{"id":2872222,"date":"2021-02-04T09:00:00","date_gmt":"2021-02-04T08:00:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=2872222"},"modified":"2024-06-25T08:38:26","modified_gmt":"2024-06-25T06:38:26","slug":"cvss-common-vulnerability-scoring-system","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/","title":{"rendered":"CVSS Common Vulnerability Scoring System"},"content":{"rendered":"\n<p>Das <strong>Common Vulnerability Scoring System CVSS<\/strong> dient in der <strong>IT Security<\/strong> nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzusch\u00e4tzen.<\/p>\n\n\n\n<p>Lernen Sie dieses Common Vulnerability Scoring System <strong>CVSS verstehen<\/strong> und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich \u00fcberwachen, um <strong>Risiken f\u00fcr Ihre Produkte einsch\u00e4tzen<\/strong> und beherrschen zu k\u00f6nnen. Das hilft Ihnen, die <strong>gesetzlichen Vorgaben zu erf\u00fcllen<\/strong>.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 aria-label=\"1. Common Vulnerability Scoring\">1. Wie das Common Vulnerability Scoring System hilft, sichere Produkte zu\nentwickeln<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) IT-Sicherheitsl\u00fccken einheitlich bewerten<\/h3>\n\n\n\n<p>Vulnerability Scores klassifizieren die Art und Schwere von Software-Sicherheitsl\u00fccken (Vulnerabilities) in der <a aria-label=\"IT Security (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/\" target=\"_blank\" rel=\"noreferrer noopener\">IT Security<\/a>. Damit verf\u00fcgen verschiedene Parteien (z.B. Hersteller, Sicherheitsforscher, benannte Stellen, Beh\u00f6rden, Penetration-Tester) \u00fcber eine einheitliche Definition der Schweregrade.<\/p>\n\n\n\n<div class=\"defbox\">\n        <div class=\"definition\">\n            <i class=\"fa fa-exclamation-triangle\"><\/i> Vorsicht!\n        <\/div>\n        <p>Beachten Sie, dass der Begriff &#8222;Vulnerability&#8220; im Deutschen manchmal als &#8222;Schwachstelle&#8220; und manchmal als &#8222;Sicherheitsl\u00fccke&#8220; \u00fcbersetzt wird. Streng genommen m\u00fcsste zwischen Sicherheitsl\u00fccke (Vulnerability) und Schwachstelle (Weakness) unterschieden werden.<\/p><p>Das NIST SP 800-30 definiert eine Vulnerabilty als <i>\u201eA flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of the system&#8217;s security policy.\u201c<\/i><\/p><p>Damit g\u00e4lte: Sicherheitsl\u00fccke (Vulnerability) = Schwachstelle (Weakness) + Zugriffm\u00f6glichkeit<\/p>\n    <\/div>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) Inputs f\u00fcr die Risikoanalyse liefern<\/h3>\n\n\n\n<p>Die Scores sind allerdings noch <strong>kein(!) Ma\u00df f\u00fcr die Risiken im Sinne der <a rel=\"noreferrer noopener\" aria-label=\"ISO 14971 (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/\" target=\"_blank\">ISO 14971<\/a><\/strong>, die von einer kompromittierbaren Software ausgehen. <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Vielmehr helfen die Scores abzusch\u00e4tzen, wie und wie wahrscheinlich sich eine Software nicht spezifikationsgem\u00e4\u00df verhalten wird. <\/li>\n\n\n\n<li>Das wiederum erlaubt eine Absch\u00e4tzung, wie und wie wahrscheinlich sich das Produkt nicht spezifikationsgem\u00e4\u00df verh\u00e4lt. <\/li>\n\n\n\n<li>Und das wiederum erlaubt Schl\u00fcsse darauf, wie hoch die Risiken (Wahrscheinlichkeit und <a rel=\"noreferrer noopener\" aria-label=\"Schweregrad von Sch\u00e4den (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/schweregrad-schaden-iso-14971\/\" target=\"_blank\">Schweregrad von Sch\u00e4den<\/a>) f\u00fcr Patienten sind. <\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk.jpg\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"160\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg\" alt=\"Das CVSS hilft nur indirekt Patienten-Risiken durch Software-Schwachstellen zu bewerten und zu beherrschen d.h. sichere Medizinprodukte zu entwickeln.\" class=\"wp-image-2872261\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-768x409.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-1024x545.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-150x80.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk.jpg 1964w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><em><strong>Abb. 1<\/strong>: CVSS hilft nur indirekt, Patienten-Risiken durch Software-Schwachstellen zu bewerten und zu beherrschen, d.h. sichere Medizinprodukte zu entwickeln.<\/em> (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Die Scores sind somit hilfreich, geeignete <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/risikominimierung\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"Ma\u00dfnahmen (opens in a new tab)\">Ma\u00dfnahmen<\/a> zu ergreifen und damit sichere Produkte zu entwickeln.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Schwachstellen und IT-Sicherheitsl\u00fccken kommunizieren (Interoperabilit\u00e4t)<\/h3>\n\n\n\n<p>Schwachstellen sind nicht nur \u00fcber deren Score, sondern auch \u00fcber weitere Attribute charakterisiert:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Eindeutige ID der Schwachstelle <\/li>\n\n\n\n<li>Betroffenes Produkt (z.B. Betriebssystem, Bibliothek)<\/li>\n\n\n\n<li>Betroffene Version des Produkts<\/li>\n\n\n\n<li>Problemtyp<\/li>\n\n\n\n<li>Beschreibung der Schwachstelle<\/li>\n\n\n\n<li>Status<\/li>\n\n\n\n<li>Datum der initialen Meldung<\/li>\n\n\n\n<li>Datum der letzten \u00dcberarbeitung<\/li>\n\n\n\n<li>Referenzen <\/li>\n<\/ul>\n\n\n\n<p>Die eindeutige Nummerierung der Schwachstelle erfolgt \u00fcber\ndie CVE ID. <a href=\"https:\/\/de.wikipedia.org\/wiki\/Common_Vulnerabilities_and_Exposures\">CVE\nsteht f\u00fcr Common Vulnerabilities and Exposure<\/a>. Dieses Nummernschema\nverwendet auch die <a href=\"https:\/\/nvd.nist.gov\/vuln\/\">National Vulnerability\nDatabase (NVD)<\/a> des NIST (s. Abb. 2).<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVE-NIST-Zusammenspiel.jpg\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"178\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVE-NIST-Zusammenspiel-300x178.jpg\" alt=\"Verschiedene Datenbanken wie die NVD und CVE nutzen die CVE-IDs um gleiche Schwachstellen zu identifizieren. Beide Datenbanken referenzieren die jeweils anderen Eintr\u00e4ge.\" class=\"wp-image-2872276\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVE-NIST-Zusammenspiel-300x178.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVE-NIST-Zusammenspiel-768x455.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVE-NIST-Zusammenspiel-1024x606.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVE-NIST-Zusammenspiel-150x89.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVE-NIST-Zusammenspiel.jpg 1822w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><em><strong>Abb. 2<\/strong>: Verschiedene Datenbanken wie die NVD und CVE nutzen die CVE-IDs, um gleiche Schwachstellen zu identifizieren. Beide Datenbanken referenzieren die jeweils anderen Eintr\u00e4ge.<\/em> (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Als Austauschformat dient beispielsweise das XML-basierte Format, wie es das <a rel=\"noreferrer noopener\" href=\"http:\/\/www.icasi.org\/cvrf-1-1-mindmap\/\" target=\"_blank\">Common Vulnerability Reporting Framework (CVRF)<\/a> spezifiziert. Die NIST nutzt ein anderes Format und speichert andere Attribute. Das erschwert <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/interoperabilitat\/\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"Interoperabilit\u00e4t (opens in a new tab)\">Interoperabilit\u00e4t<\/a> etwas. Zum Gl\u00fcck verweisen die beiden \u201eDatenbanken\u201c (CVE und NIST) bei den jeweiligen Eintr\u00e4gen aufeinander (s. Abb. 2).<\/p>\n\n\n\n<h2 aria-label=\"2. Metriken und Scores\">2. Welche Metriken einflie\u00dfen und wie sich die Scores berechnen<\/h2>\n\n\n\n<p>Das Common Vulnerability Scoring System kennt mehrere Scores, die sich sogar gegenseitig beeinflussen: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Base Metric Scores<\/li>\n\n\n\n<li>Temporal Metric Scores<\/li>\n\n\n\n<li>Enviriomental Metric Scores<\/li>\n<\/ul>\n\n\n\n<p>Wenn eine Schwachstelle neu entdeckt wurde, sind meist nur die \u201eBase Score Metrics\u201c bekannt (in Abb. 3 mit rotem Hintergrund markiert).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS.png\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"848\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-1024x848.png\" alt=\"Das CVSS unterscheidet mehrere Scores, in die jeweils verschiedene Metriken einflie\u00dfen und die sich gegenseitig beeinflussen. In rot sind die \u201eBase Score Metrics\u201c markiert, aus denen sich der \u201eBase Score\u201c berechnet. Die roten Sterne bezeichnen die Werte, die den Score am meisten erh\u00f6hen.\" class=\"wp-image-3950819\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-1024x848.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-300x248.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-768x636.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-200x166.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-400x331.png 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-600x497.png 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-800x662.png 800w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS-1200x994.png 1200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/01\/Common-Vulnerability-Scoring-System-CVSS.png 1395w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\"><em><strong>Abb. 3<\/strong>: Es gibt mehrere Scores, in die jeweils verschiedene Metriken einflie\u00dfen und die sich gegenseitig beeinflussen. In Rot sind die \u201eBase Score Metrics\u201c markiert, aus denen sich der \u201eBase Score\u201c berechnet. Die roten Sterne bezeichnen die Werte, die den Score am meisten erh\u00f6hen.<\/em> (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<div class=\"wp-block-file\"><a id=\"wp-block-file--media-5de8598d-8757-4aa0-bc42-93f495ecbea4\" href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Metrics.pdf\">Die Mindmap als PDF herunterladen:<\/a><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Metrics.pdf\" class=\"wp-block-file__button wp-element-button\" download aria-describedby=\"wp-block-file--media-5de8598d-8757-4aa0-bc42-93f495ecbea4\">Herunterladen<\/a><\/div>\n\n\n\n<p>Die Scores k\u00f6nnen jeweils Werte zwischen 0 und 10 (h\u00f6chste Verwundbarkeit, h\u00f6chster Schweregrad) annehmen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">a) CVSS Base Score<\/h3>\n\n\n\n<p>Der CVSS \u201eBase Score\u201c berechnet sich aus den \u201eBase Score\nMetrics\u201c. Zu diesen Metriken z\u00e4hlen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Attack Vector<\/strong>: Diese Metrik gibt an, wie \u201enah\u201c ein Angreifer am Objekt sein muss. Bedarf es im einen Extrem eines physischen Zugriffs (AV:P)? Oder ist das Objekt im anderen Extrem \u00fcber das Netzwerk angreifbar?<\/li>\n\n\n\n<li><strong>Attack Complexity<\/strong>: Wie leicht kommt der Angreifer ans Ziel? Liegt das innerhalb seiner Kontrolle?<\/li>\n\n\n\n<li><strong>Privileges Required<\/strong>: Braucht der Angreifer bereits Privilegien (Autorisierung), bevor er seinen Angriff aus\u00fcben kann? Wenn das der Fall ist, ist der Score niedriger, andernfalls h\u00f6her.<\/li>\n\n\n\n<li><strong>User Interaction<\/strong>: Muss erst noch ein Benutzer handeln, damit der Angreifer das Ziel erreicht? Wenn der Benutzer z.B. erst einen Link anklicken muss, w\u00e4re der Wert \u201erequired\u201c (UI:R).<\/li>\n\n\n\n<li><strong>Scope<\/strong>: Der Scope beschreibt, ob die Auswirkungen eines Angriffs \u201enur\u201c die verwundbare Komponente oder andere Komponenten betrifft. Im letzteren Fall (\u201eChanged\u201c S:C) erh\u00f6ht sich der Scope Score den Base Score, falls letzterer nicht bereits den Maximalwert von 10 erreicht hat.<\/li>\n\n\n\n<li><strong>Confidentiality Impact<\/strong>: Diese Metrik gibt an, wie hoch der Angriff die Vertraulichkeit beeintr\u00e4chtigt. Ein Wert von \u201eHigh\u201c (C:H) bedeutet, dass die Vertraulichkeit vollst\u00e4ndig verloren wird.<\/li>\n\n\n\n<li><strong>Integrity Impact<\/strong>: Analog beschreibt diese Metrik den Einfluss auf die Integrit\u00e4t der Daten. Wenn beispielsweise der Angreifer alle Dateien modifizieren k\u00f6nnte, w\u00e4re der Impact auf \u201ehigh\u201c zu setzen (I:H).<\/li>\n\n\n\n<li><strong>Availability Impact<\/strong>: Auch dieses Ma\u00df gleicht sehr den anderen \u201eImpact Metrics\u201c: Falls es dem Angreifer gelingt oder gelingen k\u00f6nnte, die Verf\u00fcgbarkeit der Komponente zu unterbinden, sodass man nicht mehr auf sie zugreifen kann, w\u00e4re das maximale Wert \u201ehigh\u201c (A:H) erreicht.<\/li>\n<\/ul>\n\n\n\n<p>Die Berechnung erfolgt nach einer Formel, die Sie beispielsweise\nf\u00fcr den Angriffsvektor \u201eAV:N\/AC:L\/PR:L\/UI:N\/S:U\/C:H\/I:H\/A:H\u201c <a href=\"https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\/v3-calculator?vector=AV:N\/AC:L\/PR:L\/UI:N\/S:U\/C:H\/I:H\/A:H&amp;version=3.1\">hier<\/a>\nfinden. Die Bedeutung dieses Vektors erl\u00e4utert die Abbildung 4.<\/p>\n\n\n\n<figure class=\"wp-block-image is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Vektor.png\" data-rel=\"lightbox-image-3\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Vektor-1024x375.png\" alt=\"Die Bedeutung eines Vektors anhand eines Beispiels. Dieser exemplarische Vektor enth\u00e4lt nur die Metriken der \u201eBase Metric Group\u201c, einem Teil des CVSS.\" class=\"wp-image-2872311\" width=\"768\" height=\"281\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Vektor-1024x375.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Vektor-300x110.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Vektor-768x282.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Vektor-150x55.png 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Vektor.png 1214w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><figcaption class=\"wp-element-caption\"><em><strong>Abb. 4<\/strong>: Die Bedeutung eines Vektors anhand eines Beispiels. Dieser exemplarische Vektor enth\u00e4lt nur die Metriken der \u201eBase Metric Group\u201c.<\/em> (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Im konkreten Fall nimmt der Base Score den Wert 8,8 an (s. Abb. 5). <\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Base-Score.jpg\" data-rel=\"lightbox-image-4\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"223\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Base-Score-300x223.jpg\" alt=\"Abb. 5: Berechnung und Darstellung des Bases Scores mit Hilfe des Berechners der NIST.\" class=\"wp-image-2872322\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Base-Score-300x223.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Base-Score-768x571.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Base-Score-150x112.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Base-Score.jpg 773w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\"><em><strong>Abb. 5<\/strong>: Berechnung und Darstellung des Bases Scores mit Hilfe des Berechners der <\/em><a href=\"https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\/v3-calculator?vector=AV:N\/AC:L\/PR:L\/UI:N\/S:U\/C:H\/I:H\/A:H&amp;version=3.1\"><em>NIST<\/em><\/a><em>.<\/em><\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">b) Temporal Score <\/h3>\n\n\n\n<p>Der Tempoaral Score ist ein Ma\u00df daf\u00fcr, wie gut die Schwachstelle zum aktuellen Zeitpunkt ausgenutzt werden kann, z.B. weil es bereits fertige Exploit Kits gibt, was den Score erh\u00f6hen w\u00fcrde. Existierende Patches hingegen w\u00fcrden ihn erniedrigen.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Exploit Code Maturity (E)<\/strong>: Diese Metrik gibt an, wie leicht die Schwachstelle mit Hilfe von Exploit Kits ausgenutzt werden kann. Sie ist auch ein Ma\u00df f\u00fcr die \u201eG\u00fcte und Usability\u201c dieser Exploits.<\/li>\n\n\n\n<li><strong>Remediation Level (RL)<\/strong>: Der Remediation Level ist hingegen eher ein Ma\u00df f\u00fcr die G\u00fcte der Gegenma\u00dfnahme, z.B. in Form eines <a aria-label=\"Software Patches (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/security-patch\/\" target=\"_blank\" rel=\"noreferrer noopener\">Software Patches<\/a>.<\/li>\n\n\n\n<li><strong>Report Confidence (RC)<\/strong>: Diese Metrik gibt an, wie sicher es ist, dass die Schwachstelle tats\u00e4chlich existiert. Die h\u00f6chsten Werte f\u00fcr den \u201eTemporal Score\u201c erreicht man, wenn man die Werte auf \u201eConfirmed\u201c bzw. auf \u201eNot Defined\u201c setzt.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">c) Environmental Score<\/h3>\n\n\n\n<p>Die \u201eEnvironmental Metric Group\u201c umfasst vordergr\u00fcndig die meisten Metriken. Es sind letztlich aber nur die bereits bekannten Metriken, die f\u00fcr den konkreten Anwendungskontext einer Firma oder eines Systems bestimmt werden. D.h., diese Werte legt nicht das NIST fest, sondern der Analyst f\u00fcr einen spezifischen Kontext, z.B. ein Krankenhaus mit einer bestimmten Infrastruktur und bestimmten Anforderungen an die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit von Informationen und Informationstechnik. Sprich: an die IT-Sicherheit.<\/p>\n\n\n\n<div class=\"defbox\">\n    <div class=\"definition\">\n        <i class=\"fa fa-external-link\"><\/i> Weiterf\u00fchrende Informationen\n    <\/div>\n    <p>Lesen Sie hier mehr zum Thema <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/\">IT-Sicherheit im Gesundheitswesen<\/a> und zum <a href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/aami-tir-57-it-security-medizinprodukte\/\">IT Security Management nach AAMI TIR 57<\/a>.<\/p>\n<\/div>\n\n\n\n<h2 aria-label=\"3. Zusammenspiel Risikomanagement\">3. Wie die Vulnerability Scores und das Risikomanagement zusammenspielen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Die Scores sind kein Ma\u00df f\u00fcr Risiken<\/h3>\n\n\n\n<p>\u201e<strong>CVSS Measures Severity, not Risk<\/strong>\u201c betont sogar der <a href=\"https:\/\/www.first.org\/cvss\/v3.1\/user-guide\">offizielle \u201eUser Guide\u201c<\/a>. Das stimmt f\u00fcr Medizinprodukte in einer weiteren Hinsicht: <\/p>\n\n\n\n<p>Der Scores sind eher ein Ma\u00df f\u00fcr die Wahrscheinlichkeit, dass eine Komponente kompromittiert wird und sich daher nicht spezifikationsgem\u00e4\u00df verh\u00e4lt. Sie sind weder ein Ma\u00df f\u00fcr die Wahrscheinlichkeit noch den Schweregrad von (physischen) Sch\u00e4den. Und daher kein Ma\u00df f\u00fcr das Risiko im Sinne einer ISO&nbsp;14971.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Die Scores helfen, Risiken zu bewerten<\/h3>\n\n\n\n<p>Allerdings bieten die Scores eine Metrik, um die Wahrscheinlichkeit von Sch\u00e4den bzw. Systemfehlverhalten besser abzusch\u00e4tzen (s. auch Abb. 1). Besonders die Anpassung dieser Metriken \u00fcber die \u201eEnvironmental Metrik Group\u201c \u2013 d.h. den spezifischen Kontext \u2013 hilft bei dieser Absch\u00e4tzung. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Die Scores in der \u201ePost-Market Phase\u201c<\/h3>\n\n\n\n<p>Das CVSS hat f\u00fcr Hersteller besonders in der \u201e<a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/post-market-surveillance\/\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"Post-Market Phase (opens in a new tab)\">Post-Market Phase<\/a>\u201c eine hohe Bedeutung: Die Hersteller m\u00fcssen die Meldungen \u00fcber Schwachstellen kontinuierlich nachverfolgen und entscheiden, ob Ma\u00dfnahmen notwendig sind. Genau bei dieser Entscheidung und bei der Priorisierung von Ma\u00dfnahmen unterst\u00fctzen die Scores:<\/p>\n\n\n\n<p>Ein Produkt mit einer Schwachstelle, die nur bei physischem\nZugriff auf das Produkt ausnutzbar ist, hat offensichtlich nicht die gleiche\nPriorit\u00e4t wie ein Produkt, das aus der Ferne \u00fcber das Netzwerk ohne das Zutun\neines Anwenders angegriffen werden kann.<\/p>\n\n\n\n<div class=\"defbox\">\n    <div class=\"definition\">\n        <i class=\"fa fa-lightbulb-o\"><\/i> Tipp\n    <\/div>\n    <p>Die MDR verlangt, im PMS-Plan Kriterien festzulegen, bei denen die Hersteller Korrektur- und Vorbeugema\u00dfnahmen ergreifen. Die Metriken des CVSS bieten sich daf\u00fcr an.<\/p>\n<\/div>\n\n\n\n<p>Auditoren und Inspektoren werden bei Pr\u00fcfungen die\nSchwachstellen mit dem h\u00f6chsten Score ausw\u00e4hlen, um zu \u00fcberpr\u00fcfen, ob der\nHersteller zeitnah und wirksam die Schwachstelle erkannt und beseitigt hat. Die\ngesetzeskonforme Kommunikation der Ma\u00dfnahmen an die Anwender und ggf. Beh\u00f6rden\nist Gegenstand dieser Pr\u00fcfungen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">d) Vulnerabilities in der Risikomangementakte<\/h3>\n\n\n\n<p>Es ergibt keinen Sinn, jede gemeldete Schwachstelle in der\n\u201eRisikotabelle\u201c zu dokumentieren. Diese w\u00fcrde damit v\u00f6llig \u00fcberfrachtet.\nAllerdings sollten die Hersteller f\u00fcr jede dieser Schwachstellen das Folgende\npr\u00fcfen:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Vollst\u00e4ndigkeit der analysierten Komponenten<\/strong><br>Das Fehlverhalten der betroffenen Komponente wird in der Risikotabelle bereits analysiert. Andernfalls w\u00e4re das nachzutragen. Als Methode zur Risikoanalyse bietet sich die <a rel=\"noreferrer noopener\" aria-label=\"FMEA (opens in a new tab)\" href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/fmea-bei-medizinprodukten\/\" target=\"_blank\">FMEA<\/a> an.<\/li>\n\n\n\n<li><strong>Korrektheit der gesch\u00e4tzten Wahrscheinlichkeiten<\/strong><br> Die in der Risikotabelle abgesch\u00e4tzten Wahrscheinlichkeiten stimmen mit den tats\u00e4chlichen Ereignissen und der Bewertung durch das CVSS \u00fcberein. Andernfalls sind diese zu korrigieren und damit die Risiken neu zu bewerten.<\/li>\n\n\n\n<li><strong>Korrektheit des antizipierten Fehlverhaltens<\/strong><br> Das Fehlverhalten der Komponente, das durch die Schwachstelle entstehen kann, wird in der Risikotabelle korrekt bewertet. Beispielsweise k\u00f6nnte es sein, dass der Hersteller bereits erkannt hat, dass die Komponente bei einem Cyberangriff verf\u00e4lschte Daten zur Verf\u00fcgung stellt (Integrit\u00e4tsproblem), aber nicht betrachtet hat, dass der Angriff ein Memory-Leak verursachen kann, der das ganze System zum Abst\u00fcrzen bringt (Verf\u00fcgbarkeitsproblem). Auch das g\u00e4lte es in der Risikotabelle zu erg\u00e4nzen und die <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/risikobewertung\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"Risiken neu zu bewerten (opens in a new tab)\">Risiken neu zu bewerten<\/a>. <\/li>\n<\/ol>\n\n\n\n<div class=\"defbox\">\n    <div class=\"definition\">\n        <i class=\"fa fa-exclamation-triangle\"><\/i> Vorsicht!\n    <\/div>\n    <p>Wenn die gemeldeten Schwachstellen zu bisher nicht untersuchten Fehlverhalten des Systems f\u00fchren k\u00f6nnten, m\u00fcssen die Hersteller Auswirkungen auf Patienten, Anwender und Dritte analysieren.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">e) Verfahrens- oder Arbeitsanweisungen<\/h3>\n\n\n\n<p>Somit ist es sinnvoll, in zwei Schritten und damit ggf.\nsogar mit zwei Arbeits- oder Verfahrensanweisungen zu operieren:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Die erste Anweisung enth\u00e4lt eine Beschreibung, wie bei der o.g. Analyse vorgegangen werden muss. Sie sollte f\u00fcr jede Schwachstelle einen kurzen schriftlichen Hinweis verlangen, ob die bisherige Risikoanalyse alles abdeckt. Falls ja, gen\u00fcgt die Referenz auf die \u201eRisk ID\u201c; falls nein, w\u00e4re es ein Hinweis auf die \u00c4nderung der Risikomanagementakte. Diese Beschreibung ist spezifisch f\u00fcr die IT-Sicherheit.<\/li>\n\n\n\n<li>Die zweite Anweisung liefert eine Vorgabe, wie neue oder ge\u00e4nderte Risiken in der Risikomanagementakte zu dokumentieren sind. Diese Vorgabe ist weitgehend unspezifisch f\u00fcr die IT-Sicherheit.<\/li>\n<\/ol>\n\n\n\n<h2 aria-label=\"4. Medizinprodukte\">4. CVSS bei Medizinprodukten<\/h2>\n\n\n\n<p>Die MITRE Cooperation hat einen Leitfaden ver\u00f6ffentlicht, der Herstellern bei der Festlegung der Scores speziell bei Medizinprodukten helfen soll. <\/p>\n\n\n\n<div class=\"wp-block-file\"><a id=\"wp-block-file--media-3198d5aa-2e5e-4308-97b3-900abdd1fdf0\" href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/pr-18-2208-CVSS-medical-device-rubric-v0.11.04.pdf\">Leitfaden hier herunterladen<\/a><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/pr-18-2208-CVSS-medical-device-rubric-v0.11.04.pdf\" class=\"wp-block-file__button wp-element-button\" download aria-describedby=\"wp-block-file--media-3198d5aa-2e5e-4308-97b3-900abdd1fdf0\">Herunterladen<\/a><\/div>\n\n\n\n<p>Der Leitfaden nennt f\u00fcr jede der oben beschriebenen Metriken Beispiele, Kommentare und Handlungsanweisungen, z.T. in Form von Leitfragen und Entscheidungsb\u00e4umen (s. Abb. 6).<\/p>\n\n\n\n<figure class=\"wp-block-image size-medium\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"249\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/MITRE-Entscheidungsdiagramm-CVSS-Mediziprodukte-Beispiel-300x249.png\" alt=\"Beispiel f\u00fcr ein Entscheidungsdiagramm der MITRE \" class=\"wp-image-2898371\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/MITRE-Entscheidungsdiagramm-CVSS-Mediziprodukte-Beispiel-300x249.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/MITRE-Entscheidungsdiagramm-CVSS-Mediziprodukte-Beispiel-1024x850.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/MITRE-Entscheidungsdiagramm-CVSS-Mediziprodukte-Beispiel-768x637.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/MITRE-Entscheidungsdiagramm-CVSS-Mediziprodukte-Beispiel-1536x1275.png 1536w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/MITRE-Entscheidungsdiagramm-CVSS-Mediziprodukte-Beispiel-150x124.png 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/MITRE-Entscheidungsdiagramm-CVSS-Mediziprodukte-Beispiel.png 1786w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><figcaption class=\"wp-element-caption\"><strong>Abb. 6<\/strong>:  Beispiel f\u00fcr ein Entscheidungsdiagramm der MITRE (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>PII in obiger Abbildung steht f\u00fcr &#8222;personally identifiable information&#8220;, PHI f\u00fcr &#8222;protected health information&#8220;.  Ebenfalls vom MITRE stammt die folgende Pr\u00e4sentation zu den CVSS im Kontext von Medizinprodukten. <\/p>\n\n\n\n<div class=\"wp-block-file\"><a id=\"wp-block-file--media-e90555e2-54ad-4bbc-9663-3ab257800eee\" href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/cvss-mp-fda.pdf\">Pr\u00e4sentation zu CVSS bei Medizinprodukten<\/a><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/cvss-mp-fda.pdf\" class=\"wp-block-file__button wp-element-button\" download aria-describedby=\"wp-block-file--media-e90555e2-54ad-4bbc-9663-3ab257800eee\">Herunterladen<\/a><\/div>\n\n\n\n<p><span style=\"font-size:small;color:grey\">Danke an Thomas Schulze f\u00fcr den Hinweis auf diese Unterlagen.<\/span><\/p>\n\n\n\n<h2 aria-label=\"5. Fazit\">5. Fazit<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Schlussfolgerungen<\/h3>\n\n\n\n<p>Hersteller von Medizinprodukten, die Software enthalten oder Software sind, m\u00fcssen die Datenbanken mit den Schwachstellen (z.B. NIST) kontinuierlich \u00fcberwachen. Um die dort publizierten Meldungen einordnen zu k\u00f6nnen, ist es unerl\u00e4sslich, die Metriken des Common Vulnerability Scoring Systems zu verstehen.<\/p>\n\n\n\n<p>Es gibt manchmal Tausende Meldungen pro Monat; diese lassen sich sinnvoll nur noch automatisiert \u00fcberwachen. <\/p>\n\n\n\n<p>Wie verwundbar ein System (z.B. ein Medizinprodukt) ist, kann das Common Vulnerability Scoring System CVSS nur bedingt bewerten. Hier m\u00fcssen Hersteller den spezifischen Kontext und damit die \u201eEnvironmental Metric Group\u201c betrachten. Welche Werte diese Metriken annehmen, das bestimmen beispielsweise die konkrete Systemarchitektur und der klinische Kontext. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Aufgaben<\/h3>\n\n\n\n<p>Damit ergeben sich f\u00fcr die Hersteller folgende Aufgaben:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Den <strong>klinischen Kontext<\/strong> in der Zweckbestimmung und den Begleitmaterialien pr\u00e4zise festlegen. Das ist auch eine Forderung der MDR.<\/li>\n\n\n\n<li>Die <strong>Anforderungen an die IT-Sicherheit<\/strong> des Produkts ableiten und eine <strong>Systemarchitektur<\/strong> entwerfen, die m\u00f6glichst inert gegen Cyber-Angriffe ist. Bei beidem hilft der <strong>kostenlose <\/strong><a aria-label=\"Leitfaden IT-Sicherheit (opens in a new tab)\" rel=\"noreferrer noopener\" href=\"https:\/\/www.johner-institut.de\/blog\/johner-institut\/leitfaden-it-sicherheit-guideline-it-security\/\" target=\"_blank\"><strong>Leitfaden IT-Sicherheit<\/strong><\/a>, den die benannten Stellen inzwischen \u00fcbernommen haben.<\/li>\n\n\n\n<li><strong>Komponenten<\/strong> w\u00e4hlen, deren Schwachstellen vom Hersteller m\u00f6glichst schnell behoben werden.<\/li>\n\n\n\n<li><strong>Post-Market Surveillance Plan<\/strong> f\u00fcr jedes Produkt erstellen, der u.a. festlegt, wie der Hersteller abh\u00e4ngig vom CVSS auf die Meldungen reagiert.<\/li>\n\n\n\n<li><strong>SOP zur Post-Market Surveillance<\/strong> (PMS) erstellen und \u00fcberarbeiten, die u.a. genau diese Ma\u00dfnahmen fordert oder beschreibt. Diese SOP sollte die unter 3.e) genannten Verfahrens- bzw. Arbeitsanweisungen enthalten oder referenzieren.<\/li>\n\n\n\n<li><strong>IT-System aufsetzen<\/strong>, das automatisiert Meldungen \u00fcber Schwachstellen sammelt (oder <a href=\"https:\/\/www.johner-institut.de\/digitale-dienstleistungen\/regulatory-monitoring\/post-market-radar\/\"><strong>Post-Market Radar<\/strong><\/a> nutzen, das zudem weitere Informationsquellen auswertet und damit den Herstellern viel Arbeit bei der PMS abnimmt).<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2019-11: Erste Version des Beitrags<\/li>\n\n\n\n<li>2021-02: Hinweis zur \u00dcbersetzung des Begriffs &#8222;Vulnerability&#8220; erg\u00e4nzt. Mindmap korrigiert (Scope-Score dem Impact zu geordnet)<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzusch\u00e4tzen. Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B.&hellip;<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[184],"tags":[1126,1107,1200,337,737],"ppma_author":[1213],"class_list":["post-2872222","post","type-post","status-publish","format-standard","hentry","category-iec-62304-medizinische-software","tag-it-security","tag-krankenhaus","tag-post-market-phase","tag-risikoanalyse","tag-risikomanagementakte","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.2 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>CVSS Common Vulnerability Scoring System: Einf\u00fchrung mit Beispielen<\/title>\n<meta name=\"description\" content=\"Das Common Vulnerability Scoring System CVSS hilft Herstellern die Schwachstellen einheitlich zu verstehen und Risken zu bewerten. **Mindmap zum Download**\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"CVSS Common Vulnerability Scoring System: Einf\u00fchrung mit Beispielen\" \/>\n<meta property=\"og:description\" content=\"Das Common Vulnerability Scoring System CVSS hilft Herstellern die Schwachstellen einheitlich zu verstehen und Risken zu bewerten. **Mindmap zum Download**\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2021-02-04T08:00:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-06-25T06:38:26+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"13\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"CVSS Common Vulnerability Scoring System\",\"datePublished\":\"2021-02-04T08:00:00+00:00\",\"dateModified\":\"2024-06-25T06:38:26+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\"},\"wordCount\":2261,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg\",\"keywords\":[\"IT Security\",\"Krankenh\u00e4user - Labore - Praxen und andere Betreiber\",\"Post-Market-Phase bei Medizinprodukten\",\"Risikoanalyse bei Medizinprodukten\",\"Risikomanagementakte\"],\"articleSection\":[\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\",\"name\":\"CVSS Common Vulnerability Scoring System: Einf\u00fchrung mit Beispielen\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg\",\"datePublished\":\"2021-02-04T08:00:00+00:00\",\"dateModified\":\"2024-06-25T06:38:26+00:00\",\"description\":\"Das Common Vulnerability Scoring System CVSS hilft Herstellern die Schwachstellen einheitlich zu verstehen und Risken zu bewerten. **Mindmap zum Download**\",\"breadcrumb\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk.jpg\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk.jpg\",\"width\":1964,\"height\":1045},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Software &amp; IEC 62304\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"CVSS Common Vulnerability Scoring System\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/JohnerInstitut\/\",\"https:\/\/x.com\/christianjohner\",\"https:\/\/www.youtube.com\/user\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/\"],\"url\":\"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"CVSS Common Vulnerability Scoring System: Einf\u00fchrung mit Beispielen","description":"Das Common Vulnerability Scoring System CVSS hilft Herstellern die Schwachstellen einheitlich zu verstehen und Risken zu bewerten. **Mindmap zum Download**","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/","og_locale":"de_DE","og_type":"article","og_title":"CVSS Common Vulnerability Scoring System: Einf\u00fchrung mit Beispielen","og_description":"Das Common Vulnerability Scoring System CVSS hilft Herstellern die Schwachstellen einheitlich zu verstehen und Risken zu bewerten. **Mindmap zum Download**","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2021-02-04T08:00:00+00:00","article_modified_time":"2024-06-25T06:38:26+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg","type":"","width":"","height":""}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"13\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"CVSS Common Vulnerability Scoring System","datePublished":"2021-02-04T08:00:00+00:00","dateModified":"2024-06-25T06:38:26+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/"},"wordCount":2261,"commentCount":0,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg","keywords":["IT Security","Krankenh\u00e4user - Labore - Praxen und andere Betreiber","Post-Market-Phase bei Medizinprodukten","Risikoanalyse bei Medizinprodukten","Risikomanagementakte"],"articleSection":["Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/","name":"CVSS Common Vulnerability Scoring System: Einf\u00fchrung mit Beispielen","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk-300x160.jpg","datePublished":"2021-02-04T08:00:00+00:00","dateModified":"2024-06-25T06:38:26+00:00","description":"Das Common Vulnerability Scoring System CVSS hilft Herstellern die Schwachstellen einheitlich zu verstehen und Risken zu bewerten. **Mindmap zum Download**","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/11\/CVSS-Score-Risk.jpg","width":1964,"height":1045},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/cvss-common-vulnerability-scoring-system\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Software &amp; IEC 62304","item":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},{"@type":"ListItem","position":3,"name":"CVSS Common Vulnerability Scoring System"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":5377358,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","url_meta":{"origin":2872222,"position":0},"title":"SBOM: Software Bill of Materials","author":"Christian Rosenzweig","date":"23. Januar 2024","format":false,"excerpt":"Gesetze und Normen verpflichten Medizinproduktehersteller zur Software Bill of Materials, der SBOM. Standardisierte SBOM-Formate reichen allerdings nicht immer aus, um diese Anforderungen zu erf\u00fcllen. Insbesondere Medizinproduktehersteller, die f\u00fcr ihre Software keine SBOM ausliefern und nutzen, sind im Markt nicht mehr akzeptiert. Hier sind die Gr\u00fcnde. 1. SBOM: Die Grundlagen a)\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"SBOM Hierarchie der Komponenten","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":714404,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","url_meta":{"origin":2872222,"position":1},"title":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten","author":"Christian Rosenzweig","date":"13. M\u00e4rz 2023","format":false,"excerpt":"ISO 29147 \u2013 noch nie geh\u00f6rt? Dabei ist diese Norm gerade f\u00fcr Hersteller von Medizinprodukten sehr hilfreich: Sie sollten sich die ISO 29147 zunutze machen, auch um regulatorische Anforderungen zu erf\u00fcllen. Welche Anforderungen das sind\u00a0und wie Sie die ISO 29147 dabei einbeziehen k\u00f6nnen, lesen Sie in diesem Beitrag. 1. \u00dcber\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Prozess nach ISO 29147","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":4915585,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/threat-modeling\/","url_meta":{"origin":2872222,"position":2},"title":"Threat Modeling \u2013 eine Einf\u00fchrung","author":"Prof. Dr. Christian Johner","date":"23. Mai 2022","format":false,"excerpt":"Das Threat Modeling ist f\u00fcr Sie ein \u201ePflichtthema\u201c, wenn Sie Medizinprodukte herstellen, die Software enthalten oder die Software sind. Denn das Threat Modeling ist ein strukturierter Prozess zur systematischen Analyse von IT-Sicherheitsrisiken, den Auditoren als den \u201eStand der Technik\u201c voraussetzen. 1. Weshalb Sie das Threat-Modeling nutzen sollten Grund 1: Sichere\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/05\/Threat-Modelling-compress.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/05\/Threat-Modelling-compress.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/05\/Threat-Modelling-compress.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/05\/Threat-Modelling-compress.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/05\/Threat-Modelling-compress.jpg?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":508,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/kombination-von-medizinprodukten\/","url_meta":{"origin":2872222,"position":3},"title":"Kombination von Medizinprodukten: Rechtliche und \u00f6konomische Abw\u00e4gungen","author":"Mario Klessascheck","date":"19. Oktober 2017","format":false,"excerpt":"Mit zunehmender Vernetzung\u00a0von Medizinprodukten stehen Sie immer h\u00e4ufiger vor der Frage, was das Medizinprodukt ist und ob Sie besser das \"ganze System\" d.h. die Kombination von Medizinprodukten oder lieber die\u00a0Komponenten einzeln als Medizinprodukt in Verkehr bringen sollen. Ein Beispiel f\u00fcr die Kombination von Medizinprodukten In diesem Beispiel besteht das ganze\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2009\/12\/mp1.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2009\/12\/mp1.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2009\/12\/mp1.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2009\/12\/mp1.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":976141,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/aami-tir-57-it-security-medizinprodukte\/","url_meta":{"origin":2872222,"position":4},"title":"AAMI TIR 57: IT-Sicherheit und Risikomanagement","author":"Christian Rosenzweig","date":"24. Oktober 2017","format":false,"excerpt":"Der TIR 57 ist ein \u201eTechnical Information Report\u201c der amerikanischen AAMI. Er m\u00f6chte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erf\u00fcllen. TIR 57: Zusammenfassung f\u00fcr eilige Leser Der AAMI TIR 57 ist\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"Schutzziele TIR 57 versus ISO 14971","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/10\/TIR-57-versus-ISO-14971.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":5376998,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","url_meta":{"origin":2872222,"position":5},"title":"IT-Security bei \u201cLegacy Devices\u201d","author":"Christian Rosenzweig","date":"28. November 2023","format":false,"excerpt":"Dass Gesetze und Normen die IT-Security auch bei \u201eLegacy Devices\u201c einfordern, ist verst\u00e4ndlich. Die Art, wie diese Anforderungen formuliert werden, f\u00fchrt allerdings oft zu Verwirrung. Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei Legacy Devices, einmal um die IT-Sicherheit\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png?resize=1400%2C800&ssl=1 4x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-c3ca","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/2872222","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=2872222"}],"version-history":[{"count":29,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/2872222\/revisions"}],"predecessor-version":[{"id":5378966,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/2872222\/revisions\/5378966"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=2872222"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=2872222"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=2872222"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=2872222"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}