Auch in Europa zieht der Gesetzgeber die Zügel an: Der Ende 2024 in Kraft getretene EU Cyber Resilience Act verschärft die Anforderungen an die Cybersicherheit vernetzter Produkte deutlich​. Die Hersteller aus der Medizintechnik müssen künftig schon bei der Produktkonzeption eine Bedrohungsanalyse durchführen, Schutzmaßnahmen ableiten und alles lückenlos dokumentieren​. Nach einer Übergangsfrist von 36 Monaten werden diese Vorgaben ab Ende 2027 verbindlich; bei Verstößen drohen empfindliche Strafen von bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes​.

Ohne „Security by Design“ geht in Zukunft nichts mehr.

Cybersicherheit darf nicht erst als Reaktion auf entdeckte Schwachstellen angegangen werden. Statt im Nachhinein mühsam Sicherheits-Patches auszubringen, setzt die Branche auf systematische Integration von Schutzmaßnahmen in jede Phase der Produktentwicklung. Wir folgen diesem Prinzip konsequent. Es geht für uns darum, Sicherheitslücken gar nicht erst entstehen lassen, statt später teuer „Feuer löschen“ zu müssen.

Welche Aspekte der Cybersicherheit sind dabei für uns am kritischsten? Vor allem die Grundlagen, die ein Produkt per Design sicher machen. Dazu gehören eine starke Verschlüsselung sensibler Gesundheitsdaten, rigorose Zugriffskontrollen (Authentifizierung und Autorisierung für alle Nutzer und Schnittstellen) und ein durchdachtes Patch-Management für zeitnahe Updates. Moderne vernetzte Medizingeräte müssen diese Bausteine – Kryptografie, Zugriffsmanagement, Angriffserkennung und Update-Fähigkeit – aus unserer Sicht bereits architekturseitig mitbringen​. Ebenso wichtig ist eine lückenlose technische Dokumentation aller Sicherheitsmaßnahmen – von der ersten Risikoanalyse bis zum Wartungskonzept –, um sowohl die MDR-Compliance als auch den Nachweis gegenüber Behörden zu erfüllen​.

Flexibilität ist ein zentraler Wert von B&W: Unsere Experten passen die Sicherheitskonzepte agil an jede Projektumgebung an, anstatt starre Einheitslösungen zu erzwingen. So entsteht Sicherheit ab Werk passgenau und ohne die Innovationsgeschwindigkeit zu drosseln.

Wie lässt sich die Cybersicherheit der Produkte kontinuierlich verbessern? Zunächst, indem man Sicherheit nicht als einmaliges Projekt, sondern als dauerhaften Prozess versteht. Neue Bedrohungen tauchen laufend auf – daher planen wir, die Sicherheitsmechanismen über den gesamten Produktlebenszyklus hinweg regelmäßig zu überprüfen und zu optimieren. Und auch nach der Markteinführung endet die Wachsamkeit nicht: Durch aktives Schwachstellen-Monitoring und ein etabliertes Patch-Management bleiben wir am Ball, wenn etwa neue Angriffsvektoren bekannt werden​

Welche Rolle spielen externe Sicherheitsaudits in der Produktentwicklung? Aus unserer Sicht eine entscheidende. Die Erfahrung und auch öffentlichen Quellen zeigen, dass externe Tester beinahe immer Schwachstellen finden – selbst in gut geschützten Systemen​. Daher führen wir nach Möglichkeit bereits während der Entwicklung mehrere kleinere Audits durch​, statt erst am Ende einen großen Abschlusstest.

Die nächste große Herausforderung sind die zahllosen vernetzten Gesundheitsgeräte …

… von Wearables wie Smartwatches und Fitness-Trackern bis hin zu smarten Diagnosesystemen für zuhause. Sie sammeln hochsensible Gesundheitsdaten und verknüpfen sich mit Smartphones oder Kliniksystemen. Doch jedes dieser digitalen Helfer ist ein potenzielles Einfallstor für Angriffe, wenn die Sicherheit vernachlässigt wird. Schwachstellen in scheinbar harmlosen Wearables können Kriminellen eine neue Form personalisierter Cyberkriminalität eröffnen​ (Quelle) Man stelle sich vor, ein Angreifer manipuliert die Vitaldaten eines Patienten-Wearables und beeinträchtigt so dessen Behandlung. Das Bundesamt für Sicherheit in der Informationstechnik hat in einer aktuellen Untersuchung genau solche Risiken aufgezeigt​. In dem Projekt wurden Sicherheitslücken in Gesundheits-Wearables identifiziert, an die Hersteller gemeldet und zum Teil noch vor Veröffentlichung geschlossen.

Cybersecurity im Gesundheitswesen ist inzwischen kein reines Compliance-Thema mehr. Sie ist wichtig für die User- und Patientensicherheit, Marktakzeptanz und letztlich den geschäftlichen Erfolg. Wir unterstützen Sie als flexiblen Partner! Wir helfen MedTech-Unternehmen, robuste Sicherheitsarchitekturen by Design zu implementieren, damit digitale Gesundheitstechnologien halten, was sie versprechen!