{"id":2737466,"date":"2021-02-03T09:00:00","date_gmt":"2021-02-03T08:00:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=2737466"},"modified":"2023-12-07T13:50:46","modified_gmt":"2023-12-07T12:50:46","slug":"iec-60601-4-5","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","title":{"rendered":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?"},"content":{"rendered":"\n<p>Die <a aria-label=\"Normenfamilie IEC 60601 (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/tag\/iec-60601-1\/\" target=\"_blank\" rel=\"noreferrer noopener\">Normenfamilie IEC 60601<\/a> ist eigentlich nur f\u00fcr medizinisch elektrische Ger\u00e4te anzuwenden. Doch die IEC\/TR 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im \u201eScope\u201c, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device.<\/p>\n\n\n\n<p>Erfahren Sie, welche Anforderungen die IEC\/TR 60601-4-5 an Hersteller und Betreiber stellt. Diese Norm gibt Ihnen z. B. konkrete Hinweise, welche Ma\u00dfnahmen zur Verbesserung der IT-Sicherheit Sie umsetzen m\u00fcssen und von welchen Faktoren diese Verpflichtung abh\u00e4ngt.<\/p>\n\n\n\n<p>Damit will Ihnen die Norm helfen,<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>sichere Produkte zu entwickeln,<\/li>\n\n\n\n<li>gleichzeitig unn\u00f6tige Aufw\u00e4nde zu vermeiden und<\/li>\n\n\n\n<li>die Chancen zu erh\u00f6hen, Probleme bei der Zulassung Ihres Produkts zu vermeiden.<\/li>\n<\/ul>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sinn\">1. IEC\/TR 60601-4-5: Noch &#8217;ne Norm. Muss das sein?<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Sollten Sie die Norm \u00fcberhaupt lesen?<\/h3>\n\n\n\n<p>Die IEC\/TR 60601-4-5 hat im Januar 2021 das Entwurfsstadium verlassen und liegt nur als Technical Report vor.  Sie sollten diese dann lesen, wenn Sie erfahren m\u00f6chten, wohin die normative Reise geht. Wenn Sie wenig Zeit haben, dann verzichten Sie darauf und gehen Sie wie folgt vor:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Lesen Sie diesen Artikel, um einen \u00dcberblick zu erlangen und um mitreden zu k\u00f6nnen.<\/li>\n\n\n\n<li>Verwenden Sie den <a href=\"https:\/\/github.com\/johner-institut\/it-security-guideline\">Leitfaden zur IT-Sicherheit bei Medizinprodukten<\/a> bei der Entwicklung und \u00dcberwachung der Medizinprodukte im Markt. Der Leitfaden gibt Ihnen konkrete Handlungsleitung und wird von den Benannten Stellen in abgewandelter Form verwendet.<\/li>\n<\/ol>\n\n\n\n<p>Wenn Sie etwas mehr Zeit haben, dann \u00fcberspringen Sie die meisten Kapitel und lesen noch den Anhang B der Norm.<\/p>\n\n\n\n<figure class=\"wp-block-image size-medium\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"138\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-300x138.png\" alt=\"Kapitelstruktur der IED 60601-4-5 als Mindmap\" class=\"wp-image-3950746\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-300x138.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-1024x473.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-768x354.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-1536x709.png 1536w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-2048x945.png 2048w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-200x92.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-400x185.png 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-600x277.png 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-800x369.png 800w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-1200x554.png 1200w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><strong>Abb. 1<\/strong>: Kapitelstruktur der IEC\/TR 60601-4-5 (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">b) Weshalb reichen andere Normen nicht aus?<\/h3>\n\n\n\n<p>Es gibt bereits zahlreiche Normen zur IT-Sicherheit. Die Normenfamilien <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\">IEC 62443<\/a> und die <a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/\">IEC 15408<\/a> sind Beispiele daf\u00fcr. Weshalb bedarf es weiterer f\u00fcr Medizinprodukte spezifischer Normen?<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Safety versus Security<\/h4>\n\n\n\n<p>Die erste Antwort liegt in den Schutzzielen: In der allgemeinen IT Security unterscheidet man v.a.:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>(Ressource) Availability<\/li>\n\n\n\n<li>(System \/ Data) Integrity<\/li>\n\n\n\n<li>(Data) Confidentiality<\/li>\n<\/ul>\n\n\n\n<p>Die IEC 62443, welche die IEC\/TR 60601-4-5 ausf\u00fchrlich referenziert, kennt zudem noch:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Identification and authentication control<\/li>\n\n\n\n<li>Restricted data flow<\/li>\n\n\n\n<li>Timly response to events<\/li>\n<\/ul>\n\n\n\n<p>Allerdings sind das eher untergeordnete Ziele, um die drei erst genannten zu erreichen.<\/p>\n\n\n\n<p>Bei den Medizinprodukten gilt es zus\u00e4tzlich, die <strong>Safety<\/strong> zu beachten.<\/p>\n\n\n\n<div class=\"defbox\">\n    <div class=\"definition\">\n        <i class=\"fa fa-exclamation-triangle\"><\/i> Vorsicht!\n    <\/div>\n    <p>Die Schutzziele Safety und Security k\u00f6nnen auch im Konflikt stehen, wenn z. B. der rasche Zugriff einer Person auf Patientendaten auch im medizinischen Notfall m\u00f6glich sein voll. Das w\u00fcrde zwar die IT-Sicherheit (Confidentiality) kompromittieren, die Safety hingegen erh\u00f6hen.<\/p>\n<\/div>\n\n\n\n<p>Als Mitglied der Normenfamilie IEC 60601 fordert die IEC\/TR 60601-4-5 zur Implementierung der Safety:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Grundlegende Sicherheit \/ Basic Safety<\/li>\n\n\n\n<li>Wesentliche Leistungsmerkmale \/ Essential Performance<\/li>\n\n\n\n<li>Minimum an notwendiger klinischer Funktionalit\u00e4t<\/li>\n\n\n\n<li>Verf\u00fcgbarkeit des Medizinprodukts<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Priorisierungen<\/h4>\n\n\n\n<p>Im Gegensatz zur IEC\/TR 60601-4-5 kennen viele andere Normen keine sogenannte Security Levels, die Ihnen das n\u00e4chste Kapitel vorstellt. Mit diesen Security Levels k\u00f6nnen Sie Ma\u00dfnahmen f\u00fcr die IT-Sicherheit abh\u00e4ngig von dem \u201eSchutzbed\u00fcrfnis\u201c festlegen und damit unn\u00f6tige Aufw\u00e4nde sparen.<\/p>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"security-levels\">2. Security Levels \u2013 Das zentrale Konzept der IEC\/TR 60601-4-5<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) \u00dcbersicht \u00fcber die Typen an Security Levels<\/h3>\n\n\n\n<p>Die Norm arbeitet mit drei Typen an Security Levels (SL):<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>SL-T: Das Target Security Level<\/strong>, das man f\u00fcr das Netzwerk inklusive des darin vernetzten Medizinprodukts erreichen muss, um die festgelegten Schutzziele zu erreichen.<\/li>\n\n\n\n<li><strong>SL-C: Das Capabiliy Security Level<\/strong>, das Level, das man f\u00fcr das Medizinprodukt und das Netzwerk tats\u00e4chlich erreichen kann, wenn man Ma\u00dfnahmen zur Verbesserung der IT-Sicherheit ergreift.<\/li>\n\n\n\n<li><strong>SL-A: Das Achieved Security Level<\/strong>, das Level, das man tats\u00e4chlich erreicht hat.<\/li>\n<\/ol>\n\n\n\n<p>F\u00fcr jedes dieser Security Levels schl\u00e4gt die IEC\/TR 60601-4-5 f\u00fcnf Stufen vor, von SL 0 (nichts implementiert) bis SL 4, dem h\u00f6chsten Level. Offensichtlich m\u00fcssen bei hohen Risiken hohe Security Levels erreicht werden.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"794\" height=\"467\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png\" alt=\"Abb. 1: Gem\u00e4\u00df IEC 60601-4-5 bed\u00fcrfen hohe Risiken (z.B. aufgrund hoher Sch\u00e4den, hoher Bedrohungen) h\u00f6here Security Levels\" class=\"wp-image-2737487\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png 794w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels-300x176.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels-768x452.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels-150x88.png 150w\" sizes=\"auto, (max-width: 794px) 100vw, 794px\" \/><figcaption class=\"wp-element-caption\"><strong>Abb. 2<\/strong>: Hohe Risiken (z. B. aufgrund hoher Sch\u00e4den, hoher Bedrohungen oder wertvoller &#8222;Assets&#8220;) erfordern h\u00f6here Security Levels<\/figcaption><\/figure>\n\n\n\n<p>Das <strong>SL-T<\/strong> muss letztlich der Betreiber bzw. Integrator festlegen, da nur er beurteilen kann, in welcher Netzwerkumgebung ein Medizinprodukt eingesetzt wird. Ein Progammierger\u00e4t f\u00fcr einen Herzschrittmacher, das offen im Internet h\u00e4ngen w\u00fcrde, bedarf eines h\u00f6heren Security Levels als ein An\u00e4sthesiearbeitsplatz in einem v\u00f6llig abgeschotteten Netzwerk eines OPs.<\/p>\n\n\n\n<p>Hingegen bestimmen die Hersteller das <strong>SL-C<\/strong>, das erreicht werden kann, wenn die Betreiber das Ger\u00e4t spezifikationsgem\u00e4\u00df konfigurieren und betreiben. Das SL-C h\u00e4ngt davon ab, welche Ma\u00dfnahmen der Hersteller implementiert und auch \u00fcberpr\u00fcft hat.<\/p>\n\n\n\n<p>Welches tats\u00e4chliche Security Level (<strong>SL-A<\/strong>) die Betreiber erreichen, h\u00e4ngt von mehreren Faktoren ab:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Hat der Betreiber die Ger\u00e4te innerhalb des Netzwerks und das Netzwerk selbst korrekt konfiguriert?<\/li>\n\n\n\n<li>Hat der Betreiber Ma\u00dfnahmen zur Erh\u00f6hung der IT-Sicherheit au\u00dferhalb des Ger\u00e4ts umgesetzt?<\/li>\n<\/ul>\n\n\n\n<p>Beispielsweise \u201eIntegrationstests\u201c bestimmen das tats\u00e4chlich erreichte SL-A, wobei mit &#8222;Integration&#8220; die Integration der Ger\u00e4te in den Netzwerkverbund gemeint ist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Festlegung des SL-T<\/h3>\n\n\n\n<p>Die IEC\/TR 60601-4-5 empfiehlt die SL-Ts f\u00fcr diese verschiedenen Umgebungen einzeln festzulegen. Doch nicht nur die Netzwerkumgebung sollte einen Einfluss haben, sondern auch:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wert der Produkte<\/li>\n\n\n\n<li>H\u00f6he der Sch\u00e4den, wenn die Basissicherheit oder wesentliche Leistungsmerkmale nicht mehr gegeben sind<\/li>\n\n\n\n<li>Vorliegen von Patientendaten<\/li>\n\n\n\n<li>Nutzerprofile<\/li>\n\n\n\n<li>Heimnetzwerk versus Krankenhausnetzwerk<\/li>\n\n\n\n<li>Angriffsfl\u00e4che z. B. Anzahl der Ger\u00e4te, Anzahl verf\u00fcgbarer Ports, Anzahl Schnittstellen<\/li>\n\n\n\n<li>Anzahl der Medizinprodukte im Markt<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">c) Nutzen und Verwendung der Security Levels<\/h3>\n\n\n\n<p>Die Security Levels sollen helfen, die Anforderungen an und die Aufw\u00e4nde f\u00fcr die IT-Sicherheit zu steuern. Dazu erstellt die Norm im Anhang B ein Mapping zwischen den Aspekten der IEC 62443 und den Security Levels, wie die folgenden Beispiele zeigen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>\n<p>Anforderungen<\/p>\n<\/td><td>\n<p>SL1<\/p>\n<\/td><td>\n<p>SL2<\/p>\n<\/td><td>\n<p>SL3<\/p>\n<\/td><td>\n<p>SL4<\/p>\n<\/td><\/tr><tr><td>\n<p>Authentifizierung der Nutzer<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><\/tr><tr><td>\n<p>Multifaktor-Authentifizierung an allen Schnittstellen<\/p>\n<\/td><td>\n<p><\/p>\n<\/td><td>\n<p><\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><\/tr><tr><td>\n<p>Rollenbasierte Berechtigungen<\/p>\n<\/td><td>\n<p><\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><\/tr><tr><td>\n<p>Malware-Schutz<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><td>\n<p>X<\/p>\n<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tabelle 1: Die IEC\/TR 60601-4-5 definiert f\u00fcr unterschiedliche Security Levels (SL) unterschiedliche Anforderungen<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verweise\">3. Verweise auf andere Normen<\/h2>\n\n\n\n<p>Die IEC\/TR 60601-4-5 verweist normativ die IEC 62443-4-2:2019 (<em>Security for industrial automation and control systems &#8211; Part 4-2: Technical security requirements for IACS components)<\/em>, ebenso auf die IEC 80001-1-Familie.<\/p>\n\n\n\n<p>Sie wiederholt die Forderung nach \u00fcblichen Schutzma\u00dfnahmen und Prinzipien wie \u201eLeast Privilege\u201c, Minimierung der Daten, Einhalten eines Software-Entwicklungsprozesses und Schutz durch Hardware-Ma\u00dfnahmen (z. B. physischer Zugriffsschutz).<\/p>\n\n\n\n<p>Die Norm erg\u00e4nzt nur wenige Anforderungen der IEC 62442-4-2 bzw. modifiziert diese leicht. Weiter listet sie spezifische Anforderungen an die Begleitmaterialien. &nbsp;Diese reichen von der Festlegung der vorgesehenen Anwender \u00fcber Vorgabe zur Konfiguration des Produkts bis hin zu Ma\u00dfnahmen, f\u00fcr die die Betreiber und Anwender verantwortlich sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fazit\">4. Fazit<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) M\u00f6gliche Kritikpunkte<\/h3>\n\n\n\n<p>Es soll nicht abgestritten werden, dass es eine Norm zur IT Security ben\u00f6tigt, die spezifisch f\u00fcr Medizinprodukte ist. Auch verdient die Einsch\u00e4tzung der IEC\/TR 60601-4-5 Zustimmung, dass die IT-Sicherheit \u00fcbergreifend d. h. sowohl f\u00fcr Hersteller und Betreiber geregelt werden sollte.<\/p>\n\n\n\n<p>Ob die IEC\/TR 60601-4-5 dem Anspruch gerecht werden wird, kann diskutiert werden. M\u00f6gliche Kritikpunkte sind:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Durch die Verweise und Einbindung anderer Normen ist die IEC\/TR 60601-4-5 schwer lesbar und \u00fcberblickbar.<\/li>\n\n\n\n<li>Die Norm erscheint manchmal inkonsistent, was die Konkretheit der Anforderungen betrifft. Durch die Referenz auf die IEC 62443 sind diese Anforderungen teilweise sehr konkret. Andere Anforderungen, wie dass eine DoS-Attacke keine &#8222;Safety-related&#8220; Funktionen behindern sollten, sind eher \u201eHigh-Level\u201c.<\/li>\n\n\n\n<li>Es fehlt eine klare Handlungsleitung z. B. entlang des Entwicklungsprozesses, wie das der <a href=\"https:\/\/github.com\/johner-institut\/it-security-guideline\">Leitfaden zur IT-Sicherheit<\/a> tut. Dieser ber\u00fccksichtigt ebenfalls die IEC 62443.<\/li>\n\n\n\n<li>Das Zusammenspiel und die Zusammenarbeit zwischen Herstellern und Betreiber betrachtet die IEC\/TR 60601-4-5 nur unzureichend und v. a. \u00fcber Verweise auf die IEC 80001-1-Familie. Anforderungen an die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/post-market-surveillance\/\">Post-Market Surveillance<\/a> finden sich (nahezu) keine. Das ist angesichts der Anforderungen der MDR bedenklich.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">b) Scope?<\/h3>\n\n\n\n<p>Es w\u00e4re auch sch\u00f6n gewesen, wenn die Norm den Scope noch klarer gemacht h\u00e4tte:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Im Titel steht &#8222;ME Equipment&#8220;. Damit w\u00e4re sie auf standalone Software nicht anwendbar.<\/li>\n\n\n\n<li>Im Vorwort schreibt sie: <em>&#8222;This document provides IT security specifications for medical devices connectable to medical IT-networks as network components, including medical software applications.&#8220;<\/em> Bezieht sich das &#8222;including medical software applications&#8220; auf die &#8222;network components&#8220; oder auf &#8222;medical devices&#8220;?<\/li>\n\n\n\n<li>Im &#8222;Scope&#8220; hei\u00dft es dann <em>&#8222;This document provides detailed technical recommendations for security features of medical devices used in medical IT-networks [&#8230;]&#8220;<\/em>. Von &#8222;ME Equipment&#8220; ist keine Rede mehr.<\/li>\n<\/ul>\n\n\n\n<p>Fazit: Die IEC\/TR 60601-4-5 ist f\u00fcr Software as Medical Device anwendbar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Was gef\u00e4llt<\/h3>\n\n\n\n<p>Dass die IEC\/TR 60601-4-5 das Rad nicht neu erfindet, sondern auf Bestehendes, v.a. auf die IEC 62443 verweist, ist lobenswert.<\/p>\n\n\n\n<p>Ebenfalls hilfreich ist der Ansatz, f\u00fcr verschiedene Schutzziele jeweils die Security Levels zu bestimmen (SL-T, SL-C und SL-A) . Das erm\u00f6glicht es, Ma\u00dfnahmen in den Medizinprodukten sowie im Netzwerk zu priorisieren. <\/p>\n\n\n\n<p>Genau dieser Fokus ist notwendig: Denn ein immer mehr an Normen und Anforderungen f\u00fchrt nicht zu mehr (IT-)Sicherheit, sondern nur zu einer \u00dcberforderung aller Beteiligten.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2019-10: Erster Version dieses Artikels. Die Norm liegt nur als Entwurf vor.<\/li>\n\n\n\n<li>2021-02: Die Norm ist freigegeben. Dies ist im Artikel ge\u00e4ndert. Das Mindmap ist an die neue Kapitelstruktur angepasst.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die Normenfamilie IEC 60601 ist eigentlich nur f\u00fcr medizinisch elektrische Ger\u00e4te anzuwenden. Doch die IEC\/TR 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im \u201eScope\u201c, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device. Erfahren Sie, welche Anforderungen die IEC\/TR 60601-4-5 an Hersteller und Betreiber stellt. Diese&hellip;<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1114],"tags":[180,1126],"ppma_author":[1213],"class_list":["post-2737466","post","type-post","status-publish","format-standard","hentry","category-systems-engineering","tag-iec-60601-1","tag-it-security","category-1114","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.3 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?<\/title>\n<meta name=\"description\" content=\"Die IEC 60601-4-5 legt Security Levels fest, die Medizinprodukteherstellern helfen, risikobasiert zu arbeiten. ACHTUNG: Norm gilt auch f\u00fcr Software!\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?\" \/>\n<meta property=\"og:description\" content=\"Die IEC 60601-4-5 legt Security Levels fest, die Medizinprodukteherstellern helfen, risikobasiert zu arbeiten. ACHTUNG: Norm gilt auch f\u00fcr Software!\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2021-02-03T08:00:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-12-07T12:50:46+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-300x138.png\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"9\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"IEC\\\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?\",\"datePublished\":\"2021-02-03T08:00:00+00:00\",\"dateModified\":\"2023-12-07T12:50:46+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/\"},\"wordCount\":1521,\"commentCount\":3,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2021\\\/01\\\/IEC-TR-60601-4-5-2021-300x138.png\",\"keywords\":[\"IEC 60601-1: Medizinische elektrische Ger\u00e4te\",\"IT Security\"],\"articleSection\":[\"Systems Engineering bei Medizinprodukten\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/\",\"name\":\"IEC\\\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2021\\\/01\\\/IEC-TR-60601-4-5-2021-300x138.png\",\"datePublished\":\"2021-02-03T08:00:00+00:00\",\"dateModified\":\"2023-12-07T12:50:46+00:00\",\"description\":\"Die IEC 60601-4-5 legt Security Levels fest, die Medizinprodukteherstellern helfen, risikobasiert zu arbeiten. ACHTUNG: Norm gilt auch f\u00fcr Software!\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2021\\\/01\\\/IEC-TR-60601-4-5-2021.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2021\\\/01\\\/IEC-TR-60601-4-5-2021.png\",\"width\":2069,\"height\":955},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/systems-engineering\\\/iec-60601-4-5\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Systems Engineering bei Medizinprodukten\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/systems-engineering\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"IEC\\\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?","description":"Die IEC 60601-4-5 legt Security Levels fest, die Medizinprodukteherstellern helfen, risikobasiert zu arbeiten. ACHTUNG: Norm gilt auch f\u00fcr Software!","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","og_locale":"de_DE","og_type":"article","og_title":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?","og_description":"Die IEC 60601-4-5 legt Security Levels fest, die Medizinprodukteherstellern helfen, risikobasiert zu arbeiten. ACHTUNG: Norm gilt auch f\u00fcr Software!","og_url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2021-02-03T08:00:00+00:00","article_modified_time":"2023-12-07T12:50:46+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-300x138.png","type":"","width":"","height":""}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"9\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?","datePublished":"2021-02-03T08:00:00+00:00","dateModified":"2023-12-07T12:50:46+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/"},"wordCount":1521,"commentCount":3,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-300x138.png","keywords":["IEC 60601-1: Medizinische elektrische Ger\u00e4te","IT Security"],"articleSection":["Systems Engineering bei Medizinprodukten"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","name":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021-300x138.png","datePublished":"2021-02-03T08:00:00+00:00","dateModified":"2023-12-07T12:50:46+00:00","description":"Die IEC 60601-4-5 legt Security Levels fest, die Medizinprodukteherstellern helfen, risikobasiert zu arbeiten. ACHTUNG: Norm gilt auch f\u00fcr Software!","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/IEC-TR-60601-4-5-2021.png","width":2069,"height":955},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Systems Engineering bei Medizinprodukten","item":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},{"@type":"ListItem","position":3,"name":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":530835,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/mopp-moop\/","url_meta":{"origin":2737466,"position":0},"title":"MOPP, MOOP, MOP: Die IEC 60601-Arithmetik","author":"Mario Klessascheck","date":"4. Oktober 2016","format":false,"excerpt":"MOPP, MOOP und MOP: Die Norm f\u00fcr medizinische elektrische Ger\u00e4te\u00a0IEC 60601-1 benutzt diese Akronyme f\u00fcr \u201eMeans of Patient Protection\u201c, \u201eMeans of Operator Protection\u201c und \u201eMeans of Protection\u201c. Was es mit diesen zentralen Begriffen der Norm auf sich hat und welche Anforderungen mit ihnen verbunden sind, erfahren Sie in diesem Artikel.\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"Luft- und Kriechstrecken als MOPP und MOOP","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/10\/MOPP-Luftstrecke-Kriechstrecke.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/10\/MOPP-Luftstrecke-Kriechstrecke.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/10\/MOPP-Luftstrecke-Kriechstrecke.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/10\/MOPP-Luftstrecke-Kriechstrecke.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/10\/MOPP-Luftstrecke-Kriechstrecke.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/10\/MOPP-Luftstrecke-Kriechstrecke.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":871351,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62366-usability\/iec-60601-1-6\/","url_meta":{"origin":2737466,"position":1},"title":"IEC 60601-1-6 \u2013 Die Erg\u00e4nzungsnorm zur Gebrauchstauglichkeit","author":"Mario Klessascheck","date":"25. Juli 2017","format":false,"excerpt":"Die IEC 60601-1-6 ist eine Erg\u00e4nzungsnorm (Collateral Standard) zur IEC 60601-1. Die IEC 60601-1-6 legt die Anforderungen an die Gebrauchstauglichkeit (Usability) von medizinischen elektrischen Ger\u00e4ten fest. Auch die IEC 62366 stellt Anforderungen an die Gebrauchstauglichkeit von Medizinprodukten. Bedarf es wirklich zweier Normen? Ist die IEC 60601-1-6 obsolet geworden? Antworten finden\u2026","rel":"","context":"In &quot;Usability &amp; IEC 62366-1&quot;","block_context":{"text":"Usability &amp; IEC 62366-1","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62366-usability\/"},"img":{"alt_text":"IEC 60601-1-6 bis zum Jahr 2010","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/07\/IEC-60601-1-6-alt-1024x414.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/07\/IEC-60601-1-6-alt-1024x414.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/07\/IEC-60601-1-6-alt-1024x414.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":4207089,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-1-11\/","url_meta":{"origin":2737466,"position":2},"title":"IEC 60601-1-11 AMD1:2020 (2.1) &#8211; Medizinprodukte in h\u00e4uslicher Umgebung","author":"Mario Klessascheck","date":"27. Juli 2021","format":false,"excerpt":"Die Norm IEC 60601-1-11 ist eine Erg\u00e4nzungsnorm zur IEC 60601-1. Sie legt Anforderungen an Medizinprodukte fest, die in einer h\u00e4uslichen Umgebung verwendet werden. Die Norm tr\u00e4gt den Titel \u201cMedical electrical equipment Part 1-11: General requirements for basic safety and essential performance Collateral Standard: Requirements for medical electrical equipment and medical\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/IEC-60601-1-11-Standardization-Request.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/IEC-60601-1-11-Standardization-Request.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/IEC-60601-1-11-Standardization-Request.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/IEC-60601-1-11-Standardization-Request.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":13305,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-1-2\/","url_meta":{"origin":2737466,"position":3},"title":"IEC 60601-1-2: Neue Edition zur EMV von Medizinprodukten","author":"Mario Klessascheck","date":"3. M\u00e4rz 2023","format":false,"excerpt":"Im Mai 2016 wurde die deutsche Ausgabe der IEC 60601-1-2:2014 (Edition 4) als DIN EN 60601-1-2:2016 mit dem Titel Elektromagnetische St\u00f6rgr\u00f6\u00dfen \u2013 Anforderungen und Pr\u00fcfungen ver\u00f6ffentlicht. Ende 2020 folgte die um das Amendment 1 (AMD 1) erg\u00e4nzte und als Edition 4.1 bezeichnete Ausgabe dieser \u201eEMV-Norm\u201c. Wichtig f\u00fcr Medizinproduktehersteller Medizinproduktehersteller, die\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"IEC 60601-1-2","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/05\/IEC-60601-1-2.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/05\/IEC-60601-1-2.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/05\/IEC-60601-1-2.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/05\/IEC-60601-1-2.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/05\/IEC-60601-1-2.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/05\/IEC-60601-1-2.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":681500,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-61010-ivd\/","url_meta":{"origin":2737466,"position":4},"title":"IEC 61010-1 und IEC 61010-2-101: Anforderungen an IVD","author":"Mario Klessascheck","date":"11. September 2025","format":false,"excerpt":"Die Normenfamilie IEC 61010 stellt Sicherheitsanforderungen an elektrische Mess-, Steuer-, Regel- und Laborger\u00e4te. Die Basisnorm IEC 61010-1 und die Partikularnormen der Serie IEC\u00a061010-2 beschreiben den Stand der Technik und dienen damit IVD-Herstellern zum Nachweis der grundlegenden Sicherheits- und Leistungsanforderungen von Anhang I der\u00a0IVD-Verordnung\u00a0(IVDR). 1. Die Normenreihe IEC 61010 a. Anwendungsbereich\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/01\/Abbildung-3-Auswahl-netzteil.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":5371082,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/funktionale-sicherheit\/","url_meta":{"origin":2737466,"position":5},"title":"Funktionale Sicherheit bei Medizinprodukten","author":"Mario Klessascheck","date":"18. April 2023","format":false,"excerpt":"Medizinprodukte m\u00fcssen die gesetzlichen Anforderungen an die funktionale Sicherheit, auch Funktionssicherheit und \u201efunctional safety\u201c genannt, erf\u00fcllen. Leider verwenden und definieren die relevanten Normen und Gesetze f\u00fcr Medizinprodukte den Begriff \u201efunktionale Sicherheit\u201c nicht. Dieser Artikel verschafft Klarheit. 1. Funktionale Sicherheit: Der Hintergrund a) Wer muss sich damit besch\u00e4ftigen? Die folgenden Rollen\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Funktionale-Sicherheit-mit-zweikanaliger-Architektur.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Funktionale-Sicherheit-mit-zweikanaliger-Architektur.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Funktionale-Sicherheit-mit-zweikanaliger-Architektur.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Funktionale-Sicherheit-mit-zweikanaliger-Architektur.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Funktionale-Sicherheit-mit-zweikanaliger-Architektur.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/03\/Funktionale-Sicherheit-mit-zweikanaliger-Architektur.png?resize=1400%2C800&ssl=1 4x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-bu8G","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/2737466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=2737466"}],"version-history":[{"count":13,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/2737466\/revisions"}],"predecessor-version":[{"id":5377243,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/2737466\/revisions\/5377243"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=2737466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=2737466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=2737466"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=2737466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}