Cybersicherheit in der Medizintechnik
NIS-2, ISO 14971 und die Lücke dazwischen
Wenn das Beatmungsgerät zur Schwachstelle wird: 2023 wurden weltweit mehr als 500 Sicherheitsvorfälle in Krankenhäusern mit vernetzten Medizingeräte registriert. Was früher ein IT-Problem war, ist heute eine Frage der Patientensicherheit. Risikomanagement wird damit zur ethischen Pflicht.
Ein Herzschrittmacher, der sich per Funk umprogrammieren lässt. Eine Insulinpumpe, deren Dosierbefehle abgefangen werden können. Ein KIS, das nach einem Ransomware-Angriff tagelang offline bleibt. Was klingt wie Szenarien aus einem Tech-Thriller, ist längst dokumentierte Realität: Vernetzte Medizingeräte gehören zu den bevorzugten Angriffszielen von Cyberkriminellen – und die Konsequenzen eines Vorfalls reichen weit über Datenverlust oder Reputationsschäden hinaus.
Denn medizintechnische Systeme sind heute keine isolierten Inseln mehr. Sie kommunizieren mit Klinik-IT, Cloud-Plattformen und externen Servicediensten, übertragen Patientendaten in Echtzeit und lassen sich aus der Ferne warten. Auf der einen Seite ist das medizinischer Fortschritt – aber gleichzeitig auch eine Angriffsfläche, die systematisch bewertet und kontrolliert werden muss. Genau das ist die Aufgabe des Risikomanagements: nicht als bürokratische Pflichtübung, sondern als technische und ethische Kernanforderung an jeden Hersteller und Betreiber vernetzter Medizinprodukte.
| Health Electronics Summit 2026 Safety & Cybersecurity - Medizinsysteme sicher entwickeln |
|---|
| 22. September 2026, Mövenpick Airport Stuttgart --> Zur Veranstaltungswebseite mit allen weiteren Informationen. |
Risikomanagement in der Medizintechnik
Risikomanagement ist der systematische Prozess zur Identifikation, Bewertung und Behandlung von Risiken, die ein Unternehmen oder eine Organisation betreffen könnten. In der Medizintechnik umfasst dies vor allem Risiken im Zusammenhang mit der Informationssicherheit: unbefugte Zugriffe auf Patientendaten, Systemausfälle medizinischer Geräte oder Datenverlust. Sicherheitsvorfälle können finanzielle Schäden und Reputationsverlust verursachen – im schlimmsten Fall gefährden sie die Gesundheit von Patienten. Ein funktionierendes Risikomanagement ist deshalb auch eine ethische Verpflichtung gegenüber Patienten und Gesellschaft.
Regulatorik: GxP, MDR und NIS-2 im Zusammenspiel
Doch das Risikomanagement in der Medizintechnik ist kein einheitliches Regelwerk – es setzt sich aus mehreren Normschichten zusammen, die unterschiedliche Aspekte der Produktsicherheit abdecken. GxP-Vorgaben (Good x Practice) und GMP-Standards (Good Manufacturing Practice) definieren, unter welchen kontrollierten Bedingungen Medizinprodukte entwickelt und hergestellt werden müssen. Sie bilden die Qualitätsbasis – sind aber primär auf Prozesse und Produkte ausgerichtet, nicht auf digitale Bedrohungen.
Genau hier setzt NIS-2 an und erweitert den Rahmen um eine Dimension der Cybersicherheit, die in GxP-Vorgaben bislang nicht explizit verankert war. Für Medizintechnikunternehmen bedeutet das in der Praxis: Wer GxP-konform produziert, erfüllt damit noch nicht automatisch die Anforderungen der NIS-2-Richtlinie. Beide Normsysteme müssen ineinandergreifen – ergänzt durch ISO 14971 für das produktspezifische Risikomanagement und ISO/IEC 27001 für den Aufbau eines Informationssicherheits-Managementsystems.
Vertrauen als Marktwert
In keiner anderen Branche ist das Vertrauen in ein Produkt so direkt mit dessen Sicherheit verknüpft wie in der Medizintechnik. Ein dokumentierter Sicherheitsvorfall – ein Datenleck, ein kompromittiertes Gerät, ein Systemausfall im klinischen Betrieb – kann nicht nur regulatorische Konsequenzen nach sich ziehen, sondern das Vertrauen von Kliniken, Zulassungsbehörden und Patienten nachhaltig beschädigen. Nachweisbares Risikomanagement ist deshalb nicht nur Compliance-Nachweis, sondern ein handfestes Differenzierungsmerkmal im Wettbewerb.
Standards und Best Practices
Um den Anforderungen der NIS-2 gerecht zu werden, ist es entscheidend, auf bewährte Standards und Best Practices zurückzugreifen. Zu den wichtigsten Standards im Bereich Informationssicherheit gehören ISO/IEC 27001 (Management von Informationssicherheit), ISO 31000 (Risikomanagement) und der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Eine Zertifizierung nach ISO/IEC 27001 ermöglicht es zudem, die Umsetzung gegenüber Behörden und Partnern nachweisbar zu dokumentieren.
Für die Medizintechnik ist dabei besonders relevant, dass Risikomanagementprozesse auf die spezifischen Anforderungen der Branche zugeschnitten werden – genau das adressiert ISO 14971. Ein zentraler Aspekt ist die Kritikalität von Medizingeräten: Die Auswahl relevanter Gefährdungen und die Bewertung ihrer Eintrittswahrscheinlichkeit müssen unter Einbezug der realen Risiken in der medizinischen Praxis erfolgen.
Der Risikomanagementprozess:
Von der Identifikation bis zur Risikobehandlung
Der Risikomanagementprozess umfasst mehrere aufeinander aufbauende Schritte:
- Identifikation von schützenswerten Assets – In der Medizintechnik sind schützenswerte Werte nicht nur Patientendaten, sondern auch medizinische Geräte, Netzwerke, Software und Infrastruktur – einschließlich der Steuerungssysteme von Beatmungsgeräten oder Herzmonitoren.
- Auswahl relevanter Gefährdungen – Potenzielle Gefährdungen umfassen Cyberangriffe, unbefugten Zugriff auf medizinische Daten, Systemausfälle, Softwarefehler und menschliche Fehler. Diese sind den identifizierten Assets individuell zuzuordnen.
- Bewertung der Gefährdungen – Für jede Gefährdung wird anhand von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen eine Risikoklasse bestimmt – unter Berücksichtigung der Konsequenzen für Patientenversorgung, Betrieb und rechtliche Verpflichtungen.
- Bestimmung von Risikobehandlungsmaßnahmen – Nicht akzeptable Risiken erfordern gezielte Gegenmaßnahmen technischer, organisatorischer oder administrativer Natur – etwa Verschlüsselung, Zugriffskontrollen oder regelmäßige Sicherheitsüberprüfungen.
- Kontinuierliche Überwachung und Verbesserung – Risikomanagement ist kein einmaliger Prozess. Neue Bedrohungen, Technologieänderungen und Sicherheitslücken müssen fortlaufend identifiziert, bewertet und behoben werden.
Risikomanagement für Informationssicherheit in der Medizintechnik
Mit der NIS-2-Richtlinie – in Deutschland seit Dezember 2025 in Kraft – ist die Dringlichkeit, ein effektives Risikomanagement zu etablieren, nochmals gestiegen. Die Anforderungen sind klar: Verfügbarkeit, Integrität und Vertraulichkeit von Informationen müssen durch angemessene Maßnahmen abgesichert sein. Wer Risikomanagement als technische und organisatorische Kernaufgabe begreift – nicht als Anhang zur Zulassungsdokumentation – ist besser aufgestellt: regulatorisch, betrieblich und im Vertrauen seiner Kunden.
| Über Secunet |
|---|
|
Secunet ist ein deutsches Cybersecurity-Unternehmen mit einer Spezialisierung auf Bereiche mit erhöhten Sicherheitsanforderungen – darunter Cloud, IIoT, eGovernment und eHealth. Das Unternehmen mit Hauptsitz in Essen verfügt über Standorte in ganz Deutschland und bietet Produkte und Beratungsleistungen für den Schutz digitaler Infrastrukturen, Daten und Identitäten. Zu den Kunden zählen u.a. Bundesministerien, mehr als 20 DAX-Konzerne sowie nationale und internationale Organisationen. Über 1.000 Mitarbeitende sind in der Informationssicherheit tätig. secunet wurde 1997 gegründet, ist im SDAX der Deutschen Börse gelistet und IT-Sicherheitspartner der Bundesrepublik Deutschland. |
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Fraunhofer auf der DMEA 2026
Digitale Technologien für fundierte Medizin-Entscheidungen
Aufräumarbeiten nach Cyberangriff
Stryker ist wieder voll betriebsfähig – doch Nachwehen bleiben
»Heidi« - ein Lesetipp für Entwickler
So läuft KI-gestützte Dokumentation in einer deutschen Arztpraxis
Version 2.0 mit Handlungsempfehlungen
Spectaris legt neues Playbook für MedTech-KI vor
EU setzt Zeichen für Medtech-Branche
Doppelregulierung ade: MDR schlägt KI-Verordnung
Photon-Counting-CT
Deep Silicon: GE Healthcare kann jetzt auch Photonen zählen
