{"id":5376998,"date":"2023-11-28T08:32:00","date_gmt":"2023-11-28T07:32:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=5376998"},"modified":"2024-11-26T16:43:17","modified_gmt":"2024-11-26T15:43:17","slug":"it-security-bei-legacy-devices","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","title":{"rendered":"IT-Security bei \u201cLegacy Devices\u201d"},"content":{"rendered":"\n<p>Dass Gesetze und Normen die IT-Security auch bei \u201eLegacy Devices\u201c einfordern, ist verst\u00e4ndlich. Die Art, wie diese Anforderungen formuliert werden, f\u00fchrt allerdings oft zu Verwirrung.<\/p>\n\n\n\n<p>Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei <strong>Legacy Devices<\/strong>, einmal um die IT-Sicherheit von <strong>Altprodukten<\/strong> bzw. von <strong>Bestandsprodukten<\/strong> und woanders um die IT-Sicherheit bei <strong>Software in Transition<\/strong>.<\/p>\n\n\n\n<p>Auch die Anforderungen an die IT-Sicherheit von Medizinprodukten, die Software enthalten oder Software sind, sind nicht aufeinander abgestimmt.<\/p>\n\n\n\n<p>Dieser Artikel ordnet ein und verschafft Medizinprodukteherstellern, Benannten Stellen und Betreibern einen \u00dcberblick.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. IT-Security \u2013 um welche Produkte geht es?<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Kontext<\/h3>\n\n\n\n<p>In diesem Beitrag geht es um Medizinprodukte,<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>die bereits in den Verkehr gebracht wurden und<\/li>\n\n\n\n<li>die Software enthalten bzw. <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/software-als-medizinprodukt-definition\/\">Standalone-Software<\/a> sind und<\/li>\n\n\n\n<li>bei denen es <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/\">Risiken<\/a> durch mangelnde <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/\">IT-Sicherheit<\/a> geben kann.<\/li>\n<\/ul>\n\n\n\n<p>Dabei lassen sich folgende Situationen unterscheiden:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Die Konformit\u00e4t mit aktuellen Anforderungen ist nachgewiesen<\/strong>.<br>Der Hersteller hat die aktuell g\u00fcltigen Anforderungen an die IT-Sicherheit bereits ermittelt und nachgewiesen.<\/li>\n\n\n\n<li><strong>Die Konformit\u00e4t mit aktuellen Anforderungen ist NOCH nicht nachgewiesen<\/strong>.<br>Der Hersteller hat die Produkte konform mit der \u201ealten Gesetzgebung\u201c entwickelt. Er hat die Konformit\u00e4t mit neuen regulatorischen Anforderungen noch nicht nachwiesen, z. B. weil diese unbekannt sind oder weil Ressourcen fehlen.<\/li>\n\n\n\n<li><strong>Die Konformit\u00e4t mit aktuellen Anforderungen kann nicht nachgewiesen werden.<br><\/strong>Der Hersteller hat festgestellt, dass er die aktuell g\u00fcltigen regulatorischen Anforderungen nicht erreichen und damit nicht nachweisen kann, etwa weil\n<ul class=\"wp-block-list\">\n<li><span style=\"word-spacing: normal;\">enthaltene <\/span><a style=\"word-spacing: normal;\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/software-komponenten\/\">Softwarekomponenten<\/a><span style=\"word-spacing: normal;\"> (<\/span><a style=\"word-spacing: normal;\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/\">SOUP\/OTS<\/a><span style=\"word-spacing: normal;\">) von Drittanbietern abgek\u00fcndigt oder nicht mehr gewartet werden,<\/span><\/li>\n\n\n\n<li><span style=\"word-spacing: normal;\">der damalige Hersteller nicht mehr existiert oder<\/span><\/li>\n\n\n\n<li>das Design oder die Technologie des Produkts so veraltet sind, dass eine Umsetzung von IT-Sicherheitsma\u00dfnahmen nicht mehr m\u00f6glich ist.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"1691\" height=\"951\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png\" alt=\"\" class=\"wp-image-5377093\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png 1691w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices-300x169.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices-1024x576.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices-768x432.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices-1536x864.png 1536w\" sizes=\"auto, (max-width: 1691px) 100vw, 1691px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: IT-Security bei Legacy Devices: Es gibt verschiedene Situationen, welche regulatorische Dokumente betrachten und die nicht \u00fcberschneidungsfrei sind.<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Kapitel 2 dieses <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/\">Artikels zur IT-Sicherheit<\/a> nennt die aktuell g\u00fcltigen Anforderungen an Medizinprodukte.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) Begriffsdefinitionen<\/h3>\n\n\n\n<p>Normen und Leitlinien unterscheiden die oben genannten Situationen auch begrifflich:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Transitional Health Software<\/h4>\n\n\n\n<p>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/\">IEC 81001-5-1<\/a> bezeichnet die Software bei Produkten der Situation 2 als \u201cTransitional Health Software\u201d.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition \u201cTRANSITIONAL HEALTH SOFTWARE\u201d<\/span><\/div>\n<p>\u201cHEALTH SOFTWARE, which was released prior to publication of this document, and which does not meet all requirements specified in Clause 4 through Clause 9 of this document.\u201d<\/p>\n<\/div>\n\n\n\n<p>Allerdings schlie\u00dft diese Definition die Software in Situation 3 nicht aus. Denn sie unterscheidet nicht, ob die Anforderungen nicht oder noch nicht erf\u00fcllt sind.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Legacy Device<\/h4>\n\n\n\n<p>Das <a href=\"https:\/\/www.imdrf.org\/documents\/principles-and-practices-cybersecurity-legacy-medical-devices\">IMDRF-Dokument N70<\/a> definiert die Produkte mit Software, deren Konformit\u00e4t mit den aktuellen Anforderungen nicht nachgewiesen werden konnte (Situation 3), als \u201eLegacy Devices\u201c.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition \u201eLegacy Devices\u201c<\/span><\/div>\n<p>\u201emedical devices that cannot be reasonably protected against current cybersecurity threats\u201d<\/p>\n\n\n\n<p class=\"has-text-align-right\">IMDRF<\/p>\n<\/div>\n\n\n\n<p>Diese Definition bezieht \u201elegacy\u201c nur auf den Kontext der \u201eCybersecurity\u201c. Die IMDRF adressiert in ihrem Dokument nur \u201eCybersecurity Threats\u201c, welche eine Auswirkung auf die Sicherheit der Patienten haben. Eine negative Auswirkung ausschlie\u00dflich auf die Datensicherheit ist beispielswese nicht im Umfang des Dokuments.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Allgemeine Anforderungen an Legacy Devices sind in unserem Beitrag <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/legacy-devices\/\">&#8222;Was Hersteller \u00fcber Legacy Devices wissen m\u00fcssen&#8220;<\/a> aufgef\u00fchrt. <\/p>\n<\/div>\n\n\n\n<p>Leider stimmt die Definition des Begriffs &#8222;Legacy Device&#8220; des IMDRF <strong>nicht<\/strong> mit der Definition der IEC 62304 \u00fcberein.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition &#8222;Legacy Software&#8220;<\/span><\/div>\n<p>MEDICAL DEVICE SOFTWARE which was legally placed on the market and is still marketed today but for which there is insufficient objective evidence that it was developed in compliance with the current version of this standard.<\/p>\n\n\n\n<p class=\"has-text-align-right\">IEC 62304:2015, Kapitel 3.36<\/p>\n<\/div>\n\n\n\n<p>Diese Definition unterscheidet (im Gegensatz zur Definition des IMDRF) nicht, ob die IT-Sicherheit und damit die Konformit\u00e4t wieder erreicht werden k\u00f6nnen (s. auch Abb. 1). Sie ber\u00fccksichtigt auch nicht das Alter des Produkts. Die IEC 62304 geht aber davon aus, dass das Produkt weiter vermarktet wird.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Hinweis: IEC 62304 und Legacy Devices<\/span><\/div>\n<p>Mit Einf\u00fchrung der IEC 62304 entstanden Diskussionen darum, ob die Norm automatisch auf im Markt befindliche Altprodukte angewendet werden m\u00fcsse. Ein Amendment bzw. die zweite Edition der Norm verschaffte Klarheit:<\/p>\n\n\n\n<p>Ein entsprechender normativer Absatz verlangte risikobasiert spezifische Aktivit\u00e4ten. Es m\u00fcssen nicht in allen F\u00e4llen alle Anforderung der Norm retrospektive erf\u00fcllt werden. Es gibt aber auch keinen generellen \u201eBestandsschutz\u201c f\u00fcr \u201cAltprodukte\u201d.<\/p>\n<\/div>\n\n\n\n<p>Dieser Artikel verwendet den Begriff \u201eAltprodukt\u201c als \u00dcberbegriff f\u00fcr alle Situationen, in denen die IT-Security von Medizinprodukten, die vor dem G\u00fcltigkeitsbeginn der aktuellen regulatorischen Anforderungen in den Markt gebracht wurden, nicht oder noch nicht nachweisen wurde.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Fragestellung und deren Relevanz<\/h3>\n\n\n\n<p>Hier stellt sich nun die Frage, wie \u201cAltprodukte\u201d im Hinblick auf IT-Sicherheit behandelt werden m\u00fcssen, und zwar f\u00fcr die oben genannten Situationen 2 und 3 (Konformit\u00e4t mit aktuellen Anforderungen ist noch nicht nachgewiesen bzw. kann nicht nachgewiesen werden). Die Frage lautet:<\/p>\n\n\n\n<p><strong>Gibt es einen \u201cBestandsschutz\u201d, d. h. eine uneingeschr\u00e4nkte Weiterverwendung der Produkte im Markt f\u00fcr \u201cAltprodukte\u201d im Sinne von \u201ctransitional health software\u201d oder von \u201clegacy devices\u201d?<\/strong><\/p>\n\n\n\n<p>Die Antwort auf diese Frage ist entscheidend. Denn gerade f\u00fcr sehr alte Produkte ist es oft nicht mehr (wirtschaftlich) m\u00f6glich, deren Software zu aktualisieren, weil<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>die verwendeten Technologien nicht mehr existieren oder nicht mehr aktualisiert wurden (Programmierumgebungen, Bibliotheken),<\/li>\n\n\n\n<li>ein Update auf der alten Hardware nicht mehr lauff\u00e4hig w\u00e4re,<\/li>\n\n\n\n<li>bei Entwicklung keine Mechanismen f\u00fcr eine einfache (Fern-)Wartung vorgesehen wurden,<\/li>\n\n\n\n<li>die Betreiber nicht bereit sind, f\u00fcr diese Software-Wartung zu bezahlen.<\/li>\n<\/ul>\n\n\n\n<p>Wenn der Bestandsschutz f\u00e4llt, k\u00f6nnten sich viele Hersteller veranlasst sehen, die Produkte vom Markt zu nehmen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Kein genereller Bestandsschutz f\u00fcr \u201eAltprodukte\u201c<\/h2>\n\n\n\n<p>Die Antwort auf die oben aufgeworfene Frage ist eindeutig:<\/p>\n\n\n\n<p><strong>Im Kontext der IT-Sicherheit gibt es bei \u201eAltprodukten\u201c keinen generellen Bestandsschutz!<\/strong><\/p>\n\n\n\n<p>Die \u00f6konomischen Folgen f\u00fcr Hersteller und selbst eine drohende schlechtere Versorgung der Patienten sind keine Argumente, um auf die IT-Sicherheit der Altprodukte zu verzichten.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Hinweis f\u00fcr Betreiber<\/span><\/div>\n<p>Es gibt die regulatorische Anforderung an die Hersteller, fortlaufend die IT-Sicherheit ihrer bereits in den Verkehr gebrachten Produkte zu analysieren und zu gew\u00e4hrleisten. Daraus folgt aber kein Verbot f\u00fcr die Betreiber, solche Produkte weiter anzuwenden.<\/p>\n\n\n\n<p>Beispielsweise kann ein Betreiber nicht das Programmierger\u00e4t eines Herzschrittmachers stilllegen, auch wenn der Hersteller es bereits vor Jahren abgek\u00fcndigt hatte. Denn der Betreiber muss die Patienten, welche die damit programmierten Herzschrittmacher nutzen, weiterhin versorgen.<\/p>\n\n\n\n<p>Umgekehrt erlauben es die <a href=\"https:\/\/www.mitre.org\/sites\/default\/files\/2023-11\/PR-23-3695-Managing-Legacy-Medical-Device%20Cybersecurity-Risks.pdf\">Vorgaben der MITRE<\/a>, dass die Hersteller Aufgaben im Kontext der \u201eIT-Security bei Legacy Devices\u201c an die Betreiber \u00fcbertragen. Mehr dazu weiter unten.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">a) Begr\u00fcndung 1: Besonderheit von IT-Sicherheitsrisiken<\/h3>\n\n\n\n<p>Die Motivation f\u00fcr ausreichende IT-Sicherheitsma\u00dfnahmen liegt in der besonderen Bedrohungslage durch Cyberattacken.<\/p>\n\n\n\n<p>Dass die Anforderungen an die IT-Sicherheit besonders hoch sind (oder zumindest erscheinen), hat mehrere Gr\u00fcnde:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Hohe Risiken durch b\u00f6swilligen Missbrauch<\/strong><br>Schwachstellen bei der IT-Sicherheit sind mit hohen Risiken verbunden: Die Produkte k\u00f6nnen in die volle Kontrolle von Angreifern gelangen, die beispielsweise manipulierte Ger\u00e4tesoftware einspielen und auf andere Produkte im gleichen Netzwerk oder auf gesammelte Patientendaten in sehr gro\u00dfen Mengen zugreifen.<\/li>\n\n\n\n<li><strong>Hohe Geschwindigkeit des Missbrauchs relativiert den Nutzen von PMS-Daten<\/strong><br>Die Bewertung der derzeitigen \u201cResilienz\u201d der Produkte gegen Cyberattacken auf Basis von Post-Market-Daten ist schwierig. In der sehr schnelllebigen Cyberwelt \u00e4ndern sich Angriffs-Vektoren, Angriffs-Werkzeuge und die F\u00e4higkeiten der Angreifer st\u00e4ndig. Es muss damit gerechnet werden, dass Angriffe \u2013 so sie noch nicht stattgefunden haben \u2013 nur eine Frage der Zeit sind.<\/li>\n<\/ol>\n\n\n\n<p>Es ist also nicht sinnvoll, \u201cAltprodukten\u201d eine ausreichende IT-Sicherheit zu bescheinigen, nur weil keine gegenteiligen Informationen vorliegen. Vielmehr m\u00fcssen fortlaufend die \u201cSecurity by Design\u201d verbessert und entsprechende IT-Sicherheits-Aktivit\u00e4ten im Lebenszyklus des Produkts implementiert werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Begr\u00fcndung 2: Regulatorische Anforderungen<\/h3>\n\n\n\n<p>Die Hersteller m\u00fcssen die gesetzlichen und normativen Anforderungen erf\u00fcllen. Die speziellen Anforderungen an \u201eAltprodukte\u201c stellt das n\u00e4chste Kapitel vor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Regulatorische Anforderungen an die IT-Sicherheit von \u201dAltprodukten\u201d<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) MDR\/IVDR<\/h3>\n\n\n\n<p><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/medical-device-regulation-mdr-medizinprodukteverordnung\/\">MDR<\/a> und <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/ivdr-in-vitro-diagnostic-device-regulation\/\">IVDR<\/a> legen in den <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/grundlegende-anforderungen\/\">grundlegenden Sicherheits- und Leistungsanforderungen<\/a> in ihrem jeweiligen <a href=\"https:\/\/mdr-konsolidiert.johner-institut.de\/mdr_de.html#annex-I\">Anhang I<\/a> fest, dass die Medizinprodukte eine IT-Sicherheit nach dem Stand der Technik aufweisen m\u00fcssen. <\/p>\n\n\n\n<p>Wie bei allen grundlegenden Anforderungen unterscheiden sie nicht zwischen Legacy Devices und Non-Legacy Devices. Sie fordern allerdings von den Herstellern, den Betreibern Vorgaben im Kontext der IT-Sicherheit zu machen. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) IEC 62304<\/h3>\n\n\n\n<p>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/\">IEC 62304<\/a> verlangt, die Konformit\u00e4t mit allen normativen Anforderungen zu \u00fcberpr\u00fcfen, und damit auch die Anforderungen an die IT-Sicherheit von Legacy Devices.<\/p>\n\n\n\n<p>Die Norm fordert in Kapitel 4.4 von den Herstellern, die Risiken zu analysieren und eine Gap-Analyse durchzuf\u00fchren. Abh\u00e4ngig von diesen Ergebnissen sind die von der Norm f\u00fcr \u201eNeuprodukte\u201c vorgeschriebenen Aktivit\u00e4ten nachzuholen.<\/p>\n\n\n\n<p>Die Norm unterscheidet dabei NICHT, ob diese Anforderungen einen Bezug zur IT-Security haben oder nicht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) ISO 14971<\/h3>\n\n\n\n<p>Die Risikomanagementnorm verpflichtet die Hersteller zu <em>\u201eAktivit\u00e4ten in der Herstellung und der Herstellung nachgelagerten Phase\u201c<\/em>. Dazu z\u00e4hlt auch die \u00dcberpr\u00fcfung, ob<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>neue Gef\u00e4hrdungen (und damit neue Risiken) vorliegen und<\/li>\n\n\n\n<li>der allgemeine Stand der Technik noch erf\u00fcllt ist.<\/li>\n<\/ul>\n\n\n\n<p>Damit ist fortlaufend zu analysieren, ob alle IT-sicherheitsbezogene Risiken bekannt und nach Stand der Technik beherrscht sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">d) IEC 81001-5-1<\/h3>\n\n\n\n<p>Spezifischer f\u00fcr die IT-Security bei Legacy Devices ist die <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/\">IEC 81001-5-1<\/a>. Besonders relevant ist der normative Anhang F zur \u201eTransitional Health Software\u201c. Dieser Software-Typ ist nicht mit \u201eLegacy Software\u201c im Sinne der IEC 62304 gleichzusetzen.<\/p>\n\n\n\n<p>Anhang F verpflichtet die Hersteller zu:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Durchf\u00fchrung einer Gap-Analyse mit den Anforderungen der Norm<\/li>\n\n\n\n<li>Entwicklung eines Plans, um die Software in einen konformen Zustand zu \u00fcberf\u00fchren<\/li>\n\n\n\n<li>Post-Market-Aktivit\u00e4ten gem\u00e4\u00df der Norm<\/li>\n<\/ul>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung<\/span><\/div>\n<p>Die IEC 81001-5-1 will, dass die Hersteller (im Laufe der Zeit) die Konformit\u00e4t mit ihren Anforderungen erreichen. Das Ausweichen auf eine generelle Feststellung, dass die Risiken beherrscht seien, erlaubt die Norm nicht.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">e) Leitf\u00e4den der IMDRF<\/h3>\n\n\n\n<p>Die IMDRF hat gleich zwei Leitf\u00e4den zur Cybersecurity publiziert:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>IMDRF WG\/N60 FINAL2020 <a href=\"https:\/\/www.imdrf.org\/sites\/default\/files\/docs\/imdrf\/final\/technical\/imdrf-tech-200318-pp-mdc-n60.pdf\">Principles and Practices for Medical Device Cybersecurity<\/a><\/li>\n\n\n\n<li>IMDRF WG\/N70 FINAL:2023 <a href=\"https:\/\/www.imdrf.org\/sites\/default\/files\/2023-04\/IMDRF%20Principles%20and%20Practices%20of%20Cybersecurity%20for%20%20Legacy%20Medical%20Devices%20Final%20%28N70%29_1.pdf\">Principles and Practices for the Cybersecurity of Legacy Medical Devices<\/a><\/li>\n<\/ul>\n\n\n\n<p>Der Scope des zweiten Dokuments ist die Legacy Software gem\u00e4\u00df der Definition des <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/imdrf\/\">IMDRF<\/a> (\u201emedical devices that <strong>cannot<\/strong> be reasonably protected against current cybersecurity threats\u201d).<\/p>\n\n\n\n<p>Als wichtigste Aufgaben des Herstellers fordert der zweite Leitfaden<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>von der Entwicklung:\n<ul class=\"wp-block-list\">\n<li>Drittanbieter-Software und deren Support-Dauer durch Anbieter ber\u00fccksichtigen<\/li>\n\n\n\n<li>Produkte so sicher wie m\u00f6glich entwickeln, um f\u00fcr einen langen Zeitraum IT-Sicherheit gew\u00e4hren zu k\u00f6nnen<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>vom Support:\n<ul class=\"wp-block-list\">\n<li>Schwachstellen und Risiken weiterhin zu beobachten und zu kommunizieren<\/li>\n\n\n\n<li>Geplantes und tats\u00e4chliches Ende der Unterst\u00fctzung klar an Betreiber kommunizieren, auch f\u00fcr Drittanbieter-Software<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">f) Leitfaden des MITRE<\/h3>\n\n\n\n<p>Das&nbsp;<a href=\"https:\/\/www.mitre.org\/sites\/default\/files\/2023-11\/PR-23-3695-Managing-Legacy-Medical-Device%20Cybersecurity-Risks.pdf\">MITRE-Dokument<\/a>&nbsp;zeigt M\u00f6glichkeiten auf, um die Cybersecurity dieser Produkte zu verbessern. Es sieht sich als Erg\u00e4nzung zum IMDRF-Dokument und greift dessen Total Product Lifecycle Process (TPLC) wieder auf.<\/p>\n\n\n\n<p>Da &#8222;Security by Design&#8220; schlecht nachtr\u00e4glich zu erreichen ist, verlagert man die Ma\u00dfnahmen st\u00e4rke auf die Seite des Betreibers. Das Zusammenspiel von Betreiber und Hersteller bzw. die jeweiligen Aufgaben werden im Dokument herausgearbeitet und in acht konkrete Empfehlungen \u00fcberf\u00fchrt:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Pilotdatenerhebung zur Unterst\u00fctzung der Entscheidungsfindung beim Risikomanagement f\u00fcr Altger\u00e4te<\/li>\n\n\n\n<li>Entwicklung von Vorlagen f\u00fcr Vereinbarungen \u00fcber den Informationsaustausch, um die Transparenz zu erh\u00f6hen<\/li>\n\n\n\n<li>Einrichtung einer Arbeitsgruppe f\u00fcr die Sicherheitsarchitektur<\/li>\n\n\n\n<li>Entwicklung eines Forschungsprogramms zum modularen Design f\u00fcr Medizinprodukte<\/li>\n\n\n\n<li>Durchf\u00fchrung einer Studie zur Koordinierung des Schwachstellenmanagements<\/li>\n\n\n\n<li>Entwicklung von Kompetenzmodellen f\u00fcr Rollen im Zusammenhang mit Legacy-Cyber-Risikomanagement<\/li>\n\n\n\n<li>Ermittlung von Ressourcen f\u00fcr die Entwicklung von Arbeitskr\u00e4ften<\/li>\n\n\n\n<li>Teilnahme an Partnerschaften f\u00fcr gegenseitige Hilfe. Der Aspekt der gemeinschaftlichen Verantwortung und Aufgaben im \u00d6kosystem der Medizinprodukte steht demnach im Vordergrund und entspricht der Komplexit\u00e4t von Herausforderungen bei Legacy-Produkten.<\/li>\n<\/ol>\n\n\n\n<p>Damit scheint das Dokument eine sinnvolle Erg\u00e4nzung zur IEC 81001-5-1 zu sein, die in Anhang F lediglich die Aufgaben des Herstellers auflistet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Notwendige Ma\u00dfnahmen der Hersteller<\/h2>\n\n\n\n<p>Die regulatorischen Anforderungen sind ausreichend klar und die Hersteller wissen, was zu tun ist. Bei vielen Ma\u00dfnahmen kann das Johner Institut unterst\u00fctzen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Notwendige Ma\u00dfnahme<\/strong><\/td><td><strong>M\u00f6gliche Unterst\u00fctzung<\/strong><\/td><\/tr><tr><td>Eine Kultur im Unternehmen schaffen, die IT-Sicherheit im Bewusstsein aller Mitarbeiter verankert<\/td><td>Inhouse-Schulungen<\/td><\/tr><tr><td>Qualifikation des Personals in Punkt \u201cIT-Sicherheit\u201d aufbauen und auf Niveau halten<\/td><td><a href=\"https:\/\/www.johner-institut.de\/seminare\/weitere-seminare\/it-security\/\">Seminar zur IT-Security<\/a> <a href=\"https:\/\/www.johner-institut.de\/digitale-dienstleistungen\/johner-academy\/\">Video-Trainings in der Johner Academy<\/a><\/td><\/tr><tr><td>\u201cSecurity by Design\u201d nachholen durch Abarbeiten des Anhangs F der IEC 81001-5-1 f\u00fcr alle \u201cAltprodukte\u201d im Markt<\/td><td>Workshop zum Erstellen des von der IEC 81001-5-1 geforderten Plans<br><br><a href=\"https:\/\/www.johner-institut.de\/technische-dokumentation\/it-sicherheit\/\">Unterst\u00fctzung bei der Festlegung, \u00dcberpr\u00fcfung und Dokumentation der IT-Sicherheitsma\u00dfnahmen<\/a><\/td><\/tr><tr><td>F\u00fcr Neuprodukte sicherstellen, dass sie bereits ausreichend nach Stand der Technik entwickelt wurden, und in der Post-Market-Phase fortlaufend an den Stand der Technik anpassen<\/td><td>Workshop zum Erstellen der von der IEC 62304 und IEC 81001-5-1 geforderten Pl\u00e4ne<br><br>Anpassen der Verfahrensanweisungen im QMS<br><br><a href=\"https:\/\/www.johner-institut.de\/technische-dokumentation\/it-sicherheit\/\">Unterst\u00fctzung bei der Festlegung, \u00dcberpr\u00fcfung und Dokumentation der IT-Sicherheitsma\u00dfnahmen<\/a><\/td><\/tr><tr><td>Transparenz schaffen f\u00fcr den Zeitpunkt, an dem ein Produkt den Status \u201cIT-sicher\u201d verliert und damit zum Legacy Device wird. Dazu mit regelm\u00e4\u00dfigen Penetration-Tests auf aktuellem Niveau des Standes der Technik nach bisher unbekannten Schwachstellen in Produkten und Systemen suchen. Diesen Statuswechsel fr\u00fchzeitig an Betreiber kommunizieren (End of support).<\/td><td>Analyse, ob die IT-Sicherheit dem Stand der Technik entspricht<br><br><a href=\"https:\/\/www.johner-institut.de\/produktpruefung\/it-security-pentesting\/\">Penetration-Tests durchf\u00fchren<\/a><\/td><\/tr><tr><td>Mit Betreibern zusammenarbeiten, um Legacy devices mit maximaler IT-Sicherheit zu betreiben (z. B. durch Ma\u00dfnahmen des Betreibers, durch Abschalten von Funktionen und Komponenten).<\/td><td><a href=\"https:\/\/www.johner-institut.de\/technische-dokumentation\/risikomanagement-iso-14971\/\">Risikoanalysen<\/a><\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tabelle 1: Bei vielen Aufgaben, die Hersteller im Kontext der IT-Sicherheit bei Legacy-Produkten erledigen m\u00fcssen, kann das Johner Institut helfen.<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">5. Fazit und Zusammenfassung<\/h2>\n\n\n\n<p>Der Ansatz \u201eFire-and-Forget\u201c ist bei Medizinprodukten nicht m\u00f6glich. Normen und Gesetze verpflichten die Hersteller, die Risiken durch ihre Produkte \u00fcber deren kompletten Lebenszyklus hinweg zu bewerten und die Sicherheit der Produkte zu gew\u00e4hrleisten. Das gilt im besonderen Ma\u00df f\u00fcr Cybersecurity.<\/p>\n\n\n\n<p>Hersteller stehen in vielen F\u00e4llen vor einer Entscheidung: Um diese Risiken zu beherrschen, k\u00f6nnen sie die Vermarktung der Produkte einstellen oder Cybersecurity durch eine \u00dcberarbeitung der Produkte erreichen.<\/p>\n\n\n\n<p>Die Pflicht zur \u00dcberarbeitung ist nicht auf Produkte beschr\u00e4nkt, die der Hersteller weiter in den Markt bringt. Sie kann auch f\u00fcr Produkte gelten, die bereits in den Markt gebracht wurden.<\/p>\n\n\n\n<p>Die MITRE gibt den Herstellern die M\u00f6glichkeit, die Cybersecurity-Risiken gemeinsam mit den Betreibern zu beherrschen. Diesen Ansatz beschreibt die IEC 81001-5-1 nicht. Daher ist es hilfreich, beide Dokumente gemeinsam zu verwenden.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p><em>Das Johner Institut hilft Ihnen gerne bei Fragen rund um Ihre Legacy-Medizinprodukte. Wie das ablaufen kann, erfahren Sie in einem&nbsp;<a href=\"https:\/\/www.johner-institut.de\/kontakt\/\" target=\"_blank\" rel=\"noreferrer noopener\">kostenlosen Expertengespr\u00e4ch<\/a>.<\/em><\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dass Gesetze und Normen die IT-Security auch bei \u201eLegacy Devices\u201c einfordern, ist verst\u00e4ndlich. Die Art, wie diese Anforderungen formuliert werden, f\u00fchrt allerdings oft zu Verwirrung. Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei Legacy Devices, einmal um die IT-Sicherheit von Altprodukten bzw. von Bestandsprodukten&hellip;<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1108,184,1114],"tags":[1180,1065,1126,1107,269,1200,680],"ppma_author":[1213],"class_list":["post-5376998","post","type-post","status-publish","format-standard","hentry","category-regulatory-affairs","category-iec-62304-medizinische-software","category-systems-engineering","tag-mdr","tag-grundlegende-anforderungen","tag-it-security","tag-krankenhaus","tag-medizinische-software","tag-post-market-phase","tag-standalone-software","category-1108","category-184","category-1114","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.3 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>IT-Security bei \u201cLegacy Devices\u201d<\/title>\n<meta name=\"description\" content=\"Gesetze und Normen fordern die IT Security bei Legacy Devices. Allerdings nutzen sie unterschiedliche Begriffe. Hier die Erl\u00e4uterung.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"IT-Security bei \u201cLegacy Devices\u201d\" \/>\n<meta property=\"og:description\" content=\"Gesetze und Normen fordern die IT Security bei Legacy Devices. Allerdings nutzen sie unterschiedliche Begriffe. Hier die Erl\u00e4uterung.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2023-11-28T07:32:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-11-26T15:43:17+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1691\" \/>\n\t<meta property=\"og:image:height\" content=\"951\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"13\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"IT-Security bei \u201cLegacy Devices\u201d\",\"datePublished\":\"2023-11-28T07:32:00+00:00\",\"dateModified\":\"2024-11-26T15:43:17+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/\"},\"wordCount\":2339,\"commentCount\":3,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/IT-Security_bei_Legacy_Devices.png\",\"keywords\":[\"EU Medical Device Regulation MDR (2017\\\/745)\",\"Grundlegende Sicherheits- und Leistungsanforderungen\",\"IT Security\",\"Krankenh\u00e4user - Labore - Praxen und andere Betreiber\",\"Medizinische Software \\\/ Medical Device Software\",\"Post-Market-Phase bei Medizinprodukten\",\"Standalone-Software\"],\"articleSection\":[\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"Software &amp; IEC 62304\",\"Systems Engineering bei Medizinprodukten\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/\",\"name\":\"IT-Security bei \u201cLegacy Devices\u201d\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/IT-Security_bei_Legacy_Devices.png\",\"datePublished\":\"2023-11-28T07:32:00+00:00\",\"dateModified\":\"2024-11-26T15:43:17+00:00\",\"description\":\"Gesetze und Normen fordern die IT Security bei Legacy Devices. Allerdings nutzen sie unterschiedliche Begriffe. Hier die Erl\u00e4uterung.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/IT-Security_bei_Legacy_Devices.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/IT-Security_bei_Legacy_Devices.png\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/it-security-bei-legacy-devices\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Software &amp; IEC 62304\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/iec-62304-medizinische-software\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"IT-Security bei \u201cLegacy Devices\u201d\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"IT-Security bei \u201cLegacy Devices\u201d","description":"Gesetze und Normen fordern die IT Security bei Legacy Devices. Allerdings nutzen sie unterschiedliche Begriffe. Hier die Erl\u00e4uterung.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","og_locale":"de_DE","og_type":"article","og_title":"IT-Security bei \u201cLegacy Devices\u201d","og_description":"Gesetze und Normen fordern die IT Security bei Legacy Devices. Allerdings nutzen sie unterschiedliche Begriffe. Hier die Erl\u00e4uterung.","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2023-11-28T07:32:00+00:00","article_modified_time":"2024-11-26T15:43:17+00:00","og_image":[{"width":1691,"height":951,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png","type":"image\/png"}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"13\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"IT-Security bei \u201cLegacy Devices\u201d","datePublished":"2023-11-28T07:32:00+00:00","dateModified":"2024-11-26T15:43:17+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/"},"wordCount":2339,"commentCount":3,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png","keywords":["EU Medical Device Regulation MDR (2017\/745)","Grundlegende Sicherheits- und Leistungsanforderungen","IT Security","Krankenh\u00e4user - Labore - Praxen und andere Betreiber","Medizinische Software \/ Medical Device Software","Post-Market-Phase bei Medizinprodukten","Standalone-Software"],"articleSection":["Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","Software &amp; IEC 62304","Systems Engineering bei Medizinprodukten"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/","name":"IT-Security bei \u201cLegacy Devices\u201d","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png","datePublished":"2023-11-28T07:32:00+00:00","dateModified":"2024-11-26T15:43:17+00:00","description":"Gesetze und Normen fordern die IT Security bei Legacy Devices. Allerdings nutzen sie unterschiedliche Begriffe. Hier die Erl\u00e4uterung.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/11\/IT-Security_bei_Legacy_Devices.png"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/it-security-bei-legacy-devices\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Software &amp; IEC 62304","item":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},{"@type":"ListItem","position":3,"name":"IT-Security bei \u201cLegacy Devices\u201d"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":1529674,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/leitfaden-it-sicherheit-guideline-it-security\/","url_meta":{"origin":5376998,"position":0},"title":"Leitfaden IT-Sicherheit \/ Guideline IT Security","author":"Christian Rosenzweig","date":"6. Dezember 2018","format":false,"excerpt":"Gemeinsam mit dem T\u00dcV S\u00dcD, dem T\u00dcV Nord und mit Unterst\u00fctzung von Dr. Heidenreich (Siemens) hat das Johner Institut am 21.11. einen Leitfaden zur IT-Sicherheit\u00a0speziell f\u00fcr Medizinproduktehersteller ver\u00f6ffentlicht. An wen sich der Leitfaden zur IT-Sicherheit wendet Der Leitfaden richtet sich an alle Hersteller von Medizinprodukten (Inverkehrbringer, Dienstleister). Er sollte v.a.\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Leitfaden IT-Sicherheit","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/12\/Leitfaden-IT-Sicherheit-300x242.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":13426,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/mdr-software\/","url_meta":{"origin":5376998,"position":1},"title":"MDR: Software-Hersteller aufgepasst!","author":"Prof. Dr. Christian Johner","date":"12. November 2024","format":false,"excerpt":"Viele \u00c4nderungen der Medizinprodukteverordnung (MDR) betreffen alle Hersteller von Medizinprodukten. Einige dieser \u00c4nderungen wenden sich besonders an Hersteller, deren Produkte Software enthalten oder Standalone-Software sind. Lesen Sie, was diese Hersteller beachten sollten. Hinweis Dieser Artikel beschreibt die Anforderungen der MDR an Medizinprodukte, die Software enthalten oder Software sind. In einem\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"MDR Software","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/07\/MDR-Software-150x150.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":976141,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/aami-tir-57-it-security-medizinprodukte\/","url_meta":{"origin":5376998,"position":2},"title":"AAMI TIR 57: IT-Sicherheit und Risikomanagement","author":"Christian Rosenzweig","date":"24. Oktober 2017","format":false,"excerpt":"Der TIR 57 ist ein \u201eTechnical Information Report\u201c der amerikanischen AAMI. Er m\u00f6chte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erf\u00fcllen. TIR 57: Zusammenfassung f\u00fcr eilige Leser Der AAMI TIR 57 ist\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"Schutzziele TIR 57 versus ISO 14971","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/10\/TIR-57-versus-ISO-14971.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":2737466,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iec-60601-4-5\/","url_meta":{"origin":5376998,"position":3},"title":"IEC\/TR 60601-4-5: Die Norm zur IT-Sicherheit auch f\u00fcr Standalone-Software?","author":"Christian Rosenzweig","date":"3. Februar 2021","format":false,"excerpt":"Die Normenfamilie IEC 60601 ist eigentlich nur f\u00fcr medizinisch elektrische Ger\u00e4te anzuwenden. Doch die IEC\/TR 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im \u201eScope\u201c, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device. Erfahren Sie, welche Anforderungen die IEC\/TR 60601-4-5 an\u2026","rel":"","context":"In &quot;Systems Engineering bei Medizinprodukten&quot;","block_context":{"text":"Systems Engineering bei Medizinprodukten","link":"https:\/\/www.johner-institut.de\/blog\/category\/systems-engineering\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IEC-60601-4-5-Security-Levels.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":594006,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/","url_meta":{"origin":5376998,"position":4},"title":"ISO\/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten","author":"Christian Rosenzweig","date":"15. Dezember 2016","format":false,"excerpt":"Die ISO\/IEC 15408-1 tr\u00e4gt den Titel \u201eInformation technology \u2014 Security techniques \u2014 Evaluation criteria for IT security \u2014 Part 1: Introduction and general model\u201c. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie gepr\u00fcft werden soll, finden sich in\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"ISO\/IEC 15408: Konzept auf Klassen, Familien, Komponenten und Elementen","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/11\/ISO-IEC-15408-Konzept.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":5377358,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","url_meta":{"origin":5376998,"position":5},"title":"SBOM: Software Bill of Materials","author":"Christian Rosenzweig","date":"23. Januar 2024","format":false,"excerpt":"Gesetze und Normen verpflichten Medizinproduktehersteller zur Software Bill of Materials, der SBOM. Standardisierte SBOM-Formate reichen allerdings nicht immer aus, um diese Anforderungen zu erf\u00fcllen. Insbesondere Medizinproduktehersteller, die f\u00fcr ihre Software keine SBOM ausliefern und nutzen, sind im Markt nicht mehr akzeptiert. Hier sind die Gr\u00fcnde. 1. SBOM: Die Grundlagen a)\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"SBOM Hierarchie der Komponenten","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-myNM","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5376998","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=5376998"}],"version-history":[{"count":19,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5376998\/revisions"}],"predecessor-version":[{"id":5380152,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5376998\/revisions\/5380152"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=5376998"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=5376998"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=5376998"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=5376998"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}