{"id":1480148,"date":"2018-11-06T09:00:46","date_gmt":"2018-11-06T08:00:46","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=1480148"},"modified":"2023-04-15T13:08:14","modified_gmt":"2023-04-15T11:08:14","slug":"iec-62443","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/","title":{"rendered":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus"},"content":{"rendered":"\n<p>Die <strong>IEC 62443-4-1<\/strong> ist Teil einer Normenfamilie zur \u201eIT-Sicherheit f\u00fcr industrielle Automatisierungssysteme\u201c.<\/p>\n\n\n\n<p>Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm f\u00fcr Hersteller von Medizinprodukten sinnvoll anwendbar ist.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\" id=\"familie\">1. Die Normenfamilie IEC 62443<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) \u00dcbersicht<\/h3>\n\n\n\n<p>Die IEC 62443 ist eine ganze Familie an Normen zur IT-Sicherheit von industriellen Automatisierungssystemen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Anforderungen an den Lebenszyklus f\u00fcr eine sichere Produktentwicklung:&nbsp;DIN EN IEC 62443-4-1<\/li>\n\n\n\n<li>Sicherheitsrisikobeurteilung und Systemgestaltung:&nbsp;DIN EN 62443-3-2<\/li>\n\n\n\n<li>Anforderungen an Komponenten industrieller Automatisierungssysteme:&nbsp;DIN EN 62443-4-2<\/li>\n\n\n\n<li>Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern f\u00fcr industrielle Automatisierungssysteme:&nbsp;DIN IEC 62443-2-4<\/li>\n\n\n\n<li>Systemanforderungen zur IT-Sicherheit und Security-Level:&nbsp;DIN IEC 62443-3-3<\/li>\n<\/ul>\n\n\n\n<p>Ein Teil dieser Normen befindet sich noch in der Entwicklung.<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"174\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png\" alt=\"Familie der IEC 62443 Normen\" class=\"wp-image-1480160\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-768x445.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-150x87.png 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png 858w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><strong>Abb. 1<\/strong>: \u00dcbersicht \u00fcber die Normenfamilie IEC 62443 (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Dabei wendet sich die Serie 4 v.a. an die Entwickler bzw. Lieferanten, die Serie 3 an die Integratoren und die Serie 2 an die Betreiber.<\/p>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) Anwendungsbereich<\/h3>\n\n\n\n<p>Bereits der Titel der Normenfamilie macht deren Anwendungsbereich klar: Industrielle Automatisierungs- und Steuerungssysteme. Allerdings enth\u00e4lt die Norm nur Anforderungen, die f\u00fcr andere Produktklassen als ebenso sinnvoll erscheinen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"62443-4-1\">2. IEC 62443-4-1<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Anwendungsbereich<\/h3>\n\n\n\n<p>Der Teil 4-1 m\u00f6chte Anforderungen an den kompletten Lebenszyklus stellen einschlie\u00dflich <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/software-lebenszyklus\/\" target=\"_blank\" rel=\"noopener\">Entwicklung<\/a> und Wartung. Diese Anforderungen betreffen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/software-anforderungen\" target=\"_blank\" rel=\"noopener\">Anforderungsspezifikation<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/software-architektur\" target=\"_blank\" rel=\"noopener\">Entwurf, Architektur<\/a><\/li>\n\n\n\n<li>Implementierung einschlie\u00dflich <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/kodierrichtlinien-iec-62304-fda\/\" target=\"_blank\" rel=\"noopener\">Kodierrichtlinien<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/software-testing\" target=\"_blank\" rel=\"noopener\">Verifizierung<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/verifizierung-und-validierung-von-medizinprodukten\/\" target=\"_blank\" rel=\"noopener\">Validierung<\/a><\/li>\n\n\n\n<li>Management von Fehlern und <a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/security-patch\/\" target=\"_blank\" rel=\"noopener\">Patches<\/a><\/li>\n\n\n\n<li>Au\u00dferbetriebnahme<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-life-cycle.png\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"136\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-life-cycle-300x136.png\" alt=\"IEC 62443-4-1 Life-Cycle\" class=\"wp-image-1480175\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-life-cycle-300x136.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-life-cycle-768x348.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-life-cycle-150x68.png 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-life-cycle.png 874w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><strong>Abb. 2<\/strong>: Die &#8222;Ans\u00e4tze&#8220; (&#8222;Practices&#8220;) als Teil des Produkt-Lebenszyklus (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p><span style=\"font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', Roboto, Oxygen-Sans, Ubuntu, Cantarell, 'Helvetica Neue', sans-serif;\">Hingegen f\u00fchlt sich die IEC 62443-4-1 nicht f\u00fcr die Integration und die Anwendung des Produkts zust\u00e4ndig. Diese finden sich in den Serien 2 und 3 dieser Normenfamilie.<\/span><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Aufbau<\/h3>\n\n\n\n<p>Die Norm besteht im Wesentlichen aus acht \u201eAns\u00e4tzen\u201c (wie das die Deutsche Norm den Begriff &#8222;Practices&#8220; \u00fcbersetzt).<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-kompakt.jpg\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"157\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-kompakt-300x157.jpg\" alt=\"IEC-62443-4-1 in der \u00dcbersicht\" class=\"wp-image-1480181\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-kompakt-300x157.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-kompakt-768x403.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-kompakt-150x79.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-kompakt.jpg 867w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><strong>Abb. 3<\/strong>: \u00dcbersicht \u00fcber den Aufbau der IEC 62443-4-1 (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Jeder dieser Ans\u00e4tze umfasst zwischen zwei und 13 Aspekten. F\u00fcr jeden Aspekt formuliert die IEC 62443-4-1 jeweils ein oder mehrere Anforderungen und gibt eine Begr\u00fcndung daf\u00fcr.<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-Practice-1.png\" data-rel=\"lightbox-image-3\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"204\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-Practice-1-300x204.png\" alt=\"IEC 62443-4-1: Practice 1\" class=\"wp-image-1480188\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-Practice-1-300x204.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-Practice-1-768x522.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-Practice-1-150x102.png 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1-Practice-1.png 998w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><strong>Abb. 4<\/strong>: Jeder \u201eAnsatz\u201c (\u201ePractice) umfasst mehrere Aspekte wie hier am Beispiel \u201eVerwaltung der IT-Sicherheit\u201c (englisch: \u201eSecurity Management\u201c) zu sehen. (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M216,0h80c13.3,0,24,10.7,24,24v168h87.7c17.8,0,26.7,21.5,14.1,34.1L269.7,378.3c-7.5,7.5-19.8,7.5-27.3,0 L90.1,226.1c-12.6-12.6-3.7-34.1,14.1-34.1H192V24C192,10.7,202.7,0,216,0z M512,376v112c0,13.3-10.7,24-24,24H24 c-13.3,0-24-10.7-24-24V376c0-13.3,10.7-24,24-24h146.7l49,49c20.1,20.1,52.5,20.1,72.6,0l49-49H488C501.3,352,512,362.7,512,376z M388,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20S388,475,388,464z M452,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20 S452,475,452,464z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Downloads<\/span><\/div>\n<p>Hier <a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-4-1.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">PDF mit Mindmap<\/a>\u00a0(ausgeklappt) zum Download<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">c) Anforderungen<\/h3>\n\n\n\n<p>Die acht &#8222;Ans\u00e4tze&#8220; (Themengebiete) adressieren den Lebenszyklus von IT-Systemen einschlie\u00dflich der Wartung und der Dokumentation, die bei Medizinprodukten dem &#8222;<a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/labeling-bei-medizinprodukten\/\" target=\"_blank\" rel=\"noopener\">Labeling<\/a>&#8220; entspricht.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>\u201eAnsatz\u201c<\/strong><\/td><td><strong>Beispiele f\u00fcr Anforderungen<\/strong><\/td><\/tr><tr><td>1. Verwaltung der IT Sicherheit<\/td><td>\n<ul>\n<li>Es muss einen Entwicklungsprozess geben.<\/li>\n<li>Verantwortlichkeiten sind festzulegen.<\/li>\n<li>Kompetenzen m\u00fcssen sichergestellt sein.<\/li>\n<li>Das Produkt muss bereits w\u00e4hrend der Entwicklung gesch\u00fctzt sein.<\/li>\n<li>Risiken durch zugelieferte Komponenten (OTS?) m\u00fcssen beherrscht sein.<\/li>\n<\/ul>\n<\/td><\/tr><tr><td>2. Spezifikation der IT-Sicherheitsanforderungen<\/td><td>\n<ul>\n<li>Der Anwendungskontext (z.B. Netzwerk) muss dokumentiert sein.<\/li>\n<li>Der Hersteller muss ein Threat Modelling durchf\u00fchren.<\/li>\n<li>Die Anforderungen an die IT-Sicherheit (z.B. an Passw\u00f6rter) m\u00fcssen spezifiziert werden.<\/li>\n<\/ul>\n<\/td><\/tr><tr><td>3. IT-Sicherheit durch Entwurf<\/td><td>\n<ul>\n<li>Alle externen Schnittstellen m\u00fcssen spezifiziert sein inklusive Daten und Datenflussrichtungen.<\/li>\n<li>Alle OTS muss dokumentiert und auf IT-Sicherheit bewertet sein.<\/li>\n<li>Es muss mehrere Schichten an Abwehrmechanismen geben.<\/li>\n<li>Best Practices wie eine \u201eAttack Surface Reduction\u201d m\u00fcssen angewendet werden.<\/li>\n<\/ul>\n<\/td><\/tr><tr><td>4. Gesicherte Implementierung<\/td><td>\n<ul>\n<li>Eine statische Code-Analyse ist verpflichtend<\/li>\n<li>ebenso Code-Reviews.<\/li>\n<li>Kodier-Richtlinien m\u00fcssen festgelegt und \u00fcberwacht werden.<\/li>\n<\/ul>\n<\/td><\/tr><tr><td>5. Verifikatons- und Validierungspr\u00fcfungen der IT-Sicherheit<\/td><td>\n<ul>\n<li>Alle Anforderungen bez\u00fcglich der IT-Sicherheit m\u00fcssen \u00fcberpr\u00fcft werden.<\/li>\n<li>Die \u00dcberpr\u00fcfung muss u.a. umfassen ein \u201eVulnerability Scanning\u201c, den Missbrauch z.B. durch <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/fuzz-testing\/\" target=\"_blank\" rel=\"noopener\">Fuzz Testing<\/a> und \u00dcberlast.<\/li>\n<li>Penetrationstests sind verlangt.<\/li>\n<li>Die Tester m\u00fcssen unabh\u00e4ngig sein.<\/li>\n<\/ul>\n<\/td><\/tr><tr><td>6. Behandlung sicherheitsbezogener Probleme<\/td><td>\n<ul>\n<li>Es muss ein Prozess existieren, um IT-Sicherheitsprobleme zu erhalten und verfolgen.<\/li>\n<li>Diese Probleme m\u00fcssen bewertet werden.<\/li>\n<li>Der Prozess muss festlegen, wann welche Handlungsoptionen (z.B. <a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/security-patch\/\" target=\"_blank\" rel=\"noopener\">Fix<\/a>) ergriffen werden.<\/li>\n<li>Ein Prozess muss etabliert sein, wie diese Probleme kommuniziert und gel\u00f6st werden.<\/li>\n<\/ul>\n<\/td><\/tr><tr><td>7. Verwaltung von IT-Sicherheits-Updates<\/td><td>\n<ul>\n<li>Es ist ein Prozess zum Beheben von Schwachstellen verlangt.<\/li>\n<li>Der Hersteller muss die Informationen \u00fcber Update dokumentieren.<\/li>\n<li>Der Prozess muss auch mit Schwachstellen in OTS umgehen k\u00f6nnen.<\/li>\n<li>Der Prozess muss die Auslieferung von Patches innerhalb einer Zeit gew\u00e4hrleisten, die der Hersteller abh\u00e4ngig von mehreren Faktoren bestimmen muss.<\/li>\n<\/ul>\n<\/td><\/tr><tr><td>8. IT-Sicherheitsrichtlinien<\/td><td>\n<ul>\n<li>Es muss ein Prozess existieren, der regelt, wie die Dokumentation erzeugt wird.<\/li>\n<li>Diese Dokumentation muss den Anwendern Handlungsleitung geben, um das Produkt sicher zu betreiben und zu entsorgen.<\/li>\n<\/ul>\n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Vergleich und Zusammenspiel mit anderen Normen<\/h3>\n\n\n\n<p>Die IEC 62443-4-1 basiert auf weiteren Normen und Dokumenten wie der <a href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/iso-iec-15408\/\" target=\"_blank\" rel=\"noopener\">IEC 15408-3<\/a>, der IEC 61508 und dem RTCA DO-178B. Sie verweist zudem auf den \u201e<a href=\"https:\/\/www.microsoft.com\/en-us\/sdl\" target=\"_blank\" rel=\"noopener\">The Security Development Life-cycle\u201d von Michael Howard und Steve Lipner<\/a>, den auch Microsoft nutzt bzw. referenziert.<\/p>\n\n\n\n<p>Die Normen der Familie <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/ul-2900-2-1\/\" target=\"_blank\" rel=\"noopener\">UL 2900<\/a> finden keine Erw\u00e4hnung, obwohl der Scope teilweise vergleichbar ist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bewertung\">Bewertung, Fazit<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Eine verst\u00e4ndliche und systematische Norm<\/h3>\n\n\n\n<p>Die IEC 62443-4-1 ist (im Gegensatz zum UL 2900) eine klar formulierte und strukturierte Norm. Sie macht deutlich, dass IT-Sicherheit nur erreicht werden kann (falls \u00fcberhaupt), wenn sie \u00fcber den kompletten Lebenszyklus eines Produkts beachtet wird.<\/p>\n\n\n\n<p>Die Anforderungen sind in gewisser Weise \u201ecommon sense\u201c. Die Verwundbarkeit der meisten Produkte und Systeme liegt aber darin begr\u00fcndet, dass die Hersteller genau diese Anforderungen nicht ber\u00fccksichtigen. Diese Anforderungen zusammengetragen zu haben, macht den Wert dieser Norm aus.<\/p>\n\n\n\n<p>Die \u00dcbersetzung ins Deutsche ist hingegen etwas holperig geraten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Etwas high-level<\/h3>\n\n\n\n<p>Die Anforderungen der Norm sind etwas \u201ehigh level\u201c. Sie gibt beispielsweise nicht vor, \u00fcber welche Kompetenzen die Verantwortlichen verf\u00fcgen m\u00fcssen, sie erkl\u00e4rt nicht, was getan werden muss, um das Produkt w\u00e4hrend seiner Entwicklung zu sch\u00fctzen. Die Norm spricht von Kodierrichtlinien, ohne konkrete Beispiele daf\u00fcr zu formulieren.<\/p>\n\n\n\n<p>Konkrete Hinweise zur Umsetzung finden sich (leider nur und auch dort nur teilweise) bei den Begr\u00fcndungen und weiteren Hinweisen. Damit eignet sich die Norm eher f\u00fcr Prozessmanager als f\u00fcr Entwickler.<\/p>\n\n\n\n<p>Das ist jedoch keine Kritik. Denn die Norm formuliert zumindest die Aspekte, welche die Hersteller bei der Entwicklung und Wartung von Produkten bez\u00fcglich der IT Security beachten m\u00fcssen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Hilfreich aber nicht ausreichend f\u00fcr Medizinproduktehersteller<\/h3>\n\n\n\n<p>Die IEC 62443-4-1 sieht ihren Anwendungsbereich zwar bei industriellen Automatisierungssystemen. Allerdings enth\u00e4lt die Norm keine Anforderungen, die sich nicht unver\u00e4ndert auf die Entwicklung und Wartung vernetzter Medizinprodukte \u00fcbertragen lassen.<\/p>\n\n\n\n<p>Umgekehrt ber\u00fccksichtigt der Leitfaden keine Anforderungen, die spezifisch f\u00fcr Medizinprodukte sind wie die Safety und das (medizinische) Risikomanagement. Weil der Norm der Branchenfokus fehlt, k\u00f6nnte man die darin formulierten Anforderungen als notwendig aber als nicht als hinreichend bezeichnen.<\/p>\n\n\n\n<p>Die FDA z\u00e4hlt andere und veraltete Mitglieder der Normenfamilie zu den <em><a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/recognized-consensus-standards-der-fda\/\" target=\"_blank\" rel=\"noopener\">recognized standards<\/a><\/em>, nicht aber die IEC 62443-4-1.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">d) Kleinere Logikbr\u00fcche<\/h3>\n\n\n\n<p>Die Zuordnung der Aktivit\u00e4ten zu den Lebenszyklus-Phasen ist nicht in allen F\u00e4llen nachvollziehbar. Wie sollen vor(!) dem Entwurf bereits interne Protokolle bekannt sein, die die Norm bereits beim Threat Modelling w\u00e4hrend der Anforderungsphase analysiert haben will?<\/p>\n\n\n\n<p>Umgekehrt verlangt die Norm die Spezifikation der externen Schnittstellen erst beim Entwurf.<\/p>\n\n\n\n<p>Die Metriken im Anhang sind teilweise sehr \u201eC-lastig\u201c und k\u00f6nnen eine nicht ganz berechtigte Illusion einer Genauigkeit erwecken.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">e) Grundlage f\u00fcr eine Zertifizierung?<\/h3>\n\n\n\n<p>Viele Pr\u00fcfh\u00e4user und benannte Stellen bieten Zertifizierungen nach IEC 62443 an. \u00dcberdenken Sie immer den Wert von Zertifikaten, insbesondere in den folgenden F\u00e4llen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ein Zertifikat wird nicht unter dem Dach der DaKKS ausgestellt. Solch ein Zertifikat kann jeder erstellen.<\/li>\n\n\n\n<li>Die Pr\u00fcfung erfolgt nicht gem\u00e4\u00df einer Pr\u00fcfnorm.<\/li>\n\n\n\n<li>Die Norm, deren Konformit\u00e4t gepr\u00fcft werden soll, enth\u00e4lt weder testbare Anforderungen noch Hinweise zu deren Pr\u00fcfung.<\/li>\n\n\n\n<li>Die Norm, deren Konformit\u00e4t gepr\u00fcft werden soll, ist keine harmonisierte Norm.<\/li>\n<\/ul>\n\n\n\n<p>Damit sei nicht von diesen Zertifizierungen abgeraten. Vielmehr sollen die Hoffnungen auf einen &#8222;sicheren&#8220; Konformit\u00e4tsbeweis relativiert werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">f) Hoher Preis und eine Alternative<\/h3>\n\n\n\n<p>Mit 270 CHF ist die Norm vergleichsweise teuer. Trotzdem sei sie zum Kauf empfohlen.<\/p>\n\n\n\n<p>Der Leitfaden zur IT Sicherheit f\u00fcr Medizinprodukte, den das Johner Institut gemeinsam mit dem T\u00dcV S\u00fcd entwickelt hat, enth\u00e4lt vergleichbare Anforderungen, ist noch spezifischer f\u00fcr Medizinprodukte und dabei kostenlos. Er ist ab dem 22.11.2018 verf\u00fcgbar.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die IEC 62443-4-1 ist Teil einer Normenfamilie zur \u201eIT-Sicherheit f\u00fcr industrielle Automatisierungssysteme\u201c. Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm f\u00fcr Hersteller von Medizinprodukten sinnvoll anwendbar ist.<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[184],"tags":[1126,269,364],"ppma_author":[1213],"class_list":["post-1480148","post","type-post","status-publish","format-standard","hentry","category-iec-62304-medizinische-software","tag-it-security","tag-medizinische-software","tag-software-testing","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.2 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus<\/title>\n<meta name=\"description\" content=\"Die IEC 62443 ist eine Normenfamilie zur IT-Sicherheit. Der Teil 4-1 stellt Anforderungen an die Entwicklung und Wartung sicherer Produkte. [DOWNLOAD PDF]\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus\" \/>\n<meta property=\"og:description\" content=\"Die IEC 62443 ist eine Normenfamilie zur IT-Sicherheit. Der Teil 4-1 stellt Anforderungen an die Entwicklung und Wartung sicherer Produkte. [DOWNLOAD PDF]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2018-11-06T08:00:46+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-04-15T11:08:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"8\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus\",\"datePublished\":\"2018-11-06T08:00:46+00:00\",\"dateModified\":\"2023-04-15T11:08:14+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\"},\"wordCount\":1327,\"commentCount\":9,\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png\",\"keywords\":[\"IT Security\",\"Medizinische Software \/ Medical Device Software\",\"Software-Testing: Die Forderungen der IEC 62304 und FDA erf\u00fcllen\"],\"articleSection\":[\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\",\"name\":\"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png\",\"datePublished\":\"2018-11-06T08:00:46+00:00\",\"dateModified\":\"2023-04-15T11:08:14+00:00\",\"description\":\"Die IEC 62443 ist eine Normenfamilie zur IT-Sicherheit. Der Teil 4-1 stellt Anforderungen an die Entwicklung und Wartung sicherer Produkte. [DOWNLOAD PDF]\",\"breadcrumb\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png\",\"width\":858,\"height\":497,\"caption\":\"Familie der IEC 62443 Normen\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Software &amp; IEC 62304\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/JohnerInstitut\/\",\"https:\/\/x.com\/christianjohner\",\"https:\/\/www.youtube.com\/user\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/\"],\"url\":\"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus","description":"Die IEC 62443 ist eine Normenfamilie zur IT-Sicherheit. Der Teil 4-1 stellt Anforderungen an die Entwicklung und Wartung sicherer Produkte. [DOWNLOAD PDF]","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/","og_locale":"de_DE","og_type":"article","og_title":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus","og_description":"Die IEC 62443 ist eine Normenfamilie zur IT-Sicherheit. Der Teil 4-1 stellt Anforderungen an die Entwicklung und Wartung sicherer Produkte. [DOWNLOAD PDF]","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2018-11-06T08:00:46+00:00","article_modified_time":"2023-04-15T11:08:14+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png","type":"","width":"","height":""}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"8\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus","datePublished":"2018-11-06T08:00:46+00:00","dateModified":"2023-04-15T11:08:14+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/"},"wordCount":1327,"commentCount":9,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png","keywords":["IT Security","Medizinische Software \/ Medical Device Software","Software-Testing: Die Forderungen der IEC 62304 und FDA erf\u00fcllen"],"articleSection":["Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/","name":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie-300x174.png","datePublished":"2018-11-06T08:00:46+00:00","dateModified":"2023-04-15T11:08:14+00:00","description":"Die IEC 62443 ist eine Normenfamilie zur IT-Sicherheit. Der Teil 4-1 stellt Anforderungen an die Entwicklung und Wartung sicherer Produkte. [DOWNLOAD PDF]","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/11\/IEC-62443-Familie.png","width":858,"height":497,"caption":"Familie der IEC 62443 Normen"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Software &amp; IEC 62304","item":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},{"@type":"ListItem","position":3,"name":"IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":4400868,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/","url_meta":{"origin":1480148,"position":0},"title":"IEC 81001-5-1: Die Norm f\u00fcr sichere Health-Software","author":"Christian Rosenzweig","date":"27. M\u00e4rz 2023","format":false,"excerpt":"Die Cybersecurity-Norm IEC 81001-5-1\u00a0befasst sich damit, wie IT-Sicherheit im Software-Lebenszyklus ber\u00fccksichtigt werden muss.\u00a0 Als spezielle Norm f\u00fcr Gesundheitssoftware erg\u00e4nzt sie unter anderem die IEC 82304-1 bzw. die IEC 62304 und kann L\u00fccken schlie\u00dfen, die dringend geschlossen werden m\u00fcssen. Die EU plant die Harmonisierung der IEC 81001-5-1 derzeit mit Zieldatum 24.\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Standalone-Software-Medical-Device-Software.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Standalone-Software-Medical-Device-Software.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Standalone-Software-Medical-Device-Software.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Standalone-Software-Medical-Device-Software.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Standalone-Software-Medical-Device-Software.png?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":2737466,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","url_meta":{"origin":1480148,"position":1},"title":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?","author":"Christian Rosenzweig","date":"3. Februar 2021","format":false,"excerpt":"Die Normenfamilie IEC 60601 ist eigentlich nur f\u00fcr medizinisch elektrische Ger\u00e4te anzuwenden. Doch die IEC\/TR 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im \u201eScope\u201c, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device. Erfahren Sie, welche Anforderungen die IEC\/TR 60601-4-5 an\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":11468,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/software-lebenszyklus\/","url_meta":{"origin":1480148,"position":2},"title":"Software-Lebenszyklus: Was ist damit gemeint?","author":"Dr. Tina Priewasser","date":"22. Januar 2024","format":false,"excerpt":"Die Medizinprodukteverordnung (MDR) (wie bereits\u00a0 die Medizinprodukterichtlinie (MDD) und damit das Medizinproduktegesetz zuvor) verlangt, dass Hersteller f\u00fcr ihre Software Lebenszyklus-Prozesse einhalten. Auch die IEC 62304\u00a0 und die IEC 82304 sprechen von Software-Lebenszyklus-Prozessen. Doch was versteht man unter einem Software-Lebenszyklus? Der Software-Lebenszyklus beinhaltet alle Phasen, die ein Software-Produkt von der ersten\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Software-Lebenszyklus","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/08\/software-lebenszyklus.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/08\/software-lebenszyklus.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/08\/software-lebenszyklus.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/08\/software-lebenszyklus.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":5376998,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","url_meta":{"origin":1480148,"position":3},"title":"IT-Security bei \u201cLegacy Devices\u201d","author":"Christian Rosenzweig","date":"28. November 2023","format":false,"excerpt":"Dass Gesetze und Normen die IT-Security auch bei \u201eLegacy Devices\u201c einfordern, ist verst\u00e4ndlich. Die Art, wie diese Anforderungen formuliert werden, f\u00fchrt allerdings oft zu Verwirrung. Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei Legacy Devices, einmal um die IT-Sicherheit\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":498984,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-82304\/","url_meta":{"origin":1480148,"position":4},"title":"IEC 82304 \u2013 Was die Norm zu &#8222;Health Software&#8220; fordert","author":"Dr. Tina Priewasser","date":"14. September 2016","format":false,"excerpt":"Die IEC 82304 liegt inzwischen vor. Ein guter Anlass, sich diese Norm zu \"Health-Software-Products\" n\u00e4her anzusehen. IEC 82304: Weshalb noch eine Norm? L\u00fccke der IEC 62304 bei Validierung schlie\u00dfen Mit dem Anspruch f\u00fcr jede Medizinprodukte-Software anwendbar zu sein \u2013 gleich ob standalone oder embedded \u2013, war die IEC 62304 gestartet.\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"IEC 82304: Anwendungsbereich","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/09\/IEC-82304-Scope.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/09\/IEC-82304-Scope.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/09\/IEC-82304-Scope.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/09\/IEC-82304-Scope.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":3981,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/betriebssystem-iec-62304-konform\/","url_meta":{"origin":1480148,"position":5},"title":"Betriebssystem konform mit IEC 62304 und FDA?","author":"Prof. Dr. Christian Johner","date":"23. Oktober 2024","format":false,"excerpt":"M\u00fcssen Medizinproduktehersteller bei der Auswahl des Betriebssystems darauf achten, dass das Betriebssystem IEC- 62304-konform ist? Was sagt die FDA? Dieser Artikel \u2026 nennt die regulatorischen Anforderungen (z. B. IEC 62304, FDA) an\u00a0Betriebssysteme. gibt Tipps zur Auswahl von Betriebssystemen. untersucht, ob es eine IEC 62304-Zertifizierung f\u00fcr Betriebssysteme geben kann bzw. muss.\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Betriebssystem und IEC-62304","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/03\/Betriebssystem-IEC-62304.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-6d3m","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/1480148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=1480148"}],"version-history":[{"count":9,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/1480148\/revisions"}],"predecessor-version":[{"id":5369932,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/1480148\/revisions\/5369932"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=1480148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=1480148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=1480148"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=1480148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}