In 10 Schritten zur CRA-Konformität bis 2028

Mit dem Inkrafttreten des Cyber Resilience Act (CRA) beginnt für Hersteller digitaler Produkte ein Wettlauf mit der Zeit. Ab dem 11. Dezember 2027 dürfen nur noch Produkte mit CE-Kennzeichnung gemäß CRA in den europäischen Markt eingeführt werden. Bereits ab September 2026 greifen erste Verpflichtungen wie die 24-Stunden-Meldepflicht bei aktiv ausgenutzten Schwachstellen. Unternehmen, die bis dahin keine Compliance-Strategie entwickelt und umgesetzt haben, riskieren nicht nur Bußgelder und Marktverbot, sondern auch den Verlust von Kundenvertrauen.

Damit es nicht so weit kommt, braucht es einen strukturierten Fahrplan. Die folgenden 10 Schritte helfen Ihnen, systematisch, realistisch und mit einem klaren Blick auf Aufwand, Zuständigkeiten und Budget auf 2028 hinzuarbeiten.

Referent: Lars Roith, Lunaris Digital Solutions GmbH & Co. KG 

Lars Roith ist Geschäftsführer der Lunaris Digital Solutions und erfahrener Digitalisierungs- und Softwareexperte. Er verfügt über mehr als 25 Jahre Erfahrung in der Softwareentwicklung, IT-Beratung und Unternehmensführung. Nach dem erfolgreichen Ausbau und Verkauf seines früheren Unternehmens an die Siemens AG konzentriert er sich heute auf die Entwicklung individueller digitaler Lösungen für anspruchsvolle Kunden. Im Mittelpunkt stehen Effizienzsteigerung, nachhaltige Wettbewerbsvorteile und technologische Exzellenz. Lunaris steht für maßgeschneiderte Digitalisierung, orientiert an den spezifischen Anforderungen eines Unternehmens. Sein Ziel ist es, Technologie nicht als Selbstzweck zu nutzen, sondern in greifbare Vorteile für Unternehmen zu übersetzen.

Quishing, Smishing & Co – Die unterschätzten Einfallstore in die medizinische Infrastruktur

In vielen Organisationen liegt der Fokus der IT-Sicherheit auf technischen Schutzmaßnahmen wie Firewalls, Zero Trust, Netzsegmentierung, MFA. Doch ein zentraler Angriffsvektor bleibt oft zu wenig beachtet: „der Mensch“. Angreifer nutzen zunehmend Methoden des Social Engineering, um technische Schutzmechanismen gezielt zu umgehen – subtil, effizient und mit zunehmendem Erfolg. In meinem Vortrag geht es um moderne Social-Engineering-Techniken wie Quishing (Phishing über QR-Codes), Smishing (Phishing über SMS) und Vishing (telefonische Täuschung). Diese Methoden werden nicht nur raffinierter, sondern auch gezielter eingesetzt – mit täuschend echten Nachrichten, manipulierten QR-Codes und Social Scripts, die gezielt Vertrauen aufbauen. Ein besonderer Fokus liegt dabei auf Quishing, also dem Missbrauch von QR-Codes, die Benutzer auf gefälschte Webseiten führen oder sensible Informationen abfragen. Der Vortrag liefert darüber hinaus Strategien zur Prävention und Sensibilisierung: Welche Schutzmechanismen helfen wirklich? Wie können Mitarbeitende wirksam geschult werden?

Referent: Mursaleen Ali, sepp.med gmbh

Ich arbeite seit drei Jahren bei der seppmed GmbH und bin in verschiedenen Kundenprojekten tätig. Mein Schwerpunkt liegt auf der Toolvalidierung, Softwaretests und Cybersecurity.

One fits all – ein Integriertes Managementsystem (IMS), das alle relevanten Prozessanforderungen abdeckt

Die Hersteller von MDSW/SaMD und Medizingeräten mit Software-Komponenten müssen – je nach Features – inzwischen die Anforderungen
– der MDR bzw. IVDR mit der EN ISO 13485, der EN 82304-1, der EN 62304 sowie der EN IEC 81001-5-1,
– der DSGVO und von NIS-2 mit der EN ISO/IEC 27001 bzw. EN ISO/IEC 27701 und
– des AI Acts mit der ISO/IEC 42001
erfüllen.
Wir stellen einen Ansatz vor, der all diese Anforderungen in einem IMS bündelt.

Referent: Peter Hartung, Metecon GmbH

Peter Hartung studierte von 1989 bis 1994 Feinwerktechnik an der Technischen Universität Dresden. Anschließend arbeitete er acht Jahre lang für ein Start-up-Unternehmen, das mobile chemische Analysetechnologie entwickelt und herstellt. Hier war er in den Bereichen Konstruktion, Hardware- und Softwareentwicklung tätig und für die Herstellung und Zulassung der Produkte verantwortlich. Nach seinem Wechsel zur seleon GmbH im Jahr 2002 übernahm er für zwei Jahre die Leitung der mechanischen Entwicklung und war als Projektleiter maßgeblich an der Entwicklung und Zulassung innovativer Medizinprodukte beteiligt. Von 2004 bis 2014 war Peter Hartung Leiter des Bereichs Qualitätsmanagement & Regulatory Affairs, bevor er 2014 den Geschäftsbereich Consulting gründete. Er war verantwortlich für ein Team von dreißig Kollegen, die ihre Kunden bei der Entwicklung, Herstellung und Zulassung einer Vielzahl von Medizinprodukten gemäß den Anforderungen berieten und unterstützten. Im Jahr 2025 wechselte er zur Metecon GmbH, wo er ein Team von mehr als sechzig Beratern und deren Kunden mit seinem Fachwissen im Bereich Aktive Medizinprodukte & Software unterstützt.

CRA-Anforderungen an die Produktentwicklung

Mit dem Inkrafttreten des Cyber Resilience Act (CRA) endet die Ära, in der die Cybersicherheit ein nachgelagerter Prozess war. Für Hersteller vernetzter Systeme wird sie zur verbindlichen Kerndisziplin, die den gesamten Produktlebenszyklus prägt. Die Herausforderung besteht darin, die komplexen regulatorischen Vorgaben in effiziente und wirksame Entwicklungspraktiken zu übersetzen.

Dieser Vortrag konzentriert sich gezielt auf die Pflichten während der Produktentwicklung und geht dabei auf die Folgenden Schwerpunkt ein:
– Der sichere Entwicklungsprozess und Security by Design
– Die Erfüllung grundlegender Cybersicherheitsanforderungen und Risikoanalyse
– Die Nachweiserbringung durch technische Dokumentation, User Manual und SBOM

Referent Daniel Götz, embeX GmbH

Daniel Götz arbeitet seit 8 Jahren beim Freiburger Entwicklungsdienstleister embeX GmbH. Nach seinem Informatik-Studium begann er seine Karriere zunächst als Embedded Software Entwickler im Bereich der Medizintechnik. Seit mittlerweile über einem halben Jahrzehnt ist er als Cybersecurity Specialist tätig. Hierbei liegt sein Fokus auf Normen und Standards sowie der Analyse von Cybersecurity Risiken und Entwicklung notwendiger Gegenmaßnahmen.

Cybersecure Softwareentwicklung in der Medizintechnik: Integrität und Sicherheit medizinischer Software während des Entwicklungsprozesses sicherstellen

Die Norm IEC 60601-4-5 bietet einen Leitfaden und eine Bewertung der sicherheitsrelevanten technischen Anforderungen, die speziell auf Cybersecurity in der Medizintechnik ausgerichtet sind. Ergänzt wird sie durch die Normenreihe IEC 62443, die umfassenden Richtlinien für industrielle Automatisierungssysteme bereitstellt.

Die Erstellung medizinischer Software erfordert einen strikten Fokus auf Integrität und Authentizität während des Entwicklungsprozesses, um die Cybersecurity in der Medizintechnik sicherzustellen. Dieser Vortrag untersucht die Anwendung von kontinuierlicher Integration (CI) und die Nutzung einer Git-basierten Versionsverwaltungsplattform zur Gewährleistung der Softwareintegrität im Entwicklungsprozess. Er bietet einen Überblick über bewährte Praktiken und Strategien zur Sicherstellung der Integrität und Authentizität medizinischer Software. Besonderes Augenmerk wird auf die Herausforderungen der Cybersecurity und die Bedeutung der Einhaltung regulatorischer Standards gelegt.

Referent: Gregor Richter, embeX GmbH

Gregor Richter ist ein erfahrener Cybersecurity-Spezialist und DevOps Engineer bei der embeX GmbH.
Er schloss sein Studium im Bereich Embedded Systems Engineering an der Universität Freiburg ab. Nach dem Studium sammelte er wertvolle Erfahrungen in der Entwicklung und Integration von Embedded Software im sicherheitskritischen Bereich.

In seiner weiteren beruflichen Laufbahn vertiefte er sein Fachwissen in der Cybersecurity und erwarb die Zertifizierung als CySec Specialist.
In seiner Rolle als DevOps und Cybersecurity Engineer implementiert er CI/CD-Pipelines, die sowohl auf Geschwindigkeit als auch auf Sicherheit ausgerichtet sind. Zudem führt er Sicherheitsanalysen durch, um potenzielle Schwachstellen in der Infrastruktur zu identifizieren und zu beheben.

AI for Efficient Security Analysis and Testing of Medical Devices

The fast rising number of cyberattacks on medical IT demand for cyber resilience in medical device development. Hackers manipulate interfaces and create risks from immediate danger due to compromised functional safety to weakened privacy and data protection. Regulatory requirements, e.g., FDA and MDR, thus demand cybersecurity engineering methods like security by design and cybersecurity test. However, traditional security analyses and security tests are mostly inefficient and incomplete in detecting vulnerabilities. Analysis often looks too much on known weakness, rather than getting context-aware vulnerability analysis. Verifications at the code level are too isolated, while pen tests and fuzzing on the device are inefficient and have many blind spots. Generative AI (GenAI) facilitates more comprehensive and cost-effective security analysis and testing. In this presentation, we will introduce towards GenAI usage in analysis and validation. Heuristics are used for greater effectiveness and efficient reuse of scenarios. Practical examples round off the presentation.

Referent: Prof. Dr. Christof Ebert, Vector Consulting Services GmbH

Christof Ebert is the co-founder and managing director of Vector Consulting Services where he supports companies worldwide on AI, agile transformation and product development. As a business angel and professor at the University of Stuttgart and the Sorbonne University in Paris his focus is on innovation and technology transfer. A Senior Member of the IEEE he serves on editorial boards of IEEE Computer and other leading journals.

„Neue Regeln, alte Frameworks? Aktueller Stand zum Cyber Resiliance Act“

Der Cyber Resilience Act (CRA) ist beschlossen und markiert einen gewaltigen Schritt in Richtung Verbesserung der Cybersicherheit in Europa. Da er auf einem Framework aufbaut, das die EU bereits für andere Verordnungen genutzt hat, können wir Parallelen ziehen, um zu erahnen, was auf uns zukommt. Aus Sicht der Medizintechnik, die bereits länger unter strengen EU-Produktvorschriften arbeitet, können wir das Vorgehen erklären, Anforderungen ableiten und Best Practices vorstellen.

In diesem Vortrag wird der Hintergrund der EU-Vorschriften im Rahmen des „New Legislative Frameworks“ erläutert, welche Cybersicherheitsanforderungen in den meisten Branchen derzeit als Stand der Technik gelten, und es wird versucht zu erraten, welche spezifischen Anforderungen im Rahmen der CRA auf uns zukommen könnten, da noch keine harmonisierten Normen vorliegen.

Referenten: Christian Rosenzweig und Leon Holub, Johner Institut

Christian Rosenzweig ist seit über 25 Jahren im regulierten Medizinprodukteumfeld tätig und bringt umfassende Expertise aus verschiedenen Positionen dieser Branche mit. Seine berufliche Laufbahn begann als Ingenieur für Biomedizinische Technik in der Grundlagenentwicklung komplexer aktiver Medizinprodukte. Anschließend arbeitete er mehr als zehn Jahre in der Softwareentwicklung für Medizinprodukte, wo er sich intensiv mit regulatorischen Anforderungen auseinandersetzte. Diese Erfahrungen führten ihn ins Qualitätsmanagement, wo er als Qualitätsmanagementbeauftragter (QMB) unter ISO 13485 in einem Großkonzern auch internationale Projekte verantwortete.

Heute unterstützt Christian Rosenzweig als Berater für Medizinproduktehersteller das Team des Johner Instituts. Sein Fokus liegt dabei auf der Integration von IT-Sicherheit in den Produktlebenszyklus von Medizinprodukten. Als absoluter Enthusiast seines Fachgebiets referiert er regelmäßig zu regulatorischen Anforderungen, Cybersicherheit und praktischen Umsetzungsstrategien für Hersteller. Seine Arbeit verbindet technisches Know-how mit praxisnaher Beratung zur Einhaltung gesetzlicher Vorgaben.

Leon Holub ist ein Software-Experte mit Erfahrung in den Bereichen digitale Gesundheit und Cybersicherheit. Er arbeitet seit mehr als 10 Jahren in verschiedenen Positionen rund um die Softwareentwicklung, entwickelt komplexe Anwendungen und leitet Teams sowohl als Freiberufler als auch als Festangestellter. Seit Anfang 2023 unterstützt Leon Holub das Johner Institut in der Entwicklung der eigenen Softwareprodukte, zunächst als Entwickler und anschließend als Product Owner des Regulatory Radar.

Cybersecurity-Risikoerkennung bei Medizinprodukten: Tools und Methoden von Threat Modeling bis Penetration Testing

Die zunehmende Vernetzung und Software-Komplexität moderner Medizinprodukte bringt neue Herausforderungen in der Cybersicherheit mit sich. Regulatorische Anforderungen – insbesondere aus der MDR, der FDA sowie internationalen Normen wie der IEC 81001-5-1 – fordern von Herstellern systematische Verfahren zur Identifikation und Minimierung von Securityrisiken. In diesem Vortrag werden praxisnahe Werkzeuge vorgestellt, die eine effektive Umsetzung dieser Anforderungen unterstützen.

Der Fokus liegt auf der Tool-gestützten Risikoidentifikation und -bewertung mittels IriusRisk für die automatisierte Threat Modeling Analyse sowie auf der Auswahl und dem Einsatz geeigneter Werkzeuge für Fuzz Testing und Penetration Testing. Diese Methoden dienen nicht nur der Verifikation sicherheitsrelevanter Softwarefunktionen, sondern sind zunehmend auch Bestandteil behördlicher Anforderungen. Anhand konkreter Anwendungsbeispiele wird gezeigt, wie diese Tools in der Praxis eingesetzt werden können, welche Herausforderungen typischerweise auftreten und wie die erzeugten Ergebnisse effektiv in den Risikomanagementprozess integriert werden.

Ziel ist es, Verständnis für die Rolle moderner Cybersecurity-Tools im Lebenszyklus eines Medizinprodukts zu vermitteln.

Referentin: Verena Wieser, Lorit Consultancy GmbH

Verena arbeitet seit 10 Jahren im Bereich Medizinprodukte und ist auf Software as a Medical Device (SaMD) spezialisiert.

Als Software-Engineer konnte sie praktische Erfahrung im Softwarelebenszyklus von der initialen Anforderungsformulierung, über die Implementierung von Anforderungen bis hin zum Testen von Software sammeln. Ein besonderer Fokus lag dabei auch auf der Validierung nach dem GAMP 5 Standard.

Nach ihrer Tätigkeit als Software-Engineer wechselte Verena in den Bereich Qualitätsmanagement/ Regulatory Affairs und arbeitete in Projekten zur kontinuierlichen Verbesserung der QMS-Prozesse, insbesondere des Software-Entwicklungsprozesses nach IEC 62304 und dem Risikomanagementprozesse nach ISO 14971, mit.

Seit 3,5 Jahren arbeitet sie als Medical Device Consultant und unterstützt Kunden mit den unterschiedlichsten Produkten bei der Identifizierung und Umsetzung der Anforderungen. Gerade in den letzten beiden Jahren lag der Fokus dabei immer öfter auf Cybersecurity und der Erstellung der notwendigen Dokumentation und der Planung und Durchführung von Cybersecurity Tests. In regelmäßigen Schulungen erklärt sie die Umsetzung der anwendbaren Regularien und Standards und informierte über Änderungen an Regularien..

Als interne Auditorin führte sie interne Audits für die MDD, MDR, MDSAP und die Standards 9001 und 13485 durch.

Cybersicherheit aus der Sicht eines Spitals

Vernetzte medizinische Systeme bilden das Rückgrat der modernen Patientenversorgung. Am Beispiel des Kantonsspitals Winterthur wird aufgezeigt, wie eine große Anzahl vernetzter Medizinprodukte und Softwarelösungen unter den Anforderungen der europäischen Medizinprodukteverordnung (MDR) und der Schweizer Medizinprodukteverordnung (MepV) beschafft, in Betrieb genommen und betrieben wird.

Der Vortrag beleuchtet zentrale Fragestellungen entlang des Lebenszyklus: Wie kann die Beschaffung regulatorisch konform und gleichzeitig effizient gestaltet werden? Welche Anforderungen sind bei Inbetriebnahme und im Betrieb zu beachten? Erkenntnisse aus einem Behördenaudit illustrieren, welche Themen für Gesundheitseinrichtungen und Hersteller entscheidend für eine erfolgreiche Zusammenarbeit sind.

Der Beitrag gibt einen praxisnahen Einblick in die Arbeit von Spitälern und möchte zur effizienten und vertrauensvollen Kooperation zwischen Betreibern und Herstellern anregen.

Referent: Charles Tima, Kantonsspital Winterthur

Charles leitet die Medizininformatik im Kantonsspital Winterthur und ist für das Lifecycle Management und den Betrieb vernetzter medizinischer Systeme und Anwendungen verantwortlich.
Mit seinem Hintergrund in Halbleitersensorik, technischem Marketing und Produktmanagement entwickelt er innovative Ansätze und Lösungen für stark regulierte Gesundheits- und Automobilmärkte.

Er hat einen Abschluss in Elektronik von der Fachhochschule Technikum Wien.

Static Application Security Testing durch Sichere Statische Analyse

Die statische Codeanalyse hat sich zu einer Standardtechnik im Entwicklungsprozess sicherheitskritischer Software entwickelt. Ihre formale Methode, Abstract Interpretation, unterstützt formale Zuverlässigkeitsnachweise, die zeigen, dass kein Fehler der abgedeckten Fehlerklassen übersehen wird. Sie kann angewandt werden, um die Einhaltung von Codierrichtlinien und das Fehlen kritischer Schwachstellen nachzuweisen, einschließlich „unverzeihlicher Fehler“ wie Pufferüberläufe, Datenwettläufe und weitere Laufzeitfehler. Die Abwesenheit solcher Schwachstellen ist nicht nur Teil von Safety- und Security-Anforderungen sicherheitskritischer Systeme, sondern wird auch vom europäischen Cyber Resilience Act (CRA) und US-amerikanischen CISA-Alerts explizit gefordert. Der Vortrag stellt die Methodik der Abstrakten Interpretation mit ihrer Anwendung zur sicheren Interferenzanalyse vor, wodurch nicht nur Laufzeitfehler ausgeschlossen werden können, sondern auch komplexe flussabhängige Cybersicherheitsschwachstellen auf Quellcode-Ebene entdeckt werden können. Hierdurch ist insbesondere auch eine sichere Abdeckung von Codierrichtlinien wie MISRA C/C++, CWE, oder CERT C/C++ möglich. Wir stellen experimentelle Ergebnisse anhand der weit verbreiteten Juliet-Benchmark-Suite vor, darunter auch Fehler und Lücken im Bechmark-Design, die durch die Analyse aufgedeckt wurden.

Referent: Dr.  Daniel Kästner, AbsInt GmbH

Dr. Daniel Kästner ist Mitgründer des Unternehmens AbsInt GmbH und seit 2003 Leiter der technischen Entwicklung. Er ist Mitglied der ISO-26262- und IEC-61508-Arbeitsgruppen zur Softwaresicherheit, sowie der MISRA-C- und MISRA-SQM-Arbeitsgruppen. Seine fachlichen Schwerpunkte sind Funktionale Sicherheit, Cybersicherheit, Echtzeitsysteme, sowie Compilerbau und Programmanalyse für eingebettete Systeme. In diesen Interessensgebieten ist Dr. Kästner Autor oder Co-Autor von mehr als 75 begutachteten Publikationen.

Cybersecurity jenseits der Softwareentwicklung – Anforderungen, Integration und Schnittstellen im QMS

Cybersecurity wird häufig primär mit der Softwareentwicklung assoziiert – dabei betrifft sie alle Unternehmensbereiche und insbesondere auch die Qualitätssicherung und deren Prozesse. Dieser Vortrag beleuchtet praxisnah, wie Cybersecurity-Aktivitäten über die Entwicklung hinaus systematisch im Qualitätsmanagementsystem (QMS) verankert werden können. Anhand regulatorischer Anforderungen (z. B. GSPRs, NIS-2) und konkreter Beispiele werden zentrale Schnittstellen zwischen IT, Entwicklung, Lieferantenmanagement und Post-Market-Surveillance identifiziert und praktische Handlungsempfehlungen zur Integration gegeben.
Im Fokus stehen organisatorische Maßnahmen wie der Aufbau von Verantwortlichkeiten, Risikomanagement, technische Dokumentation, Incident-Response-Pläne und externe Reporting-Mechanismen. Der Vortrag richtet sich an Fach- und Führungskräfte aus Qualitätsmanagement, Regulatory Affairs und IT, die eine ganzheitliche Cybersicherheitsstrategie etablieren wollen.

Referent: Julian Alpers, seleon GmbH

Julian Alpers hat einen Master of Science in Computervisualistik von der Otto-von-Guericke-Universität Magdeburg, den er von Oktober 2011 bis Mai 2018 absolvierte. Nach seinem Abschluss arbeitete er von September 2017 bis Oktober 2018 als Software-Entwicklesr bei Surpath Medical GmbH in Würzburg. Dort sammelte er Erfahrung in VTK und Bildverarbeitung und absolvierte einen fünfmonatigen Auslandseinsatz in China.
Von November 2018 bis Dezember 2022 war er forschender Doktorand an der Otto-von-Guericke-Universität Magdeburg und spezialisierte sich auf minimal-invasive Bildgebung, wobei er Expertise in Python und C++ entwickelte. Von Juli 2021 bis Juli 2023 arbeitete er als Softwareprojektmanager bei InLine-Med GmbH in Magdeburg, wo er medizinische Bildgebungsprojekte leitete und die Umsetzung von IEC 62304 implementierte und koordinierte.
Seit Oktober 2023 ist Julian Alpers bei der seleon GmbH tätig und spezialisiert sich auf die Produktsicherheit im Rahmen der IEC 81001-5-1, MDCG 2019-16 und den relevanten FDA Guidances, sowie im Bereich Künstlicher Intelligenz in Software und dem Umgang mit dem AI Act.

News from Brussels vs. Realität vor Ort – Cybersicherheit, KI und der EU-Aktionsplan im Praxistest

In diesem Vortrag stellen wir die Kernaussagen zweier aktueller EU-Berichte zu KI und Cybersicherheit im Gesundheitswesen vor und diskutieren diese im Interview mit einem erfahrenen Mediziner. Gemeinsam hinterfragen wir, wie realistisch die Umsetzung des EU-Aktionsplans in der komplexen deutschen Krankenhauslandschaft ist – und beleuchten dabei sowohl Herausforderungen als auch Chancen. Unser Ziel ist es, nicht nur Defizite in der Digitalisierung aufzuzeigen, sondern auch konkrete Ansätze für gemeinsame Aktivitäten zu skizzieren, die Workflows in Gesundheitseinrichtungen verbessern und damit allen zugutekommen, die auf ein funktionierendes Gesundheitssystem angewiesen sind.

Referentin: Dr. Filipa Campos-Viola, FSQ Experts

Dr. Filipa Campos-Viola ist als Medical Device Expert bei der Firma FSQ Experts tätig. Dort befähigt sie Medizintechnikunternehmen mit konkreten und pragmatischen Lösungen, um Know-How- oder Ressourcenengpässe in Bereichen wie Risk Management, Regulatory Affairs oder System Engineering zu schließen. Sie ist qualifiziert als Regulatory Affairs Managerin (TÜV SÜD) und ihre Interessen liegen dabei, innovative Medizinprodukte sicher und konform auf den Markt zu bringen, die Kompetenz der Entwicklungs-, Qualitäts- und Produktmanagement-Teams zu erhöhen und zu einer nachhaltigen Konformität beizutragen.

From Compliance to Code: Secure-by-Design and Secure Development under the CRA

The EU Cyber Resilience Act (CRA) introduces strict obligations for secure software development—but how do we move from legal text to actual code?
This session demystifies CRA requirements by showing how to embed security across the SDLC: from secure architecture and threat modeling to SAST/DAST, fuzzing, SBOM generation, and DevSecOps pipelines.
You’ll learn how to turn “Secure-by-Design” from a buzzword into reality using real tools, frameworks, and processes aligned with CRA compliance.
We’ll also cover key documentation and reporting practices, common mistakes in technical implementation, and how to collaborate effectively across engineering, security, and compliance teams.
Instead of a checklist, this talk offers a practical blueprint to make CRA a driver for product quality and market trust.

Referent: David Soto, ERNI

„No matter the language, developer, CTF addict, cybersecurity enthusiast since 1983, and eternal hacker in progress. His mission is to find solutions to complex problems. Also known as „Master Yoda“ by his peers, he strives to foster lateral thinking, the enthusiasm to take on challenges, and a culture of continuous learning in his quest to make the world a better place. „If knowledge is not shared, it is lost“ is another of his principles. Because of this, he is willing to teach everything he knows to anyone who wants to learn. Recently, he joined ERNI to help companies improve their software security, programming, raise awareness, or teach engineers about secure coding.“

Weniger Fuzz, mehr Fokus: Security-Architekturen gezielt analysieren

In komplexen Systemarchitekturen stoßen klassische Cybersecurityanalysen (e.g. HEAVENS) und Fuzzing-Ansätze schnell an ihre Grenzen – sowohl bezüglich Kosten als auch Effektivität. Am Beispiel eines realen Projekts zeigen wir, wie wir mit einer selbstentwickelten „Inside-Out“-Methodik effektiv Trust Boundaries etabliert, kritische Pfade sichtbar gemacht und die Angriffsoberfläche systematisch reduziert haben.
Das Vorgehen ermöglicht nicht nur gezieltes Fuzz-Testing und effiziente Pentesting-Vorbereitung, sondern führt auch zu einer deutlich besseren Balance zwischen Cybersecurity und wirtschaftlichem Aufwand. Der Vortrag vermittelt die zugrunde legende Methodik, zentrale Erkenntnisse aus der Praxis und zeigt, wie sich Cybersecurity in komplexen Architekturen pragmatisch und wirksam umsetzen lässt.

Referent: Stefan Akatyschew, cogitron GmbH

Stefan Akatyschew ist Consultant für funktionale Sicherheit, Cybersecurity und Software-Engineering mit Schwerpunkt auf sicherheitskritischen eingebetteten Systemen. Er unterstützt Unternehmen in den Branchen Automotive, Defense und Medtech praxisnah an regulatorische Anforderungen ISO/SAE 21434 oder ISO 26262 anzupassen. In Projekten bringt er technisches Know-how aus der Embedded-Entwicklung, Erfahrung mit Cybersecurity-Risikoanalysen sowie ein gutes Verständnis für die Schnittstelle zwischen Entwicklung und Assessment/Audits ein. Ein besonderer Fokus liegt darauf, nachvollziehbare und gleichzeitig umsetzbare Lösungen für normkonformes Design zu entwickeln.

Risikomanagement für die Verwendung von Machine Learning in der künstlichen Intelligenz

Die rasante Entwicklung von KI-Technologien, insbesondere des maschinellen Lernens, hat die Medizinproduktebranche revolutioniert. Um den damit verbundenen Risiken gerecht zu werden, entwickelt die Internationale Organisation für Normung (ISO) die technische Spezifikation ISO/TS 24971-2 – als Ergänzung zur ISO 14971.

ISO/TS 24971-2 wird eine spezifische Leitlinie zur Anwendung der Risikomanagementprozesse gemäß ISO 14971 auf ML-gestützte Medizinprodukte (MLMD).
Sie modifiziert nicht die Anforderungen der ISO 14971, sondern erweitert sie um Aspekte, die für KI-Systeme relevant sind – etwa Datenmanagement, algorithmische Verzerrungen, Informationssicherheit und die kontinuierliche Anpassung von ML-Modellen. Sie ist als technische Spezifikation konzipiert und befindet sich derzeit im finalen Genehmigungsstadium.

Der Vortrag gibt Ihnen eine detaillierte Übersicht über das Risikomanagement für die Verwendung von Machine Learning in der künstlichen Intelligenz und stellt den aktuellen Stand der ISO/TS 24971-2 vor. Hintergrundinformationen zur Entstehung der technischen Spezifikation und Beispiele aus der Praxis runden den Vortrag ab.

Ziel des Vortrags ist es, Herstellern, insbesondere Entwicklern und Risikomanagern ein klares Verständnis für die Umsetzung eines normenkonformen und zukunftsfähigen Risikomanagementsystems zu vermitteln – mit besonderem Fokus auf die Sicherheit und Leistungsfähigkeit von Machine Learning in der künstlichen Intelligenz.

Referent: Randolph Stender, NSF PROSYSTEM GmbH

Randolph Stender ist seit über zwei Jahrzehnten als General Manager und Berater bei der NSF PROSYSTEM GmbH tätig. In dieser Rolle unterstützt er erfolgreich kleine, mittelständische sowie große nationale und internationale Hersteller von Medizinprodukten bei regulatorischen Fragestellungen.

Als aktives Mitglied in verschiedenen Normungsgremien – darunter DKE, NAMed und ISO/TC 210 – engagiert sich Randolph Stender seit mehr als 15 Jahren in der Entwicklung und Weiterentwicklung zentraler Normen wie ISO 13485 und ISO 14971, die weltweit als Grundlage für Qualitäts- und Risikomanagementsysteme in der Medizintechnik gelten.

Neben seiner beratenden Tätigkeit ist er ein gefragter Referent und Schulungsexperte. Er vermittelt regelmäßig Fachwissen zu regulatorischen Anforderungen, Normen und Best Practices in der Medizintechnik – unter anderem für DIN Media, die TÜV SÜD Akademie, den BVMed sowie der NSF-Akademie. Zu seinen Schulungsteilnehmern zählen Medizinproduktehersteller, Pharmaunternehmen, Behörden und Benannte Stellen.

Mit seiner langjährigen Erfahrung, seinem tiefen Verständnis für regulatorische Zusammenhänge und seinem Engagement in der Normungsarbeit zählt Randolph Stender zu den führenden Experten im Bereich der Medizintechnik.

CRA – Risikomanagement und Überwachung

Mit Inkrafttreten des Cyber Resilience Act (CRA) stehen Hersteller digitaler Produkte vor der Herausforderung, regulatorische Anforderungen systematisch in ihre Entwicklungs- und Betriebsprozesse zu integrieren. Bereits ab Ende 2026 müssen Hersteller – auch von digitalen Produkten aktuell im Markt – erste Anforderungen (u.a. Schwachstellenüberwachung) erfüllen.

Durch den CRA muss für das Produkt eine Risikobewertung auf Grundlage der Cyber Security durchgeführt, dokumentiert und über den gesamten Lebenszyklus überwacht werden. Aber was muss bewertet werden, wie dokumentiert man es und was muss wie überwacht werden?

In diesem Vortrag erfahren sie, was Assets sind und wie man diese ermittelt. Was mit Threat Modelling erfasst wird und wie man mit Cyber Security Risk Assessment eine Bewertung durchführt. Desweiterem wird erklärt, was überwacht werden muss und wie deren Durchführung aussehen kann. Zudem werden die zeitlichen Rahmen für Meldungen wegen Sicherheitsvorfällen laut CRA erläutert.

Ziel ist es, ein grundlegendes Fundament zu erhalten auf dem man aufbauen kann, um die Anforderungen des CRA zu schaffen und erste Umsetzungsschritte greifbar zu machen.

Zielgruppe: Alle Verantwortlichen, die in Ihrem Unternehmen dafür Sorge tragen müssen, dass die Anforderungen der CRA umgesetzt werden bzw. diejenigen die diese Anforderungen umsetzen müssen.

Referent: Michael Friedl, infoteam Software AG

Michael ist seit knapp drei Jahrzenten als Entwickler tätig und verfügt über umfassende Erfahrung in verschiedenen Bereichen der Softwareentwicklung. Sein Fachwissen erstreckt sich von Embedded über Middleware, Frontend- und Backend-Programmierung sowie Soft- und Hardware-Architektur. Seit fast acht Jahren verstärkt er das Team der infoteam Software AG. In den letzten drei Jahren hat er sich auf die Beratung im Bereich Cyber Security spezialisiert, insbesondere für industrielle und medizinische Produkte.

IT-Sicherheit durch Secure Software Development Lifecycle

Die zunehmende Vernetzung von Medizinprodukten macht Cybersecurity zu einem entscheidenden Aspekt der Patientensicherheit. Regulatorische Anforderungen wie die EU-MDR sowie die Vorgaben der FDA fordern ausdrücklich die Umsetzung eines sicheren Software Development Lifecycle. Dieser versteht Sicherheit nicht als nachträgliche Ergänzung, sondern als integralen Bestandteil jedes Entwicklungsschrittes.
In diesem Vortrag wird aufgezeigt, wie der SSDLC nach IEC 81001-5-1 beschrieben ist und wie er praktisch in die Produktentwicklung integriert werden kann. Der Fokus liegt dabei auf der Softwareentwicklung gemäß IEC 62304. Schritt für Schritt werden die dort definierten Tätigkeiten, von Planung und Anforderungsanalyse über Architektur und Implementierung bis hin zu Test, Release und Wartung, betrachtet und um Cybersecurity-Aspekte erweitert.
Dabei werden sowohl methodische Ansätze wie Bedrohungsmodellierung, sichere Architekturprinzipien und Secure Coding Guidelines als auch organisatorische Maßnahmen wie Rollen, Prozesse und Post-Market-Surveillance beleuchtet. Ziel ist es, einen praxisnahen Leitfaden aufzuzeigen, wie Hersteller die regulatorischen Anforderungen erfüllen und gleichzeitig die Sicherheit ihrer Produkte nachhaltig stärken können.

Referent: Sebastian Wittor, BAYOOMED GmbH

Sebastian Wittor arbeitet als Projektleiter bei der BAYOOMED GmbH und ist verantwortlich für die Entwicklung von medizinischen software- und hardwaregestützten Behandlungseinheiten gemäß MDR Klasse I – III und FDA-Anforderungen. Er unterstützt namhafte Unternehmen bei der Entwicklung neuer Medizinprodukte von der Idee über die Entwicklung und den Marktzugang bis zur Entsorgung. Gleichzeitig leitet er die Cybersecurity-Abteilung des Unternehmens und ist damit hauptverantwortlich für die Sicherheit aller im Unternehmen entwickelten Medizinprodukte. Gemeinsam mit seinem Team ist er für die Absicherung von Medizinprodukten über deren gesamten Lebenszyklus verantwortlich. Dazu gehören neben der Konzeptentwicklung auch die Risikoanalyse, die Definition und Umsetzung von Gegenmaßnahmen, die Sicherheitsvalidierung und die Post-Market-Surveillance-Aktivitäten.

Compliance, Chaos oder Chance? IT-Sicherheitsüberprüfung und die Herausforderungen für Betreiber

Mit der Novellierung der Medizinprodukte-Betreiberverordnung (MPBetreibV) 2025 wird zum 1.8.25 eine verpflichtende IT-Sicherheitsüberprüfung für bestimmte Medizinprodukte-Software festgeschrieben. Betreiber von Software der Klassen IIb und III (MDR) sowie C und D (IVDR) müssen regelmäßig – mindestens alle zwei Jahre oder anlassbezogen – die IT-Sicherheit ihrer Systeme überprüfen bzw. überprüfen lassen.

Der Vortrag vermittelt einen praxisnahen Überblick zu den neuen gesetzlichen Vorgaben: Welche Software ist konkret betroffen? Was sind die neuen Prüffristen und was muss dokumentiert werden? Welche Anforderungen ergeben sich aus dem Begriff der „allgemein anerkannten Regeln der Technik“ – und wie lassen sich diese in der Klinik- und IT-Alltag umsetzen?

Der Vortrag greift zudem erste Praxiserfahrungen aus Anfragen bei Herstellern und Betreibern auf: Wie reagieren Hersteller, wo gibt es noch Unsicherheiten und welche Unterlagen sind ggf. schwer erhältlich oder unvollständig? Wo bestehen Herausforderungen, etwa beim Übergang zwischen Hersteller- und Betreiberverantwortung, oder bei der Umsetzung der vorgeschriebenen Prüffrequenz und Nachweispflicht?

Abgerundet wird der Beitrag mit Empfehlungen und Best Practices zur Umsetzung der neuen Prüfpflicht – von Standardisierungshilfen und Checklisten bis zur nachhaltigen Einbindung in interne Prozesse.

Referenten: Marco Nagel und Nicolai Stracke, Sana MTSZ

Marco Nagel ist Referent für IT-Sicherheit in der Medizintechnik bei Sana MTSZ in der Metropolregion Berlin/Brandenburg, wo er seit März 2023 tätig ist. Zuvor war er unter anderem als IT-Projektmanager bei den Sana Kliniken Berlin-Brandenburg sowie als Teamleiter Zahlungsverkehr bei der DKB Service GmbH beschäftigt. Seine langjährige Erfahrung umfasst auch Rollen als Projektleiter IT und Softwareentwickler in verschiedenen Unternehmen der Finanz- und Medizintechnikbranche. Neben seiner IT-Expertise engagiert er sich seit mehreren Jahren in der Kinderstation der Sana Kliniken. Sein beruflicher Fokus liegt auf der sicheren und effizienten Umsetzung von IT-Projekten in der Medizintechnik, wobei er die Schnittstellen zwischen Technologie und Gesundheitswesen maßgeblich gestaltet.

Ich bin Nicolai Stracke, gelernter IT-Systemelektroniker mit langjähriger Erfahrung in der Medizintechnik. Bereits zu Beginn meiner Laufbahn wurde mir bewusst, wie essenziell die Verbindung von IT und Medizintechnik für einen reibungslosen Krankenhausbetrieb ist. Über acht Jahre war ich als Servicetechniker tätig und habe umfassende Erfahrungen in verschiedensten Geräteklassen gesammelt, zuletzt mit Schwerpunkt auf Narkose- und Beatmungseinheiten.Seit Dezember 2022 arbeite ich im Kompetenzcenter der Sana MTSZ, wo ich mich gemeinsam mit meinem Team auf die IT-Sicherheit von Medizinprodukten spezialisiere. Unser Ziel ist es, die Synergien zwischen IT und Medizintechnik optimal zu nutzen, um Sicherheitsstandards weiterzuentwickeln und innovative Lösungen voranzutreiben.

Bedrohungsmodellierung für KI-Komponenten – Beispielhafte Sicherheitsbewertung im Spannungsfeld von CRA und AI Act

Seitdem der Cyber Resilience Act und der AI Act im Jahr 2024 aufeinander Bezug nehmen, stehen Akteure aus der Medizintechnik, der Automobilindustrie und der Industrieautomation vor der Frage, wie sich die daraus resultierenden Anforderungen konkret umsetzen lassen. Die Verzahnung von Cybersecurity und Künstlicher Intelligenz erfordert Fachwissen in beiden Bereichen – eine Kombination, die in der Praxis oft schwer zu finden ist, da entsprechend qualifiziertes Personal rar ist. Eine Methode aus der Cybersecurity, ist die Bedrohungsmodellierung. In diesem Vortrag zeigen wir anhand eines Minimalbeispiels, wie sich diese Methode anwenden lässt. Das Beispiel fokussiert auf eine KI-Komponente und veranschaulicht, wie bestehende Bedrohungsmodellierungsprozesse genutzt und gezielt erweitert werden können, um den neuen regulatorischen Anforderungen gerecht zu werden.

Referent: Stefan Strang, NewTec GmbH

Stefan Strang ist ausgebildeter Mechatroniker und studierte Informatik in Freiburg und IT-Security am Karlsruher Institut für Technologie (KIT). In seiner Forschung beschäftigte er sich mit Angriffen auf KI-Systeme und der Frage, ob sich Hintertüren in Verfahren zur Autorschaftserkennung einschleusen lassen.

Nach dem Studium arbeitete er als Berater für Informationssicherheit im Umfeld eines Energieversorgers und gewann dabei Einblicke in die Sichtweise von Betreibern kritischer Infrastrukturen. Heute ist er als Cyber Security Specialist im Bereich Produktsicherheit tätig, mit Fokus auf Sicherheitsprozesse und Bedrohungsmodellierung.

Seine Laufbahn vereint Erfahrungen aus der Perspektive von Integratoren, Betreibern und Herstellern sicherheitsrelevanter Produkte – und ermöglicht ihm, komplexe Themen an der Schnittstelle von Künstlicher Intelligenz und Cyber-Security-Prozessen verständlich und praxisnah zu vermitteln.

Vom Risiko zur Realität: Wie Threat Modeling und Vulnerability Analysen gemeinsam medizinische Systeme sicherer machen

Die zunehmende Vernetzung medizinischer Geräte stellt Hersteller und Betreiber vor neue Herausforderungen: Sicherheitslücken können nicht nur Daten gefährden, sondern direkt die Patientensicherheit beeinträchtigen. In diesem Vortrag zeigen wir, wie sich Threat Modeling und Vulnerability Analysen gezielt kombinieren lassen, um systematisch Risiken zu identifizieren, zu bewerten und wirksam zu reduzieren.

Anhand eines praxisnahen Beispiels aus der Medizintechnik demonstrieren wir, wie Bedrohungen frühzeitig im Entwicklungsprozess modelliert und mit realen Schwachstellen – z. B. aus CVE-Datenbanken oder statischer Codeanalyse – in Verbindung gebracht werden können. Der vorgestellte Ansatz verknüpft Thread Modeling Methoden mit gängigen Risikobewertungsverfahren aus funktionaler Sicherheit und Cybersecurity. Zusätzlich zeigen wir auf, wie sich diese Prozesse in ein Secure Development Lifecycle (SDLC) integrieren lassen.

Teilnehmende erhalten konkrete Handlungsempfehlungen zur Verbesserung ihrer Sicherheitsprozesse und erfahren, wie regulatorische Anforderungen (z. B. IEC 81001-5-1, ISO 14971, MDR/FDA) durch eine integrierte Sicherheitsanalyse besser erfüllt werden können.

Referent: Tim Jones, exida.com GmbH

Herr Tim Jones ist als Functional Safety und Cybersecurity Consultant bei der exida.com GmbH tätig. Er verfügt über mehr als 15 Jahre an Erfahrung in den Bereichen Systems und Software Engineering, Signalverarbeitung und Projektmanagement für sicherheitsrelevante Produkte.
Herr Jones studierte an der Fakultät für Elektrotechnik und Informationstechnik der TU Dresden. Nachdem er 2007 seine berufliche Laufbahn bei der Corscience GmbH & Co. KG in der Medizintechnik begonnen hatte, wechselte er 2013 als Experte für Funktionale Sicherheit zur Elektrobit Automotive GmbH. Seit 2016 ist Herr Jones bei der exida.com GmbH tätig. Sein Fokus liegt hier sowohl auf der Medizintechnik als auch der Automobilindustrie. Herr Jones ist außerdem Mitglied der VDI Medical SPICE Standardisierungsgruppen.

„There Is No Try“ – Warum Cybersicherheit in der Medizintechnik keine Kompromisse erlaubt

Zielgruppe
Der Vortrag richtet sich an Hersteller, Betreiber, Risikomanager*innen und IT-Verantwortliche im Gesundheitswesen, die Cybersicherheit nicht länger als Option, sondern als Voraussetzung für sichere Medizintechnik verstehen wollen.

Kurzbeschreibung
Die zunehmende Digitalisierung im Bereich der Medizintechnik eröffnet große Potenziale, bringt aber auch Risiken mit sich. Vernetzte Medizinprodukte sind zunehmend Angriffsziel in einer komplexen Bedrohungslage.
Doch trotz dieser Entwicklung beobachten wir immer noch zögerliches Handeln und reaktive Sicherheitsstrategien. Und die immer stärker in den Vordergrund rückende Künstliche Intelligenz macht es nicht besser…
Getreu dem Grundsatz „Do. Or do not. There is no try.“ zeigt dieser Vortrag, warum Cybersicherheit in der Medizintechnik keinen Raum für Aufschub oder Experimente lässt – sondern konsequent, strukturiert und verbindlich umgesetzt werden muss. Ein „Wir versuchen es mal“ reicht nicht aus, wenn Patientensicherheit, Versorgungskontinuität und regulatorische Konformität auf dem Spiel stehen.

Referent: Hans Wenner, VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V.

Hans Wenner ist Dipl.-Ing. Elektrotechnik. Nach Stationen in der Industrie, bei einer Benannten Stelle und über 20 Jahren selbstständiger Tätigkeit beschäftigt er sich beim VDE mit der praktischen Umsetzung regulatorischer und normativer Anforderungen für Medizinprodukte und Software. Er ist langjähriges aktives Mitglied in einschlägigen nationalen und internationalen Standardisierungsgruppen und hat verschiedenste Publikationen veröffentlicht.

Wie AI den Markt verändert und welche Herausforderungen ergeben sich für die Produktsicherheit

Mit dem Inkrafttreten des Cyber Resilience Act (CRA) werden über Medizinprodukte hinaus Regulierungslücken im Bereich Cybersecurity seitens der EU immer weiter geschlossen. Alle digitalen, vernetzten Produkte, unabhängig von ihrem Sektor, werden künftig verpflichtenden Anforderungen an Cybersicherheit, Risikoanalyse, Schwachstellenmanagement und Updatefähigkeit unterliegen. Insbesondere Start-ups und KMUs, die mithilfe von AI-, Vibe Coding oder (Low-/No-Code-Lösungen) schnell digitale Anwendungen erzeugen, rücken ins regulatorische Visier. Es besteht die Notwendigkeit, die mit dieser Automatisierung einhergehenden Sicherheitsrisiken zu kontrollieren. Der CRA soll gewährleisten, dass keine vernetzen Produkte ohne dokumentierte und überprüfbare Cybersicherheitsmaßnahmen auf den Markt gebracht werden können.
Dieser Vortrag erläutert die regulatorische Bedeutung des CRA auch im Zusammenhang mit der IEC 81001-5-1, ebenso wie sich die Marktlage durch neue AI-Möglichkeiten verändert. Es werden Stärken und Herausforderungen von AI unterstützen Anwendungen vorgestellt, sowie was notwendig ist, um von diesen Trends optimal zu profitieren.

Referent: Alexander Müller, sepp.med gmbh

Alexander Müller berät im Namen von sepp.med Medizinproduktehersteller bei regulatorischen und Cybersecurity-relevanten Themen. Während und nach seinem Abschluss in digitaler Medizin hat er als Regulatory Affairs Manager und Berater mehrere Medizinproduktehersteller bei der Zulasssung unterstützt. Bei sepp.med fokussierte er sich auf digitale Produkte sowie Cybersecurity. Kernschwerpunkte sind NIS-2, Process-automation und Managementsysteme.

Pentesting – Security vs Safety für Medizingeräte

Moderne Medizintechnik ist smart, connected und hält mit der Digitalisierung Schritt.
Zu den ohnehin schon hohen Anforderungen aus Seiten der Gerätesicherheit (Safety)
kommen zunehmend auch Herausforderungen an Informationssicherheit (Security).
In meinem Vortrag möchte ich auf Bedrohungen für Medizingeräte eingehen und das
vorgehen von Hackern und Pentestern erläutern. Dabei werden Fragen wie
„Wie gehen Angreifer vor?“,
„Wie unterscheiden sich Pentests von realen Angriffen“,
„Wo rettet Safety die Security?“ oder
„Wo liegen die Fallstricke von Security in Hardware-Produkten“
anhand von Beispielen und Erfahrung aus der Praxis beantwortet und erläutert.
Dabei liegt der Focus auf Embedded Systems mit Uplink zur Cloud.

Referent: Maximilian Heichler, SCHUTZWERK GmbH

Maximilian Heichler ist seit 2020 bei der SCHUTZWERK GmbH als Senior Security Consultant tätig.
Durch seine Spezialisierungen sowohl in Embedded Systems Security als auch Cloud Security ist IoT fester Bestandteil seines Alltags.
Das dort erlangte Wissen gibt er ebenso gerne weiter und engagiert sich nebenberuflich als Dozent. Schwerpunkte sind Themen aus den Schnittstellen zwischen Security, Elektrotechnik und Kommunikationstechnik.

Fuzzware: Vollautomatisiertes Fuzz Testing für embedded Software

Fuzz Testing (Fuzzing) ist eine automatisierte Testtechnik für die Zuverlässigkeit und die Sicherheit von Software. Hierbei wird die Software mit Millionen automatisch generierter Eingaben befüttert, die systematisch Fehler in der Eingabevalidierung aufspüren. Fuzzing hat bereits zentausende Sicherheitslücken in genereller Software wie Webbrowser aufgespürt.

In diesem Vortrag stellt Tobias Fuzzware vor, eine Technik, die das Fuzz Testing auch für embedded Software erlaubt. Fuzzware erreicht dies, indem es automatisch die Hardware des Geräts simuliert. Das erlaubt das Fuzzing komplett ohne ein physisches Gerät, was zum einen die Skalierung der Fuzz Tests auf hochperformante Server erlaubt und zum anderen das Fuzzing smart und messbar macht. Dies erlaubt die Einhaltung von IT-Sicherheitsnormen, die eine Überprüfung der Eingabevalidierung vorschreiben.

Tobias wird als Experte einen Überblick über das Thema Fuzzing geben und dann auf die Techniken von Fuzzware zur vollautomatisierten Hardwaresimulation vorstellen, die das Fuzzing von embedded Software ermöglichen. Daraufhin schauen wir uns Sicherheitslücken an, die Fuzzware identifiziert hat und demonstrieren einen End-to-End Exploit, der einem Angreifer die komplette Kontrolle über ein Gerät gewährt.

Referent: Tobias Scharnowski, CISPA Helmholtz-Zentrum für Informationssicherheit

Tobias Scharnowski ist ein IT-Sicherheitsforscher für eingebettete Systeme am CISPA. Er leitet das Gründungsprojekt Fuzzware, welches eine Technik für automatisierte Sicherheitstests für Geräte-Firmware via Fuzz Testing entwickelt hat. Neben der Forschung gibt Tobias Konferenztrainings und demonstriert regelmäßig Exploits von Geräten bei Pwn2Own. Bei Pwn2Own hat er Exploits von 13 Zielen aus der Industrieautomatisierung und dem Automobilbereich präsentiert. Hierzu gehört ein Exploit des DNP3 Protokolls, welches das Stromnetz der USA steuert.