TÜV Süd fordert EU-weite Norm für Cybersecurity-Tests
Eine künftige Norm sollte klären, was, wo, wie und in welchem Umfang zu prüfen ist. Es gehe darum, dass netzwerkfähige Produkte im Sinne der Patienten cybersicher sind. So fehlten Aussagen darüber, ob es z. B. eine geringere Prüftiefe für Medizinprodukte und IVDs mit geringerem Risiko geben sollte.
Muss beispielsweise bei einer Software für jedes Release ein vollständiger Penetrationstest erfolgen? Wie sind Ethernet und Bluetooth-Verbindungen zu prüfen? Wann ist Fuzzing überhaupt erforderlich und in welchem Umfang?
Beim Penetrationstest simulieren sogenannte Ethical Hacker einen IT-Angriff auf ein Medizinprodukt oder IVD. So finden sie Schwachstellen, bevor diese von Dritten ausgenutzt werden. Beim Fuzzing provozieren Prüfer Fehlverhalten von Software, indem sie zufällige, teils manipulierte Daten einspeisen.
Whitepaper zu Cybersecurity
Das von TÜV veröffentlichte Whitepaper geht Lücken anhand konkreter Fragen aus Sicht von Herstellern und Unternehmen auf den Grund. Diese Fragen sollten verbesserte Standards beantworten.
EU-Verordnungen wie die MDR für Medizinprodukte und die IVDR für Diagnostika machen zwar Vorgaben zur Cybersecurity. Aber der Leitlinie MDCG 2019-16, die die Anforderungen an den Prozess klären soll, fehlten entscheidende Details. Gleiches gelte für die internationale Norm IEC 81001-5-1, die sich mit IT-Sicherheit im Software-Lebenszyklus befasst.
Die von der EU für 2024 angekündigte Harmonisierung biete die Chance, anhand einer einheitlichen EU-Norm die teils bestehenden länderspezifischen Standards zu vereinheitlichen.
Ihnen hat dieser Artikelauszug gefallen? Dann lernen Sie den wöchentlich erscheinenden Branchen-Informationsdienst „MTD-Instant“ noch besser kennen. Bestellen Sie Ihr Test-Abonnement hier.
