×
| qtec-group

Cybersicherheit für vernetzte medizinische Geräte: Vorschriften, Standards und Technologien im Jahr 2025

Wie Hersteller regulatorische Anforderungen erfüllen und sich gegen Cyber-Bedrohungen schützen können

Da medizinische Geräte zunehmend vernetzt sind, ist Cybersicherheit für den Schutz der Patientensicherheit und sensibler Gesundheitsdaten von entscheidender Bedeutung. Schätzungen zufolge ist bereits jedes vierte medizinische Gerät mit dem Internet oder einem Krankenhausnetzwerk verbunden. Im Jahr 2017 belief sich ihre Gesamtzahl auf schätzungsweise 337 Millionen, mit einer erwarteten durchschnittlichen jährlichen Wachstumsrate von 20,8 % bis 2030, einschließlich digitaler Gesundheits-Apps, deren Entwicklung durch das deutsche Digitale-Versorgung-Gesetz (DVG) und ähnliche Initiativen in ganz Europa vorangetrieben wird [1]. Digitale Gesundheits-Apps werden zunehmend Teil der Gesundheitsversorgung. Täglich kommen etwa 200 Gesundheits-Apps in den App-Stores hinzu [2]. Jedes vernetzte medizinische Gerät oder Produkt des „Internet of Medical Things“ (IoMT) ist ein potenzielles Ziel für Cyberangriffe, die die Sicherheit von Patienten oder Anwendern gefährden oder hochsensible Gesundheitsdaten preisgeben können. Das rasante Wachstum des „Internet of Medical Things“ (IoMT) und der digitalen Gesundheits-Apps hat das Risiko von Cyberangriffen erhöht.

In einer aktuellen Umfrage gaben vier von fünf Medizinprodukteherstellern an, dass sie 2019 mindestens einmal Ziel eines Cyberangriffs geworden sind [3]. Andere, aktuellere Berichte zeichnen ein noch düstereres Bild. Laut dem „2021 Global Threat Intelligence Report” des Technologiedienstleisters NTT hat sich die Zahl der Cybersicherheitsvorfälle im Gesundheitswesen im Jahr 2020 gegenüber dem Vorjahr verdreifacht.

Abgesehen von Gesundheitsrisiken und hohen Strafen für mögliche Datenschutzverletzungen können erfolgreiche Cyberangriffe oder Sicherheitslücken, die öffentlich bekannt werden, auch den Ruf von Herstellern schädigen. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), das US-amerikanische National Cybersecurity and Communications Integration Center (NCCIC) und die US-amerikanische Food and Drug Administration (FDA) beispielsweise stellen detaillierte Informationen zu bekannten Sicherheitsrisiken in Medizinprodukten bereit und nennen dabei sowohl das Produkt als auch den Hersteller [4]. Einmal verlorene Reputation und Vertrauen sind schwer wiederherzustellen, insbesondere in hochsensiblen Bereichen wie dem Gesundheitswesen.

Dieses Whitepaper spiegelt die neuesten regulatorischen Änderungen, Standards und technologischen Fortschritte im Bereich der medizinischen Cybersicherheit im Jahr 2025 wider.

Regulatorisches Umfeld

Das regulatorische Umfeld für die Cybersicherheit von Medizinprodukten hat sich erheblich weiterentwickelt, wobei sowohl die USA als auch die EU aktualisierte Richtlinien eingeführt haben, um neuen Bedrohungen zu begegnen.

Regulatorien der Europäischen Union:

Die Verordnung (EU) 2017/745, auch bekannt als Medizinprodukteverordnung (MDR), bildet den Rechtsrahmen für alle Akteure auf dem Markt für Medizinprodukte. Am 26. Mai 2021 hob sie die zuvor gültigen Richtlinien 93/42/EEC und 90/385/EEC auf und gilt seitdem in den Ländern der Europäischen Union sowie in Norwegen, Island und Liechtenstein. Der Marktzugang in Europa erfordert die Einhaltung der allgemeinen Sicherheits- und Leistungsanforderungen, die in Anhang I der Verordnung definiert sind. Im Gegensatz zu den Richtlinien definiert die Verordnung mehrere Anforderungen an die Cybersicherheit.

Die MDR verlangt die Entwicklung „nach dem Stand der Technik“ unter Berücksichtigung der IT-Sicherheit und der Definition von Sicherheitsmaßnahmen beispielsweise zum Schutz vor unbefugtem Zugriff (Anhang I 17.2 und 17.4) [7]. Dies bedeutet unter anderem auch die Einrichtung eines Cyber-Sicherheitsrisikomanagements. Der Leitfaden MDCG 2019-16 präzisiert die Umsetzung eines Cyber-Sicherheitsrisikomanagementprozesses. Darüber hinaus fördert der Leitfaden einen Security-by-Design- und Security-by-Default-Ansatz und fordert dazu auf, Cybersicherheitsaspekte in jeder Phase des Lebenszyklus eines Produkts zu berücksichtigen, von der Konzeption bis zur Überwachung nach dem Inverkehrbringen (post-market surveillance). Neue Schwachstellen werden in der Regel erst nach dem Inverkehrbringen des Medizinprodukts entdeckt. Daher sollte das Risikomanagement den gesamten Lebenszyklus abdecken, einschließlich der Außerbetriebnahme des Medizinprodukts. Zu den in den Leitlinien ausdrücklich genannten Anforderungen gehören eine Überwachung nach dem Inverkehrbringen, eine Reaktion auf Vorfälle und ein Verfahren zur Problemlösung.

Der Leitfaden MDCG 2019-11 ist zwar sehr wertvoll, könnte jedoch für Hersteller noch weiter verfeinert und mit mehr praktischen Anwendungshinweisen versehen werden. So kommt beispielsweise eine im „Computational and Structural Biotechnology Journal“ veröffentlichte Studie zu dem Schluss, dass die Leitlinie zwar grundlegende Prinzipien umfassend behandeln, jedoch in kritischen technischen Bereichen wie Kryptografie, Authentifizierung und sicherer Softwareentwicklung nicht detailliert genug sind. Andere Bereiche wie Netzwerksicherheit und Komponenten der Lieferkette finden noch weniger Beachtung [6]. Andere Forscher weisen auf den Mangel an praktischen Umsetzungen für bestimmte Aspekte der Cybersicherheit hin, beispielsweise die Festlegung von Mindestanforderungen für bereits im Markt befindliche Geräte (legacy devices), Toolkits für die Bedrohungsmodellierung (threat modelling) und die Abstimmung mit sich überschneidenden Rahmenwerken wie GDPR (General Data Protection Regulation), NIS2, und AI Act [7].

Seit 2021 gelten zusätzliche Richt- und Leitlinien:

  • NIS2 Directive (EU) 2022/2555: Diese Richtlinie, die seit Januar 2023 in Kraft ist, zielt nicht speziell auf Medizinprodukte ab, kann jedoch auf Organisationen angewendet werden, die Netzwerke oder Systeme im Zusammenhang mit Medizinprodukten betreiben oder verwalten, wenn diese als wesentliche oder wichtige Einrichtungen gelten. So schreibt sie beispielsweise Risikomanagementmaßnahmen und die Meldung von Vorfällen vor, um die Sicherheit von Netzwerken und Informationssystemen in der gesamten EU zu verbessern.
  • MDCG 2025-4: Diese im Juni 2025 veröffentlichte Leitlinie beschreibt die Anforderungen für die sichere Verbreitung von Apps für Medizinproduktesoftware (MDSW) auf Online-Plattformen und klärt die Rollen der App-Plattformanbieter gemäß der Medizinprodukteverordnung (MDR), der In-vitro-Diagnostika-Verordnung (IVDR) und dem Gesetz über digitale Dienste (DSA). Die Leitlinie verlangt die Festlegung von Anforderungen an die Cybersicherheit von Medizinproduktesoftware.
  • MDCG 2025-6: Dieses im Juni 2025 veröffentlichte Dokument im FAQ-Stil befasst sich mit dem Zusammenspiel zwischen der MDR, der IVDR und dem EU-Gesetz über künstliche Intelligenz und betont unter anderem die Bedeutung von Cybersicherheitsaspekten für KI-fähige Geräte.
  • EU Action Plan on Cybersecurity: Im Januar 2025 startete die Europäische Kommission einen Plan zur Verbesserung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern, einschließlich vernetzter medizinischer Geräte, durch die Einrichtung eines paneuropäischen Cybersicherheits-Supportzentrums.

Regulatorien der Vereinigten Staaten:

In den USA hat die Food and Drug Administration (FDA) die Überwachung der Cybersicherheit in den letzten Jahren erheblich aktualisiert:

  • Die FDA-Guidance „Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions” wurde 2025 aktualisiert und enthält nun Klarstellungen zum Begriff „Cyber Device” sowie Empfehlungen zur Cyber-Design, Kennzeichnung und Dokumentation für die Submission vor dem Inverkehrbringen, einschließlich Anforderungen an eine Software-Stückliste (SBOM) und Pläne zum Schwachstellenmanagement nach dem Inverkehrbringen. Die Leitlinien der FDA legen den Schwerpunkt auf ein Secure Product Development Framework (SPDF) zur Reduzierung von Schwachstellen während des gesamten Lebenszyklus eines Geräts und orientieren sich dabei an globalen Best Practices. Obwohl es sich um Leitlinien der US-amerikanischen FDA handelt, die sich auf die Einhaltung der FDA-Anforderungen konzentrieren, sind sie eine sehr empfehlenswerte Literatur für eine pragmatische und gleichzeitig effektive Umsetzung der Cybersicherheit in Medizinprodukten, selbst für diejenigen, die nicht auf den US-Markt abzielen.
  • Abschnitt 524B des FD&C Act: Dieses Gesetz wurde, durch das im Dezember 2022 aktualisiert und um Abschnitt 3305 mit dem Titel „Ensuring cybersecurity of devices ” ergänzt. Der Inhalt des Gesetzes ist überraschend klar, da es im Grunde genommen für alle Einreichungen, wie z. B. 510(k) Informationen, die nachweisen, dass das Gerät cybersicher ist, vorschreibt.

Normen und Richtlinien:

Normen spielen eine entscheidende Rolle bei der Gewährleistung einheitlicher Cybersicherheitspraktiken in der gesamten Medizinproduktebranche und unterstützen die Konformitätsvermutung.

  • IEC 81001-5-1 (2021): Diese im Dezember 2021 veröffentlichte Norm „“Health software and health IT systems safety, effectiveness, and security – Part 5-1: Security – Activities in the product life cycle“ definiert Lebenszyklus-Anforderungen für die sichere Entwicklung und Wartung von Gesundheitssoftware. Die Norm basiert auf IEC 62443-4-1, und geht auf die besonderen Anforderungen an Gesundheitssoftware ein und wird voraussichtlich den Status einer harmonisierten Norm gemäß der EU-MDR erhalten. IEC 81001-5-1 ergänzt den Softwarelebenszyklus nach IEC 62304 und das Risikomanagement nach ISO 14971 und bietet einen umfassenden Rahmen für Cybersicherheit. Die Norm betont einen risikobasierten Ansatz und verlangt von den Herstellern, potenzielle Bedrohungen und Schwachstellen frühzeitig durch Bedrohungsmodellierung und Risikobewertungen zu identifizieren. Sie schreibt sichere Entwicklungspraktiken vor, wie z. B. die Implementierung robuster Codierungsstandards, Verschlüsselung und Zugriffskontrollen, um unbefugten Zugriff oder Manipulationen zu verhindern. Darüber hinaus fordert sie unabhängige Sicherheitstests, um die Wirksamkeit der implementierten Sicherheitsmaßnahmen zu überprüfen. Für die Phasen nach dem Inverkehrbringen verlangt die Norm eine kontinuierliche Wachsamkeit durch ständige Überwachung, zeitnahe Aktualisierungen und Strategien zur Reaktion auf Vorfälle, um aufkommende Cyber-Bedrohungen zu bekämpfen.
  • ISO 14971:2019: Die wichtigste Anforderung aller wesentlichen Rechtsvorschriften und Leitfäden ist die Implementierung eines Sicherheitsrisikomanagementprozesses. Darüber hinaus sind Hersteller von Medizinprodukten dafür verantwortlich, wachsam zu bleiben, um alle mit ihren Medizinprodukten verbundenen Risiken und Gefahren zu identifizieren, einschließlich Risiken im Zusammenhang mit der Cybersicherheit. Die Risikomanagementnorm für Medizinprodukte wurde 2019 aktualisiert und enthält Bestimmungen zu Daten- und Cyber-Sicherheitsrisiken, die mit den regulatorischen Anforderungen für das Cyber-Sicherheitsrisikomanagement in Einklang stehen. Die neue Ausgabe der Risikomanagementnorm ISO 14971:2019 kann zur Bewältigung von Risiken im Zusammenhang mit der Daten- und Cybersicherheit angewendet werden. Die Verfasser der Norm geben an, dass für das Management von Sicherheitsrisiken im Zusammenhang mit Medizinprodukten kein separater Prozess erforderlich ist, was mit den Vorgaben in den MDCG-Leitlinien übereinstimmt.
  • ANSI/AAMI SW96:2023: Dieser im November 2023 von der FDA anerkannte Standard dient als Leitfaden für das Sicherheitsrisikomanagement bei Medizinprodukten und unterstützt Hersteller bei der Bewältigung von Cybersicherheitsrisiken. Er bietet einen strukturierten Rahmen für das Management von Cybersicherheitsrisiken über den gesamten Lebenszyklus von Medizinprodukten hinweg, vom Entwurf bis zur Phase nach der Markteinführung. Aufbauend auf ISO 14971:2019 für das Sicherheitsrisikomanagement legt er den Schwerpunkt auf die Identifizierung und Dokumentation von Schwachstellen durch Bedrohungsmodellierung, die Bewertung von Risiken in vernetzten Systemen, die Implementierung mehrschichtiger Sicherheitskontrollen (z. B. Verschlüsselung, Zugriffskontrollen) und die Aufrechterhaltung einer kontinuierlichen Überwachung und Reaktion auf Vorfälle. Die FDA empfiehlt die Anwendung dieses neuen Standards.

Fortschritte in der Cybersicherheitstechnologie

Technologische Fortschritte prägen die Zukunft der Cybersicherheit medizinischer Geräte und bieten sowohl Chancen als auch Herausforderungen:

  • Künstliche Intelligenz (KI): KI wird zunehmend in medizinische Geräte integriert (z. B. zu Diagnosezwecken) und gleichzeitig in separaten Systemen eingesetzt, um medizinische Geräte durch Cybersicherheitstools zu schützen, beispielsweise um Netzwerke und Datenflüsse, die mit Geräten verbunden sind, zu schützen. KI kann das Verhalten von Geräten und den Netzwerkverkehr analysieren, um ungewöhnliche Muster zu identifizieren, die auf Cyberangriffe hindeuten könnten, und so Anomalien überwachen und Bedrohungen erkennen. KI-Modelle können auch potenzielle Sicherheitsschwächen vorhersagen und antizipieren. Durch die Verarbeitung historischer Daten und Bedrohungsinformationen empfiehlt sie proaktive Maßnahmen, wie das Patchen oder Isolieren gefährdeter Geräte, bevor Exploits auftreten. Darüber hinaus können KI-Systeme so konzipiert werden, dass sie komplexe Angriffe wie Social Engineering oder die Extraktion von Quellcode identifizieren und bekämpfen, indem sie aus Mustern lernen und ihre Abwehrmaßnahmen dynamisch anpassen. Obwohl KI eine verbesserte klinische Leistung und Schutzvorteile bietet, bringt ihre Integration in medizinische Geräte neue Schwachstellen mit sich. KI-Modelle sind komplex, oft undurchsichtig und auf eine große Datenmenge angewiesen, was sie zu Zielen für Angreifer macht. Dies kann die Angriffsfläche vergrößern und zu Risiken führen, die die Patientensicherheit, Datenintegrität und Systemzuverlässigkeit gefährden. Angreifer können KI beispielsweise durch Techniken wie Data Poisoning (Verfälschung von Trainingsdaten zur Verschlechterung der Leistung) oder Evasion Attacks (Erstellung von Eingaben, um das Modell zu täuschen) ausnutzen. Experimente haben beispielsweise gezeigt, dass „Data Set Poisoning“ die Genauigkeit von ML-Modellen um bis zu 24 % verringern kann, was zu falschen Diagnosen oder falschen Behandlungen in Medizinprodukten wie Bildgebungssystemen führt [5].
  • Secure Product Development Framework (SPDF): Das SPDF wird von der FDA als wichtige Anforderung empfohlen und ist definiert als „eine Reihe von Prozessen, die dazu beitragen, die Anzahl und Schwere von Schwachstellen in Produkten zu identifizieren und zu reduzieren“. Es konzentriert sich auf Cyber-Sicherheitsrisikomanagement, Architekturdesign und Tests zur Reduzierung von Schwachstellen und umfasst den gesamten Produktlebenszyklus, einschließlich Design, Entwicklung, Freigabe, Support und Außerbetriebnahme. Das Framework soll sicherstellen, dass medizinische Geräte sicher konstruiert sind und neu auftretende Cybersicherheitsrisiken mindern können. Zu den wichtigsten Elementen gehören Cyber-Sicherheitsrisikomanagement, Bedrohungsmodellierung und Schwachstellenbewertung, sichere Design- und Entwicklungspraktiken, Tests und Validierung, Überwachung und Wartung nach der Markteinführung sowie Dokumentation und Transparenz. Die SPDF der FDA steht in engem Zusammenhang mit IEC 81001-5-1, da die FDA-Leitlinien ausdrücklich auf die Norm als Beispiel für einen Rahmen verweisen, der bei der Umsetzung von SPDF-Prozessen hilfreich sein kann. Beide betonen einen Lebenszyklusansatz für Cybersicherheit, bei dem Sicherheit in Design, Entwicklung und Wartung integriert wird und eine kontinuierliche Risikominderung gewährleistet ist.
  • Mikrosegmentierung: Diese Cybersicherheitstechnik schafft isolierte Netzwerksegmente, um die Sicherheit medizinischer Geräte zu verbessern. Durch Mikrosegmentierung kann die Cybersicherheit medizinischer Geräte erheblich gestärkt werden, da Angreifer sich nicht mehr frei im Krankenhausnetzwerk bewegen können, sobald sie Zugriff auf ein anfälliges Gerät erlangt haben. Mikrosegmentierung verbessert die Cybersicherheit medizinischer Geräte, indem Netzwerke in kleinere, isolierte Segmente unterteilt werden, wodurch die Ausbreitung von Cyberangriffen eingeschränkt wird. Wenn in einem Krankenhausnetzwerk ein Gerät oder System kompromittiert wird, verhindert die Mikrosegmentierung, dass sich Angreifer lateral auf andere Geräte ausbreiten können. Sie ist besonders effektiv für den Schutz älterer Geräte. Ältere Geräte laufen oft mit veralteten Betriebssystemen, können (unter anderem aufgrund regulatorischer Beschränkungen) nicht einfach gepatcht werden und verwenden möglicherweise unsichere Protokolle. Die Mikrosegmentierung begegnet diesen Risiken, indem sie den „Blast Radius“ des Netzwerks im Falle einer Sicherheitsverletzung reduziert. IEC 81001-5-1, die FDA-Leitlinien und NIS2 fördern ein Netzwerkdesign mit minimalen Berechtigungen. Die Mikrosegmentierung ist eine Lösung zur Umsetzung eines solchen Designs.

Fazit

Bei der Entwicklung vernetzter medizinischer Geräte, softwaregesteuerter medizinischer Geräte oder eigenständiger medizinischer Software muss die Cybersicherheit bereits in den frühesten Entwicklungsphasen berücksichtigt werden. Dies ist notwendig, erforderlich und obligatorisch für den Marktzugang in Europa, den USA und allen anderen wichtigen Märkten. Gleichzeitig ist Cybersicherheit ein dynamischer Bereich, der ständige Wachsamkeit und Anpassung erfordert. Die aktualisierten Rechtsrahmen, Normen wie IEC 81001-5-1 und technologische Fortschritte bieten Herstellern Instrumente zur Verbesserung der Gerätesicherheit. Jüngste Vorfälle wie der Cyberangriff auf McLaren Health Care verdeutlichen jedoch die anhaltende Bedrohungslage. Durch die Integration der Cybersicherheit von Beginn der Entwicklung und Konstruktion bis zur Außerbetriebnahme, die Übernahme bewährter Verfahren und die ständige Information über regulatorische Änderungen können Hersteller und Patienten schützen, Vertrauen aufrechterhalten und die Einhaltung von Vorschriften in einem zunehmend vernetzten Gesundheitsökosystem sicherstellen.

Wie wir Sie auf Ihrem Weg zur Compliance unterstützen

Die Einhaltung der EU- und FDA-Cybersicherheitsanforderungen ist komplex. Wir bewerten Ihre Praktiken anhand von MDR, NIS 2 und FDA-Vorgaben. Mit Gap-Analyse und Maßnahmenplan identifizieren wir Abweichungen und definieren klare Schritte zur Konformität. Unser Team unterstützt bei 510(k)-, De Novo- und PMA-Einreichungen mit SBOMs, Risikodateien und Überwachungsplänen – oder liefert einen Abschlussbericht mit Ergebnissen, Strategien und Empfehlungen für langfristige Compliance und mehr Cybersicherheit über den gesamten Lebenszyklus Ihrer Medizinprodukte.

Contact +49 451 808 503 60

 

References:

[1] IHS Markit, The Internet of Things: a movement, not a market, e-paper, downloaded 06/14/2021: https://cdn.ihs.com/www/pdf/IoT_ebook.pdf

[2] IQVIA Institute for Human Data Science: The Growing Value of Digital Health, accessed 06/21/2021: https://www.iqvia.com/insights/the-iqvia-institute/reports/the-growing-value-of-digital-health

[3] Irdeto, Global Connected Industries Cybersecurity Survey. IoT Cyberattacks Are The Norm – The Security Mindset Isn’t, downloaded 06/14/2021: https://go.irdeto.com/connected-industries-cybersecurity-survey-report/

[4] Bundesinstitut für Arzneimittel und Medizinprodukte, Cybersicherheit von Medizinprodukten, accessed 06/14/2021: https://www.bfarm.de/DE/Medizinprodukte/RisikoerfassungUndBewertung/Cybersicherheit/kundeninfos_cybersicherheit_node.html

[5] Research Handbook on Health, AI and the Law. Chapter 4Cybersecurity of AI medical devices: risks, legislation, and challenges. https://www.ncbi.nlm.nih.gov/books/NBK613217/

[6] Cybersecurity requirements for medical devices in the EU and US - A comparison and gap analysis of the MDCG 2019–16 and FDA premarket cybersecurity guidance, “Computational and Structural Biotechnology Journal”, Volume 28P259-2662025

[7| “A Way Forward for the MDCG 2019-16 Medical Device Security Guidance”, https://doi.org/10.1145/3652037.3663894

Unser Newsletter „qonzentrat“

kompakt, professionell und präzise

Profitieren Sie von unserem Fachwissen.

Jetzt anmelden