Startseite > Medizintechnik > Systeme & Anwendungen > Schwachstellen vor den Hackern finden

Cybersecurity für Medizingeräte

Schwachstellen vor den Hackern finden

30. April 2025, 8:21 Uhr | Von Dr. Joachim Wilke, ITK Engineering

Bild 1. Effizientes Schwachstellenmanagement ist in der Entwicklung von Medizinprodukten essenziell.

Die digitale Vernetzung von Medizingeräten verbessert die Versorgung, macht sie jedoch anfälliger für Cyberattacken. Wie können Hersteller und Inverkehrbringer Risiken früh identifizieren? Ein Blick auf die Rolle von »Common Vulnerabilities and Exposures« und aktuelle regulatorische Anforderungen.

▶ Diesen Artikel anhören

Cyberangriffe auf Medizingeräte in Krankenhäusern und im häuslichen Umfeld bedrohen nicht nur sensible Patientendaten, sondern gefährden auch die Sicherheit von Patienten sowie die Funktionalität der medizinischen Geräte.

CVEs: Bekannte Schwachstellen

Sogenannte »Common Vulnerabilities and Exposures« (CVEs) spielen im Kampf gegen die Bedrohungen eine zentrale Rolle. Für Hersteller und Inverkehrbringer von vernetzten Medizingeräten ist es essenziell, diese Risiken frühzeitig zu identifizieren, zu bewerten und zu beheben. Welche Bedeutung haben CVEs, wie werden sie bewertet, und wo liegen regulatorische Vorgaben?

Transparenz und Nachvollziehbarkeit sind Pflicht

Ein effektives Schwachstellenmanagement ist in der modernen Medizintechnik unverzichtbar. CVEs können als identifizierte Schwachstellen in Software und Hardware schwerwiegende Risiken wie Datenlecks oder Manipulationen verursachen. Regulierungsbehörden wie die Europäische Union und die US-amerikanische Food and Drug Administration (FDA) setzen hier klare Richtlinien. Sie fordern regelmäßige Risikoanalysen und ein dokumentiertes Schwachstellenmanagement ein.

Die Medical Device Regulation (MDR) der EU und Normen wie die IEC 81001-5-1 verpflichten Hersteller dazu, CVE-Scans – also Prozesse, die Systeme auf bekannte Schwachstellen überprüfen – fest in ihre Vorgänge zu integrieren und Berichte mit betroffenen Komponenten, Kritikalität und getroffenen Maßnahmen zu generieren. Diese Analysen sind entscheidend, um Sicherheitsrisiken frühzeitig zu erkennen. Darüber hinaus müssen alle Entscheidungen nachvollziehbar dokumentiert werden. Dies hilft, Haftungsrisiken zu minimieren und die Anforderungen von Auditoren zu erfüllen.

Software Bill of Materials

Um einen CVE-Scan durchzuführen, benötigt man eine Software Bill of Materials (S-BOM). Sie enthält alle Softwarekomponenten, aus denen das zu betrachtende System besteht, und muss oft manuell gepflegt werden. Tools können sowohl bei der Erstellung von S-BOMs als auch beim Scannen durch Automatisierung unterstützen. Lediglich die anschließende Bewertung der entdeckten Schwachstellen erfordert gründliche Handarbeit.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

CVE-Scanning in der Praxis

Um die praktische Anwendung des CVE-Managements zu veranschaulichen, ein fiktives Fallbeispiel:

Ausgangssituation: Initialer CVE-Scan und Bewertung

Ein Medizinproduktehersteller implementiert ein robustes Sicherheitsmanagement für seine Software. Nach sorgfältiger Erstellung einer detaillierten S-BOM, die zehn Third-Party-Komponenten umfasst, führt das Sicherheitsteam einen initialen CVE-Scan durch. Das eingesetzte Tool identifiziert 75 potenzielle Schwachstellen.

Die Sicherheitsexperten des Unternehmens analysieren jedes einzelne CVE-Ticket gründlich. Interessanterweise erweist sich keine der identifizierten Schwachstellen als relevant für das spezifische Medizinprodukt. Alle CVEs werden mit dem Status »Not Affected« gekennzeichnet, wobei jede Entscheidung sorgfältig dokumentiert wird. Die Ergebnisse werden in eine maschinenlesbare CycloneDX/VEX-Datei exportiert – ein Format, das zunehmend von Zulassungsbehörden wie der FDA eingefordert wird.

Post-Market-Phase: Proaktives Schwachstellenmanagement

Nach der erfolgreichen Markteinführung implementiert der Hersteller einen automatisierten wöchentlichen CVE-Scan. Diese proaktive Vorgehensweise zahlt sich aus: Zwei Monate später werden zwei neue CVEs für die verwendete OpenSSL-Bibliothek entdeckt. Die Sicherheitsexperten reagieren umgehend:

CVE-1 wird als »Not Affected« eingestuft, da die Schwachstelle nur in einer Konfiguration auftritt, die im Produkt nicht verwendet wird.
CVE-2 hingegen betrifft eine Funktion, die im Produkt tatsächlich genutzt wird und erhält den Status »Exploitable«.

Bereits am nächsten Tag evaluiert das Entwicklungsteam zwei Optionen zur Behebung von CVE-2:

Ein umfassendes Update der OpenSSL-Bibliothek, das jedoch weitreichende Softwareänderungen und umfangreiche Tests erfordern würde.
Die Implementierung eines offiziellen Patches, der nur wenige Code-Zeilen betrifft.

Nach sorgfältiger Abwägung fällt die Entscheidung auf Option 2: Der Patch wird innerhalb einer Woche integriert und durch gezielte Delta-Tests validiert. Anschließend wird das Patch-Release freigegeben. Der gesamte Prozess – von der CVE-Identifikation bis zur Patch-Implementierung – wird lückenlos dokumentiert und in der Medizinprodukte-Akte festgehalten. Der Status des CVE-Tickets wird final auf »Resolved« gesetzt.

Ergebnis: Strukturiertes CVE-Management

Der Ansatz schafft ein effizientes CVE-Managementsystem, das schnelle Reaktionen auf Sicherheitsrisiken ermöglicht. CycloneDX/VEX-Dateien sorgen für eine transparente, maschinenlesbare Dokumentation – ein entscheidender Vorteil bei regulatorischen Audits.

Proaktives Schwachstellenmanagement

CVE-Management steigert die Produktsicherheit und sichert effizient die regulatorische Compliance – essenziell für Medizinproduktehersteller in einer stark vernetzten Medizintechnikwelt.

Hersteller sollten CVE-Scans bereits während der Entwicklungsphase berücksichtigen und Softwarekomponenten möglichst früh aktualisieren. Dies hilft, den Aufwand der zu prüfenden und zu bewertenden CVEs zu minimieren – ein Zeitaufwand, der in der Pflege und Weiterentwicklung der eigentlichen Software definitiv besser investiert ist. (uh)