Medizin: : TÜV SÜD fordert EU-weite Norm für Cybersecurity-Tests
TÜV SÜD fordert klare Vorgaben für Penetrationstests bei Medizinprodukten und IVDs. In einem neuen White Paper wird betont, dass bisher weder die EU-Vorschriften noch die begleitenden Leitlinien konkrete Anweisungen enthalten. Eine entsprechende Norm sollte in Zukunft festlegen, was, wo, wie und in welchem Umfang geprüft werden muss.

Eine EU-weite Norm für Cybersecurity-Tests erachtet TÜV SÜD als entscheidend dafür, dass netzwerkfähige Produkte tatsächlich die erforderlichen Sicherheitsstandards für Patienten erfüllen. Die Sicherheit dieser Produkte hat direkte Auswirkungen auf die Patienten und erfordert klare Vorgaben für Prüfverfahren, um sicherzustellen, dass sie den erforderlichen Sicherheitsstandards entsprechen.
Jan Küfner, Senior Product Specialist für Cybersecurity bei TÜV SÜD, wirft wichtige Fragen auf. Eine dieser Fragen betrifft die Prüftiefe: Sollte es unterschiedliche Anforderungen für Medizinprodukte und IVDs mit geringerem Risiko geben? Ein weiterer wichtiger Punkt betrifft die Häufigkeit von Penetrationstests. Muss beispielsweise bei jedem Software-Release ein vollständiger Penetrationstest durchgeführt werden? Darüber hinaus stellt sich die Frage nach der Prüfung von Verbindungen, sei es Ethernet oder Bluetooth. Auch die Rolle von Fuzzing wird diskutiert, bei dem Prüfer gezielt Fehler in der Software provozieren, um Schwachstellen zu identifizieren, bevor sie von bösartigen Akteuren ausgenutzt werden können.
Derzeit fehlen klare Leitlinien und Normen in den EU-Vorschriften und internationalen Normen für diese Art von Tests. Dr. Abtin Rad, Experte für Cybersicherheit und Künstliche Intelligenz bei TÜV SÜD, sieht die Chance, dass die geplante Harmonisierung der EU-Standards eine einheitliche EU-Norm schaffen könnte, die diese Fragen beantwortet und klare Anweisungen für Cybersecurity-Tests für Medizinprodukte und IVDs bietet.
Die rasche Entwicklung von IT-Werkzeugen und die verstärkte Vernetzung von medizinischen Geräten schaffen ständig neue Bedrohungen. Es ist von entscheidender Bedeutung, sicherzustellen, dass diese Produkte sicher und geschützt sind, da unsichere Produkte nicht nur die Patientensicherheit gefährden, sondern auch schwerwiegende Konsequenzen für den Datenschutz und die Datensicherheit haben können. Dies kann zu falschen Diagnosen, unsicheren Therapieansätzen und sogar einer Gefährdung der öffentlichen Gesundheit führen. Unternehmen, die unsichere Produkte auf den Markt bringen, riskieren nicht nur finanzielle Verluste durch Entschädigungszahlungen, sondern auch Imageschäden und möglicherweise eine verzögerte Marktzulassung.
TÜV SÜD bietet umfassende Dienstleistungen im Bereich Cybersecurity für Medizinprodukte und IVDs an. Diese umfassen Schwachstellenanalysen, Penetrationstests und Fuzzing-Kampagnen, die von Experten durchgeführt werden. Dabei wird ein weltweites Netzwerk von Pentest-Laboren genutzt. Das Ziel ist es, maßgeschneiderte Sicherheitslösungen für Netzwerke, mobile Anwendungen und Web-Anwendungen zu entwickeln und sicherzustellen, dass die Produkte den höchsten Sicherheitsstandards entsprechen. Diese Herangehensweise verkürzt die Time-to-Market für Medizinprodukte und IVDs erheblich. TÜV SÜD arbeitet eng mit Experten in verschiedenen Ländern zusammen und bietet Schulungen zur Zweckbestimmung von Medizinprodukten und zur Erfüllung der unterschiedlichen regulatorischen Anforderungen in verschiedenen Ländern an.
Die TÜV SÜD Whitepaper gibt es hier:

Jan Küfner, Senior Product Specialist für Cybersecurity bei TÜV SÜD