Contact
QR code for the current URL

Story Box-ID: 1171298

TÜV SÜD AG Westendstraße 199 80686 München, Germany http://www.tuvsud.com/de
Contact Mr Dirk Moser-Delarami +49 89 57911592
Company logo of TÜV SÜD AG

TÜV SÜD fordert EU-weite Norm für Cybersecurity-Tests

Medizinprodukte und In-vitro-Diagnostika

(PresseBox) (München, )
TÜV SÜD fordert die Ausgestaltung der Vorgehensweise bei den verpflichtenden Penetrationstests für Medizinprodukte und In-vitro-Diagnostika (IVD) und veröffentlicht dazu ein neues White Paper. Weder die regulatorischen Vorgaben der EU noch die zugehörigen Guidance-Dokumente enthalten bislang konkrete Leitlinien. Eine zugehörige Norm sollte künftig klären, was, wo, wie und in welchem Umfang zu prüfen ist. So lässt sich gewährleisten, dass netzwerkfähige Produkte im Sinne der Patienten auch tatsächlich cyber-sicher sind.

„Noch fehlen zum Beispiel genaue Aussagen darüber, ob es eine geringere Prüftiefe für Medizinprodukte und IVDs mit geringerem Risiko geben sollte, obwohl dies ja nahe liegt“, sagt Jan Küfner, Senior Product Specialist für Cybersecurity bei TÜV SÜD. Muss zum Beispiel bei einer Software für jedes Release ein vollständiger Penetrationstest erfolgen? Wie sind Ethernet und Bluetooth- Verbindungen zu prüfen? Wann ist Fuzzing überhaupt erforderlich und in welchem Umfang? Beim Penetrationstest simulieren sogenannte Ethical Hacker einen IT-Angriff auf ein Medizinprodukt oder IVD. So finden sie Schwachstellen, bevor diese von Dritten ausgenutzt werden. Beim so genannten Fuzzing provozieren die Prüferinnen und Prüfer Fehlverhalten von Software, indem sie zufällige, teils manipulierte Daten einspeisen. Das von TÜV SÜD veröffentlichte White Paper geht bestehenden Lücken anhand konkreter Fragen aus Sicht von Herstellern und Unternehmen auf den Grund. Diese Fragen sollten verbesserte Standards in Zukunft beantworten.

EU-Verordnungen wie die Medical Device Regulation (MDR) für Medizinprodukte und die In-Vitro Diagnostics Regulation (IVDR) machen zwar Vorgaben zur Cybersecurity. „Aber der zugehörigen europäischen Leitlinie MDCG 2019-16, die die Anforderungen an den Prozess klären soll, fehlen entscheidende Details. Gleiches gilt für die internationale Norm IEC 81001-5-1, die sich mit IT-Sicherheit im Software-Lebenszyklus befasst“, sagt Dr. Abtin Rad, Experte für Cybersicherheit und Künstliche Intelligenz bei TÜV SÜD. „Die von der EU für das kommende Jahr angekündigte Harmonisierung bietet die Chance, anhand einer einheitlichen EU-Norm die teils bestehenden länderspezifischen Standards zu vereinheitlichen.“

PRÜFUMFANG BEI DYNAMISCHER BEDROHUNGSLAGE KLÄREN

Weil sich die IT-Werkzeuge weiterentwickeln und neue Software oder Updates neue Schwachstellen generieren können, wandelt sich die Bedrohungslage ständig. So unterstützt Künstliche Intelligenz nicht nur die Medizinerinnen und Mediziner, sondern auch die Angreifer. Um in kürzester Zeit große Mengen an medizinischen Daten zu analysieren, müssen Ultraschallgeräte oder Hämoglobinzähler zudem digital vernetzt werden. Das wiederum bietet eine größere Angriffsfläche für Cyberattacken.

Unsichere Produkte bergen Risiken für die Patientensicherheit, die Datensicherheit und den Datenschutz. Bei manipulierten Daten besteht zudem die Gefahr von falschen Diagnosen und Therapieansätzen oder einer Gefährdung der öffentlichen Gesundheit, etwa bei Fehleinschätzungen zum Infektionsgeschehen. Eine verweigerte oder verzögerte Marktzulassung, Entschädigungszahlungen und Imageschäden wären weitere Folgen.

TÜV SÜD-Expertinnen und Experten übernehmen unter anderem Schwachstellenanalysen, Penetrationstests oder so genannte Fuzzing-Kampagnen. Dabei greifen sie auf ein weltweites Netzwerk von Pentest-Laboren1  zurück. Um stets das Patientenrisiko im Fokus zu halten, konzentrieren sich die Pentest-Experten von TÜV SÜD auf Medical Devices und IVDs. In dieser Hinsicht bieten klassische Cybersecurity-Methoden nicht immer passgenaue Lösungen. Auf Basis der ermittelten Risiken können Unternehmen maßgeschneiderte Lösungen für Netzwerke, mobile oder Web-Anwendungen entwickeln. Mittels seiner Vorgehensweise verkürzt der Prüfdienstleister die Time-to-Market für IVDs und Medical Devices deutlich. Dr. Alexander Stock, Projektleiter IVD-Prüfungen bei TÜV SÜD: „Dabei arbeiten wir vernetzt mit unseren Kolleginnen und Kollegen in Singapur, Japan, Indien, China und den USA. In Cybersicherheits-Trainings schult TÜV SÜD zudem externe Experten zur Zweckbestimmung von Medizinprodukten oder den unterschiedlichen landesspezifischen regulatorischen Anforderungen.“



TÜV SÜD WHITE PAPER:

Cybersicherheit von Medizinprodukten – die Lücke in den aktuellen EU-Verordnungen:
Weitere Infos: https://www.tuvsud.com/de-de/dienstleistungen/cyber-security/cyber-security-assessments/penetrationstests/it-penetrationstesty

1) München, Singapur, Shanghai, Tokio, Bangalore, Pune, Michigan, San Diego

Website Promotion

Website Promotion

TÜV SÜD AG

Im Jahr 1866 als Dampfkesselrevisionsverein gegründet, ist TÜV SÜD heute ein weltweit tätiges Unternehmen. Mehr als 26.000 Mitarbeiter sorgen an über 1.000 Standorten in rund 50 Ländern für die Optimierung von Technik, Systemen und Know-how. Sie leisten einen wesentlichen Beitrag dazu, technische Innovationen wie Industrie 4.0, autonomes Fahren oder Erneuerbare Energien sicher und zuverlässig zu machen. www.tuvsud.com/de

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.