der IT-Sicherheit<\/h2>\n\n\n\n<p>Bitte beachten Sie den <a aria-label=\"Leitfaden zur IT-Sicherheit (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/johner-institut\/leitfaden-it-sicherheit-guideline-it-security\/\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden zur IT-Sicherheit<\/a>, den das Johner Institut gemeinsam mit dem T\u00dcV S\u00fcd und weiteren Benannten Stellen herausgegeben hat. Er gibt eine Schritt-f\u00fcr-Schritt-Anleitung, um die IT-Sicherheit entlang des Produktlebenszyklusprozesses zu gew\u00e4hrleisten.<\/p>\n\n\n\n<p>Das Team des Johner Institut begleitet Hersteller auch dabei, ISO 27001-konforme Informationssicherheitsmanagementsysteme (ISMS) schnell und wirksam einzuf\u00fchren. Sind Sie interessiert? Dann nehmen Sie gleich Kontakt auf, z. B. \u00fcber das <a href=\"\/kontakt\/\">Kontaktformular<\/a>. In einem unverbindlichen Gespr\u00e4ch erfahren Sie, wie die Einf\u00fchrung eines ISMS abl\u00e4uft, wie lange das dauert und welche Kosten daf\u00fcr anfallen.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p>Aktualisierung<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2023-02-17: Anforderungen des HIPAA verlinkt<\/li>\n\n\n\n<li>2022-12: Neue rechtliche Vorgaben erg\u00e4nzt<\/li>\n\n\n\n<li>2022-09: Hinweise zum EU Cyber Resilience Act sowie zur ISO 27000er-Familie erg\u00e4nzt<\/li>\n\n\n\n<li>2022-06: Sektion mit rechtlichen Anforderungen um Entwurf des neuen FDA Guidance Documents und IEC 80001-5-1 erg\u00e4nzt<\/li>\n\n\n\n<li>2022-02: Hinweise zu Anforderungen an IT-Sicherheit in der Funkger\u00e4terichtlinie (RED) erg\u00e4nzt<\/li>\n\n\n\n<li>2021-02: In Kapitel 3.a) die Ver\u00f6ffentlichungen des BSI erg\u00e4nzt; in Kapitel 2.a) die Vielzahl der regulatorischen Vorgaben mit Zwischen\u00fcberschriften besser gegliedert<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Wie gef\u00e4hrdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher achten die Beh\u00f6rden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gew\u00e4hrleisten. In diesem Artikel erhalten Sie einen \u00dcberblick dar\u00fcber, was die IT-Sicherheit im&hellip;<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[5,1108],"tags":[1126,1107,269,680],"ppma_author":[1213],"class_list":["post-12813","post","type-post","status-publish","format-standard","hentry","category-gesundheitswesen","category-regulatory-affairs","tag-it-security","tag-krankenhaus","tag-medizinische-software","tag-standalone-software","category-5","category-1108","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>IT-Sicherheit im Gesundheitswesen: Bedrohungen und Vorschriften<\/title>\n<meta name=\"description\" content=\"Lesen Sie, welche Anforderungen an die IT-Sicherheit im Gesundheitswesen Sie erf\u00fcllen m\u00fcssen und wie Sie diese Anforderungen erf\u00fcllen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"IT-Sicherheit im Gesundheitswesen: Bedrohungen und Vorschriften\" \/>\n<meta property=\"og:description\" content=\"Lesen Sie, welche Anforderungen an die IT-Sicherheit im Gesundheitswesen Sie erf\u00fcllen m\u00fcssen und wie Sie diese Anforderungen erf\u00fcllen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2023-02-17T17:54:29+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-03-21T11:58:23+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"16\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"IT-Sicherheit im Gesundheitswesen\",\"datePublished\":\"2023-02-17T17:54:29+00:00\",\"dateModified\":\"2025-03-21T11:58:23+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/\"},\"wordCount\":3028,\"commentCount\":12,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2019\\\/10\\\/IT-Security-Trend-2.jpg\",\"keywords\":[\"IT Security\",\"Krankenh\u00e4user - Labore - Praxen und andere Betreiber\",\"Medizinische Software \\\/ Medical Device Software\",\"Standalone-Software\"],\"articleSection\":[\"Gesundheitswesen &amp; Health IT\",\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/\",\"name\":\"IT-Sicherheit im Gesundheitswesen: Bedrohungen und Vorschriften\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2019\\\/10\\\/IT-Security-Trend-2.jpg\",\"datePublished\":\"2023-02-17T17:54:29+00:00\",\"dateModified\":\"2025-03-21T11:58:23+00:00\",\"description\":\"Lesen Sie, welche Anforderungen an die IT-Sicherheit im Gesundheitswesen Sie erf\u00fcllen m\u00fcssen und wie Sie diese Anforderungen erf\u00fcllen.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2019\\\/10\\\/IT-Security-Trend-2.jpg\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2019\\\/10\\\/IT-Security-Trend-2.jpg\",\"width\":484,\"height\":334},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/it-sicherheit-im-gesundheitswesen\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/regulatory-affairs\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"IT-Sicherheit im Gesundheitswesen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"IT-Sicherheit im Gesundheitswesen: Bedrohungen und Vorschriften","description":"Lesen Sie, welche Anforderungen an die IT-Sicherheit im Gesundheitswesen Sie erf\u00fcllen m\u00fcssen und wie Sie diese Anforderungen erf\u00fcllen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/","og_locale":"de_DE","og_type":"article","og_title":"IT-Sicherheit im Gesundheitswesen: Bedrohungen und Vorschriften","og_description":"Lesen Sie, welche Anforderungen an die IT-Sicherheit im Gesundheitswesen Sie erf\u00fcllen m\u00fcssen und wie Sie diese Anforderungen erf\u00fcllen.","og_url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2023-02-17T17:54:29+00:00","article_modified_time":"2025-03-21T11:58:23+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg","type":"","width":"","height":""}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"16\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"IT-Sicherheit im Gesundheitswesen","datePublished":"2023-02-17T17:54:29+00:00","dateModified":"2025-03-21T11:58:23+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/"},"wordCount":3028,"commentCount":12,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg","keywords":["IT Security","Krankenh\u00e4user - Labore - Praxen und andere Betreiber","Medizinische Software \/ Medical Device Software","Standalone-Software"],"articleSection":["Gesundheitswesen &amp; Health IT","Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/","url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/","name":"IT-Sicherheit im Gesundheitswesen: Bedrohungen und Vorschriften","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg","datePublished":"2023-02-17T17:54:29+00:00","dateModified":"2025-03-21T11:58:23+00:00","description":"Lesen Sie, welche Anforderungen an die IT-Sicherheit im Gesundheitswesen Sie erf\u00fcllen m\u00fcssen und wie Sie diese Anforderungen erf\u00fcllen.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-2.jpg","width":484,"height":334},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","item":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},{"@type":"ListItem","position":3,"name":"IT-Sicherheit im Gesundheitswesen"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":762427,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/internet-der-dinge-iot-im-gesundheitswesen\/","url_meta":{"origin":12813,"position":0},"title":"Internet der Dinge (IoT) im Gesundheitswesen","author":"Prof. Dr. Christian Johner","date":"12. April 2017","format":false,"excerpt":"Beim Internet der Dinge (engl. \"Internet of Things\" kurz IoT) geht es um die digitale Vernetzung von physischen Objekten (\u201ethings\u201c) \u00fcber das Internet (bzw. Internet-Technologien) mit dem Ziel, Prozesse zu automatisieren und zu optimieren. Von den Chancen, die das Internet der Dinge (IoT) erm\u00f6glicht, m\u00f6chte auch das Gesundheitswesen bzw. die\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"IoT im Gesundheitswesen: Anwendungsbeispiele","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/04\/IoT-Gesundheitswesen-Anwendungen.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/04\/IoT-Gesundheitswesen-Anwendungen.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/04\/IoT-Gesundheitswesen-Anwendungen.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/04\/IoT-Gesundheitswesen-Anwendungen.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/04\/IoT-Gesundheitswesen-Anwendungen.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/04\/IoT-Gesundheitswesen-Anwendungen.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":1306343,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/datenschutzbeauftragter-im-gesundheitswesen\/","url_meta":{"origin":12813,"position":1},"title":"Datenschutzbeauftragter im Gesundheitswesen","author":"Prof. Dr. Christian Johner","date":"11. Oktober 2018","format":false,"excerpt":"Die Datenschutzgrundverordnung DSGVO und damit das Bundesdatenschutzgesetz BDSG verlangen in vielen F\u00e4llen einen Datenschutzbeauftragten. Wann Sie einen oder eine Datenschutzbeauftragte\/n ernennen m\u00fcssen und was dessen oder deren Aufgaben sind, erfahren Sie in diesem Artikel. Update: Interessenkonflikte zwischen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten Datenschutzbeauftragter: Wann er gefordert ist Jedes Unternehmen, das Gesundheitsdaten verarbeitet,\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"Datenschutzbeauftragter - Data Protection Officer","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/07\/Datenschutzbeauftragter.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":1150047,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/blockchain-im-gesundheitswesen\/","url_meta":{"origin":12813,"position":2},"title":"Blockchain im Gesundheitswesen","author":"Prof. Dr. Christian Johner","date":"27. M\u00e4rz 2018","format":false,"excerpt":"Die Blockchain hat bereits 2017 den \u201eGipfel der \u00fcberzogenen Erwartungen\u201c im Gartner Hype Cycle \u00fcberschritten [Bild]. Mit der \u00fcblichen Verz\u00f6gerung beginnt die Blockchain im Gesundheitswesen und in der Medizintechnik ins Interesse der Verantwortlichen zu r\u00fccken. Dieser Artikel verschafft Ihnen einen \u00dcberblick \u00fcber den Stand und die Potenziale der Blockchain im\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"Blockchain im Gesundheitswesen: Patientendaten","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/03\/blockchain-gesundheitswesen-klein.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/03\/blockchain-gesundheitswesen-klein.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/03\/blockchain-gesundheitswesen-klein.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/03\/blockchain-gesundheitswesen-klein.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/03\/blockchain-gesundheitswesen-klein.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/03\/blockchain-gesundheitswesen-klein.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":3079705,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/mdr-ivdr-gesundheitseinrichtungen\/","url_meta":{"origin":12813,"position":3},"title":"Auswirkungen der MDR und IVDR auf Gesundheitseinrichtungen wie Kliniken und andere Betreiber","author":"Ulrich Hafen","date":"31. Mai 2023","format":false,"excerpt":"MDR und IVDR stellen auf Hunderten Seiten Anforderungen, v. a. an die Hersteller von Medizinprodukten und IVD. Doch einige dieser Anforderungen betreffen auch die sogenannten Gesundheitseinrichtungen, also Kliniken, Krankenh\u00e4user und medizinische Labore. Das Verst\u00e4ndnis dieser Anforderungen hilft den Betreibern, regulatorische Probleme zu vermeiden, und den Herstellern, im Markt erfolgreich zu\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":5376998,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","url_meta":{"origin":12813,"position":4},"title":"IT-Security bei \u201cLegacy Devices\u201d","author":"Christian Rosenzweig","date":"28. November 2023","format":false,"excerpt":"Dass Gesetze und Normen die IT-Security auch bei \u201eLegacy Devices\u201c einfordern, ist verst\u00e4ndlich. Die Art, wie diese Anforderungen formuliert werden, f\u00fchrt allerdings oft zu Verwirrung. Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei Legacy Devices, einmal um die IT-Sicherheit\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":4415,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/it-netzwerke-risikomanagement\/","url_meta":{"origin":12813,"position":5},"title":"IT-Netzwerke: Besonderheiten bei Krankenh\u00e4usern","author":"Christian Rosenzweig","date":"9. Juni 2015","format":false,"excerpt":"IT-Netzwerke in Krankenh\u00e4usern unterscheiden sich -- auch wenn die verwendeten Produkte und Technologien die gleichen sind -- von\u00a0IT-Netzwerken in anderen Branchen: Risiken: Von den IT-Netzwerken im Krankenhaus h\u00e4ngen regelm\u00e4\u00dfig Menschenleben ab. Regularien: Entsprechend verlangen Gesetze und Normen wie die IEC 80001 ein\u00a0professionelles Risikomanagement\u00a0speziell f\u00fcr \u00fcber IT-Netzwerke verbundene Medizinprodukte. Budgets: Im\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"IEC 80001","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/03\/IEC-80001.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/03\/IEC-80001.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/03\/IEC-80001.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-3kF","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/12813","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=12813"}],"version-history":[{"count":82,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/12813\/revisions"}],"predecessor-version":[{"id":5380897,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/12813\/revisions\/5380897"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=12813"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=12813"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=12813"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=12813"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}