Die Bedrohungslandschaft im Gesundheitssektor

Die ENISA („European Network and Information Security Agency“: Agentur der Europäischen Union für Cybersicherheit) hat kürzlich einen Bericht über die „Bedrohungslandschaft im Gesundheitssektor“ veröffentlicht.
Er gibt einen Überblick (Zeitraum: Januar 2021 bis März 2023) über die Cybersicherheitsbedrohungen und analysiert die wichtigsten Bedrohungen, die Bedrohungsakteure und -Motive, die Auswirkungen und die sich daraus ergebenden Schlussfolgerungen.
Im Rahmen dieses Vortrags werden die häufigsten Bedrohungen für die Cybersicherheit (wie: Ransomware, Datenschutzverletzungen und -Lecks sowie Angriffe auf die Lieferkette) dargestellt und dargestellt, welche Maßnahmen gegen diese Bedrohungen ergriffen werden können. Klar wird: Cybersicherheit kann nicht allein Sache des Herstellers sein (aber der Hersteller legt die Basis für alles)!
Die durchschnittlichen Kosten eines (größeren) Sicherheitsvorfalls im Gesundheitssektor werden mit 300.000 Euro beziffert!

Struktur des Vortrags:

Der Vortrag stellt zunächst die Inhalte des ENISA-Reports „ENISA THREAT LANDSCAPE: HEALTH SECTOR“ vor.
Darauf basierend wird erarbeitet, welche Maßnahmen möglich sind, die dargestellten Bedrohungen aktiv zu bekämpfen und günstigstenfalls bereit im Vorfeld zu verhindern.
Die dargestellten Lösungen werfen einen Blick auf die vorhandene Normative und regulatorische Landschaft und diskutieren die Frage, ob die vorhandenen Standards ausreichend sind und der dargestellten Bedrohungslage gerecht werden.

Referent: Hans Wenner, VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V.

Hans Wenner ist Dipl.-Ing. Elektrotechnik. Nach Stationen in der Industrie, bei einer Benannten Stelle und über 20 Jahren selbstständiger Tätigkeit beschäftigt er sich beim VDE mit der praktischen Umsetzung regulatorischer und normativer Anforderungen für Medizinprodukte und Software. Er ist langjähriges aktives Mitglied in einschlägigen nationalen und internationalen Standardisierungsgruppen und hat verschiedenste Publikationen veröffentlicht.
Das Unternehmen: Der VDE vermittelt Fachwissen, erarbeitet Normen, bietet Prüf- und Zertifizierungsleistungen und berät bei der Zulassung von Medizinprodukten und Software.

ISO21434 – Der Automotive Standard für Cybersecurity und warum er für die Medizintechnik relevant ist

Durch die immer stärkere Vernetzung der Produkte und den Einsatz von Cloudservices wird es neben der IT-Sicherheit wichtig, die Produkte selbst gegen Cyberangriffe abzusichern. Das verdeutlichen die regelmäßig öffentlich werdenden Sicherheitslücken an realen Systemen.

Idealerweise ist von Herstellern und Lieferanten ein umfassendes Cybersicherheits-Management System (CSMS) umzusetzen. Mit diesem wird sichergestellt, dass über den gesamten Produktlebenszyklus Maßnahmen zur Cybersicherheit systematisch und kontinuierlich geplant und umgesetzt werden. Das schließt Maßnahmen für die Gestaltung einer geeinigten Unternehmenskultur ebenso wie die Definition und Implementierung der erforderlichen Prozesse ein. In vielen Branchen existieren noch keine standardisierten Anforderungen für ein entsprechendes Cybersicherheits-Management System und viele Firmen stehen vor erheblichen Herausforderungen Cybersicherheit für ihre Produkte sicherzustellen.

In der Automobilindustrie wurde im Jahr 2021 der internationale Standard ISO21434 veröffentlicht. Dieser formuliert Anforderungen an ein entsprechendes Management System und kann als zentraler Standard für Cybersicherheit im Automobilsektor bezeichnet werden. Grundlage für den Standard ist die UN Regulation UN ECE R155, welche die Umsetzung eines Cybersicherheits-Management Systems fordert und für Hersteller in der europäischen Union ab Juli 2024 für Neuzulassungen verpflichtend umzusetzen ist. Die kurze Übergangszeit zwischen der Veröffentlichung des Standards und dem Inkrafttreten der UN-Regulation lässt darauf schließen, wie kritisch das Thema für die Industrie ist.

Im Rahmen des Vortrags geben wir einen Überblick über die Struktur und Anforderungen des Standards sowie den Synergien und Unterschieden zur funktionalen Sicherheit (bezgl. zufälliger und systematischer Fehler) nach ISO26262:2018. Abschließend möchten wir darauf eingehen, welche Erkenntnisse sich für die Medizintechnik ableiten lassen und in welchem Maße die ISO21434 in der Medizintechnik als Orientierung für die Sicherstellung der Cyber-sicherheit im Produktlebenszyklus Hilfestellung leisten kann. Hierbei ist nicht zu erwarten, dass der Standard vollständig übertragen werden kann. Vielmehr liegt der Fokus darauf, übergeordnete Prozesse und Anforderungen zu identifizieren, welche branchenübergreifend angewendet werden können und zum heutigen Stand einen Mehrwert für die Entwicklung von Produkten in der Medizintechnik bieten.

Referenten: Stefan Braun und Stephen Cobeldick

Nach dem Abschluss des Studiums mit dem Master im Bereich Wirtschaftsingenieurwesen, habe ich meine berufliche Laufbahn in der technischen Beratung begonnen. Hierbei habe ich mich zunächst mit der funktionalen Sicherheit beschäftigt. Der Fokus lag hierbei zu Beginn auf der Automobilbranche und der Umsetzung der ISO26262:2018. Dabei konnte ich in zahlreichen Projekten und technischen Systemen bei unterschiedlichen Kunden Erfahrungen in der operativen Umsetzung gewinnen und Beratungsprojekte umsetzen. Die Kunden sind dabei vorrangig weltweit agierende Zulieferer und die Projekte somit international aufgestellt. Hinzu kommen Projekte auf Herstellerebene.

Neben der funktionalen Sicherheit sind mittlerweile zusätzlich die Themen „Safety of the intended functionality“ (SOTIF) und Cybersecurity nach ISO21434 in den Schwerpunkt meiner Tätigkeit gerückt.
Im Rahmen meiner Karriere habe ich verschiedene Zertifizierungen erreicht, beispielsweise A-SPICE Provisional Assessor und Automotive Cybersecurity Professional according to ISO21434 (TÜV & SAE).
Neben den Tätigkeiten im Automobilsektor konnte ich bereits erste Erfahrungen in der Medizintechnik und der Entwicklung neuartiger Mobilitätskonzepte sammeln.

OT Cybersecurity für MedTech und Life Sciences

In den letzten Jahren sind MedTech-Unternehmen zu einem bevorzugten Ziel von Cyberangriffen geworden, was zu verheerenden Betriebsunterbrechungen geführt hat. Führungskräfte berichten, dass ihre Organisationen nicht erfolgreich waren, um Cyberkriminelle daran zu hindern, in ihre Systeme einzudringen. Die meisten MedTech-Unternehmen benötigen eine robuste Strategie und Maßnahmen, um sich gegen die vier gängigen Arten von Bedrohungen zu verteidigen und sich damit vor kostspieligen operationellen, sicherheitsbezogenen und finanziellen Risiken zu schützen. Typischerweise verhindern technische, organisatorische und regulatorische Überlegungen, dass Unternehmen angemessen auf Cybersicherheitsbedrohungen reagieren können. Die Landschaft der Anwendungsfälle muss die Bedürfnisse und Anliegen der wichtigsten Persönlichkeiten in der MedTech-Branche berücksichtigen, einschließlich IT und OT mit grundlegenden Unterschieden. Die Digitalisierung schafft Chancen und Risiken, und typische technische und organisatorische Herausforderungen in IT/OT-Cybersicherheit müssen angegangen werden. Siemens bietet einen strategieorientierten und roadmap-getriebenen IT/OT-Sicherheitsansatz an, der an eine Vielzahl organisatorischer Bedürfnisse angepasst werden kann, um zukunftsfähige Netzwerke mit verbesserten Sicherheitselementen vorzubereiten. Sie bieten ein umfassendes Portfolio zur Bewertung und Adressierung der Ransomware-Bereitschaft in einem geschichteten Ansatz, der eine allgemeinere Perspektive auf Cybersicherheit als kombinierte Funktion für IT/OT einnimmt und IT/OT-Infrastrukturen schützt, während sie das Geschäft ermöglichen.

Referent: Dr. med. Leander Fortmann, Siemens Advanta Consulting

Dr. med. Leander Fortmann studierte in Heidelberg, Mexico und Berlin Medizin, promovierte in der Mikrobiologie an der Charité Berlin und arbeitete in der Unfallchirurgie, bevor er zur Boston Consulting Group in die Unternehmensberatung wechselte. Als Healthcare-Experte mit 25 Jahren Erfahrung im Gesundheitswesen betreut er als Principal Expert bei der Siemens Advanta Consulting global Kunden in Medtech, Provider und Life Science zu Themen der Digitalisierung, Transformation und Innovation.

Rezepte für gute SBOMBOMs

Zum 24. Mai 2024 plant die EU die IEC 81001-5-1 mit der MDR zu harmonisieren. Für Medizintechnikfirmen bedeutet dies, dass sie die Cybersicherheit ihrer Produkte und damit auch die der darin enthaltenen Software von Drittanbietern auf mögliche Sicherheitslücken kontinuierlich überwachen müssen. Bereits die Formulierung der Software Bill of Material (SBOM) hat einen entscheidenden Einfluss auf die Ergebnisse der späteren Suchergebnisse, die die wesentliche Informationsquelle für die Product Security Incident Response Teams (PSIRT) darstellen, und erforderlich sind, um die Sicherheit der Produkte im Feld aufrecht zu erhalten.

Referent: Dr. Kai Borgwarth, embeX GmbH

Dr. Borgwarth studierte Physik an der TU Braunschweig und der Universität Freiburg. Nach beruflichen Stationen in der Halbleiterindustrie und IT ist er seit 2016 bei der embeX GmbH tätig und leitet dort den Geschäftsbereich Medical Engineering. Aus der Position initiierte er den Aufbau des Fachbereichs Cybersecurity, der heute ein wichtiges Kompetenzfeld des Unternehmens darstellt. Ferner ist Dr. Borgwarth für die TÜV Süd Akademie als Trainer für die Kurse „IT-Sicherheit für Medizinprodukte“ sowie „Interoperabilität von Medizinprodukten“ tätig.

Penetration-Tests sind teuer – holen Sie das meiste heraus

Ein Penetration-Test ist ein teurer, aber wichtiger Schritt zum sicheren Medizinprodukt. Wer schlicht „3 Kilo Hack“ beim Dienstleister bestellt, bekommt wenig für sein Geld. Mit der richtigen Vorbereitung, Begleitung und Nachkontrolle bezahlen Sie vielleicht weniger, bekommen auf jeden Fall aber wesentlich mehr Leistung. Dieser Vortrag gibt einen Überblick über Best-Practices für Pentest-Auftraggeber und räumt mit einigen Mythen auf.

Referent: Oliver Brahmstädt, Brahmstädt GmbH

Oliver Brahmstädt ist IT Security Analyst und Ethical Hacker. Er hat Wirtschaftsinformatik studiert und zunächst in der Anwendungsentwicklung sowie im Infrastrukturbetrieb gearbeitet, bevor er vor 10 Jahren in die IT Security gewechselt ist. Als nebenamtlicher Dozent hat er Vorlesungen zu Rechnernetzen gehalten. Seit 2019 ist er als Freelancer für IT Security in der Medizintechnik für Unternehmen wie Fresenius Medical Care AG und Carl Zeiss Meditec AG tätig gewesen.

Effiziente Risikominimierung durch CERT@VDE

Die Cyber-Sicherheit hat sich zusammen mit der zunehmenden Digitalisierung und den neuen Herausforderungen des modernen Zeitalters weiterentwickelt. Dabei haben sich nicht nur die Vernetzungsmöglichkeiten verändert, sondern auch die Verwundbarkeit der IT-und OT-Gesamtsysteme. Erhöhte Risiken durch gezielte Cyberangriffe und die damit verbundenen Schäden und Produktionsausfälle machen neue Konzepte im Umgang mit der Cyber-Sicherheit in Embedded Software Produkten unumgänglich.

Mittlerweile sind viele Geräte und Prozesse mit dem Internet verbunden und somit auch durch das Internet angreifbar. Die vernetzten Infrastrukturen werden zunehmend gefährdeter und anfälliger für Cyberangriffe.
Deshalb muss die Cyber-Sicherheit als kritischer Erfolgsfaktor für die Digitalisierung gestärkt werden. Dies sollte zum einen durch eine verbesserte Prävention bei der Systementwicklung und zum anderen durch eine möglichst schnelle und strukturiere Reaktion bei Bekanntwerden neuer Sicherheitslücken umgesetzt werden.

Das hohe Risiko von gezielten Cyberangriffen und damit verbundenen Schäden und Funktionsausfällen verlangt nach neuen Konzepten im Umgang mit der IT-Sicherheit. Zur Bewältigung dieser Herausforderungen spielen „Notfallteams“ (so genannte CERTs) eine zentrale Rolle. Ein CERT (Computer Emergency Response Team) bezeichnet ein Computersicherheits-Ereignis- und Reaktionsteam und ist eine Institution, die bei der Lösung von konkreten IT-Sicherheitsvorfällen (z. B. Bekanntwerden neuer Sicherheitslücken) als Koordinator mitwirkt und sowohl Hersteller als auch betroffene Nutzer unterstützt.

Im Detail befasst sich der Vortrag mit folgenden Punkten:

• Betrieb einer Austauschplattform für Security-Experten der gesamten Lieferkette der Automatisierungsindustrie (Komponentenhersteller, Maschinenbauer, Anwender und Betreiber)
• Strukturierung des komplexen Zusammenspiels zwischen Hackern, Firmen und anderen Beteiligten, um zu einer zielgerichteten Meldung und damit einer hinreichenden Erhöhung der Sicherheit zu kommen
• Erarbeitung notwendiger Warnmeldungen (Advisories) und Koordinierung von Reaktionen im Hinblick auf organisationsübergreifende Sicherheitsschwachstellen.
• Bereitstellung präventiver Sicherheitsinformationen: Sammlung, Aufbereitung und Automatisierung von Massendaten
• Revolution im Schwachstellenhandling: CSAF

Referent: Andreas Harner, VDE e.V.

1989 bis 1995: Studium der Kommunikations-/Datentechnik
(TU Darmstadt). Abschluss: Diplom-Ingenieur (TU)

• 1995-2011:
  – Softwareentwickler / Projektleitung
  – Technical Support Manager
• 2011: Projektmanager Informationssicherheit bei der DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik) im VDE e.V.
• Seit 2017: Abteilungsleiter „CERT@VDE & Cybersecurity“ bei der DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik) im VDE e.V

„Publish & Hack!“ – Zeitenwende im Cybercrime & Sec_by_Design ohne Ausreden!

Ende März 2022 veröffentlicht der deutsche Verfassungsschutz erstmals in einem sog. „Sicherheitshinweis für die Wirtschaft“ Erkenntnisse zu neuen Angriffsformen im Zuge der Mobilisierung unter dem Twitter-Hashtag #bloodytrade.

Dieser Twitter-Hashtag steht in Verbindung mit einer Vielzahl an Akteuren im Cyberbereich, welche Angriffe u.a. auf deutsche Unternehmen geplant und durchgeführt haben – Begründung?

Weil diese sich nicht aus ihrer Geschäftstätigkeit in Russland zurückgezogen haben. Hierunter fallen nicht nur Namen, wie VW, deutsche Banken oder Rittal, sondern auch Pharmakonzerne, wie Bayer und weitere Player der Medizinbranche, die z.T. Rohstoffe für Ihre Medikamente aus Russland beziehen oder eng mit dieser Region im Zuge Ihrer Supply-Chains verknüpft sind.

Kombiniert mit einer völlig neuen Dimension der Wirtschaftsspionage – Beispiel der nordkoreanischen Hackergruppe mit dem Namen „Lazarus“ – sehen wir, dass auch der medizinischen Sektor leider immer häufiger nicht mehr „verschont“ wird, da die zuvor ethischen oder moralischen Hemmnisse immer seltener für die Angreifer zählen.

Am 04.08.2023 wird in den NBC News einer der größten & fatalsten Cyberangriffe aller Zeiten auf Krankenhäuser & medizinische Einrichtungen vermeldet – „Hackers force hospital system to take its national computer system offline“ – die Rede ist von ca. 170 Einrichtungen…!

-> https://www.nbcnews.com/tech/security/hackers-force-hospital-system-take-national-computer-system-offline-rcna98212

Was können wir tun? Ein elementarer Weg zur Steigerung der digitalen Resilienz auch im medizinischen Umfeld wird eine neue Form der Früherkennung von Angriffen – nicht nur um technischen Umfeld, sondern auch im Umfeld von Social Media sein! Zusätzlich konsequentes Umsetzen des „Shift left!“ in der Entwicklung der relevanten Infrastrukturen, Software & Lösungen – kurz Security by Design – ohne Ausreden!

Ich möchte gerne in meinem Vortrag diese beiden Wege mit Ihnen/Euch beginnen zu gehen..

Referent: Immanuel Bär, ProSec GmbH 

• Co-Founder ProSec GmbH, 41 Jahre Jahre, 1 Tochter
• Whitehat Hacker, geboren in Lagos (Nigeria)
• ehemaliger Arbeitgeber einer der größten Versicherer Deutschlands
• Regierungs- ,militärnahe Projekterfahrung international in IT-Security & Cyber-Defence
• ktuelle mediale Projekte z.B. mit BSI // PodCast „Hacking gegen Cyberangriffe?“ oder ARD
• Über 25 Jahre IT Erfahrung
• Spezialisierung auf Social-Engineering (Faktor Mensch) mit humanistisch alt-sprachlichem Hintergrund
• Beteiligung an einer der größten Zerschlagung von BlackHat Hacking-Community 2022 mit knapp 70.000 Mitgliedern

Threat Modeling – „Guarding the Gates“ Die Kunst der Bedrohungsmodellierung

Multidimensionale Angriffsvektoren in der IT Sicherheit und unerkannte Schwachstellen in Softwaresystemen machen es Medizinprodukteherstellern schwer, ihre Produkte ausreichend IT-sicher zu gestalten.

Mit dem Threat Modeling steht ein potentes Werkzeug zur Risikoanalyse und -vermeidung zur Verfügung, das es effizient zu nutzen gilt.

Der Vortrag erklärt, wie Threat Modeling genau angewendet wird, welche regulatorischen Anforderungen daran bestehen, welche Probleme bei der Anwendung in der Praxis zu beobachten sind, welche technischen Werkzeuge zur Verfügung stehen, welche spielerischen Umsetzungen dafür möglich sind, welche Literatur beim Einstieg wirklich hilft und wie Threat Modeling im Kontext der ISO 14971 zu verstehen ist.

Referent: Christian Rosenzweig, Johner Institut GmbH

Studium zum Dipl.-Ing (FH) Biomedizinische Technik
20 Jahre Berufserfahrung in der Medizinprodukteindustrie: Entwicklung, Qualitätamanagement, Beratung
Berater am Johner Institut

Security by Usability – Risikominimierung mit Hilfe von UI/UX

In der Medizintechnik spielt Cybersecurity eine immer wichtigere Rolle, da immer mehr Aspekte unseres Lebens in die virtuelle Welt verlagert werden. Dabei steht die Sicherheit der Daten und persönlichen Informationen an erster Stelle, doch gleichzeitig darf die Benutzerfreundlichkeit nicht vernachlässigt werden. „Cybersecurity by Usability“ ist ein Konzept, das darauf abzielt, die Sicherheit von Systemen und Informationen durch eine optimale Anbindung von User Interface (UI) und User Experience (UX) zu gewährleisten und so Anwenderfehler zu minimieren.

Ein effektives UI/UX-Design spielt eine entscheidende Rolle bei der Reduzierung von menschlichen Fehlern, die oft die größte Schwachstelle in Cybersecurity-Maßnahmen darstellen. Ein schlecht gestaltetes Benutzerinterface kann dazu führen, dass Benutzer wichtige Sicherheitsvorkehrungen umgehen oder gar nicht erst verstehen, wie sie angewendet werden sollen. Um dies zu vermeiden, sollte das Design einfach, intuitiv und selbsterklärend sein. Klare Anweisungen und Hinweise sollten dem Benutzer helfen, sicherheitsrelevante Entscheidungen zu treffen.

Die Integration von Sicherheitsmaßnahmen in den Fluss der Benutzererfahrung ist ein weiterer Schlüsselaspekt von „Cybersecurity by Usability“. Anstatt den Benutzer mit komplexen Sicherheitsabfragen zu überfordern, sollten Sicherheitsaspekte nahtlos in den Arbeitsablauf eingebunden werden. Beispielsweise könnten mehrstufige Authentifizierungsprozesse so gestaltet werden, dass sie nicht nur sicher, sondern auch benutzerfreundlich sind. Die Verwendung von Biometrie, wie Fingerabdruck- oder Gesichtserkennung, kann die Sicherheit erhöhen, ohne dass der Benutzer komplexe Passwörter merken muss.

Nicht zuletzt ist es wichtig, Feedback von den Benutzern einzuholen, um das UI/UX-Design kontinuierlich zu verbessern. Das Sammeln von Erfahrungen und Rückmeldungen ermöglicht es, Schwachstellen zu erkennen und gezielt zu beheben, sodass die Sicherheit und Benutzerfreundlichkeit stetig optimiert werden können.

Zusammenfassend kann „Cybersecurity by Usability“ erheblich dazu beitragen, Anwenderfehler zu minimieren und die Sicherheit von Systemen und Daten zu erhöhen. Die Verknüpfung von UI/UX mit Cybersecurity-Maßnahmen stellt sicher, dass Sicherheit nicht auf Kosten der Benutzerfreundlichkeit geht. Durch einfache, intuitive Designs, die nahtlos in den Arbeitsablauf integriert werden, können Benutzer besser geschützt werden, ohne dass sie dabei durch komplexe Sicherheitsprozeduren überfordert werden. Die kontinuierliche Schulung und das Einholen von Feedback runden dieses Konzept ab und ermöglichen eine stetige Verbesserung der Sicherheit im digitalen Zeitalter.

Referent: Sebastian Wittor, BAYOOMED GmbH

Sebastian Wittor hat an der TU Darmstadt Wirtschaftsinformatik mit den Schwerpunkten IT-Sicherheit und Projektmanagement studiert und mit dem Master abgeschlossen. Bereits während seines Studiums arbeitete er am Fraunhofer Institut für Sichere Informationstechnologie und schrieb dort auch seine Abschlussarbeit im Bereich Onlinetracking und personalisierte Werbung. Seit 2 Jahren ist er bei der BayooNet AG tätig und kümmert sich dort unter anderem um Fragestellungen zum Thema Cybersecurity. Dabei ist er hauptverantwortlich für Cybersecurity Risikoanalysen für Medizinprodukte und betreut hierbei Projekte namhafter internationaler Hersteller.

Don’t let your SOUP decompose

SOUPs sind wichtiger Bestandteil in jeder Softwareentwicklung. Neben den zahlreichen Funktionalitäten und Vorteilen, die mit SOUPs einhergehen, können SOUPs aber Einfallstor für Hacker werden, da Vulnerabilities in den SOUPs schnell ausgenutzt werden können. Wird bei der Verwendung der SOUP gegen die Lizenzvereinbarung verstoßen, kann es für den Hersteller teuer werden.

Damit Hersteller sichere Medizinprodukte auf den Markt bringen können und keine Lizenzvereinbarungen verletzen, empfiehlt es sich eine Software Composition Analyse durchzuführen. Der Vortrag zeigt die Wichtigkeit der Software Composition Analyse (SCA) bei der Entwicklung von sicheren Medizinprodukten auf. Im Vortrag werden die Risiken, die mit der Verwendung von SOUPs einhergehen vorgestellt, dabei werden insbesondere die Risiken von Vulnerabilities, Lizenzen und Code Qualität betrachtet. Der Vortrag geht auch auf den Umgang mit SOUPs in Allgemeinen ein und stellt Möglichkeiten vor, die SOUP Risiko Analyse in einen bestehenden Risikomanagementprozess zu integrieren und die SOUP Versionen im Produkt zu verwalten.

Im Vortrag wird die Funktionsweise der Software Composition Analyse gezeigt, die dahinterliegenden Datenbanken vorgestellt und die Erstellung der Software Bill of Materials (SBOM) erklärt. Fokus des Vortrags liegt auf verschiedenen Software Composition Analysis Werkzeugen, die von Medizinprodukteherstellern verwendet werden.

Der Vortrag ist keine Werbung für ein bestimmtes SCA Werkzeuge, sondern vergleicht die Werkzeuge, stellt die Vor- und Nachteile vor und beschreibt die Erfahrungen, die unsere Kunden mit den jeweiligen Werkzeugen gemacht haben. Es werden sowohl die „all- inclusive“ Lösungen großer SCA Tool Hersteller als auch open source Lösungen vorgestellt.

Referenten: Verena Wieser und Alastair Walker, Lorit Consultancy GmbH

Verena arbeitet seit 8 Jahren im Bereich Medizinprodukte und ist auf Software as a Medical Device (SaMD) spezialisiert.

Als Software-Engineer konnte sie praktische Erfahrung im Softwarelebenszyklus von der initialen Anforderungsformulierung, über die Implementierung von Anforderungen bis hin zum Testen von Software sammeln. Ein besonderer Fokus lag dabei auch auf der Validierung nach dem GAMP 5 Standard.

Nach ihrer Tätigkeit als Software-Engineer wechselte Verena in den Bereich Qualitätsmanagement/ Regulatory Affairs und arbeitete in Projekten zur kontinuierlichen Verbesserung der QMS-Prozesse, insbesondere des Software-Entwicklungsprozesses nach IEC 62304 und dem Risikomanagementprozesse nach ISO 14971, mit.

Als interne Auditorin führte sie interne Audits für die MDD, MDR und die Standards 9001 und 13485 durch.

Alastair hat über 25 Jahre Erfahrung in der Entwicklung sicherheitsrelevanter Produkte für die Medizintechnik, den Fahrzeugbau und die Raum- und Luftfahrtindustrie.

Er war viele Jahre Berater für funktionale Sicherheit und hat an zahlreichen Fahrzeugbau-Projekten gemäß ASIL D mitgewirkt.

Neben der Entwicklung von Medizingeräten konnte er auch Entwicklern beratend zur Seite stehen und blickt auf umfangreiche Kenntnisse in der Implementierung sicherer, programmierbarer elektrischer Medizinsystem-Architekturen (PEMS-Architekturen) nach 60601 und Software der Klasse C 62304 zurück. Darüber hinaus verfügt Alastair über umfassende Erfahrungen in der Entwicklung von Systemen, Hardware und embedded Software.

Alastair hat jahrelange Erfahrungen mit Risikoanalyse-Techniken wie der Fault Tree Analysis (FTA), der Failure Mode Effects and Diagnostic Coverage Analysis (FMEDA) und Hazard and operability study (HAZOP bzw. PAAG). Zusätzlich verfügt er über technisches Fachwissen aus verschiedenen Industriezweigen, um bewährte Praktiken in bestimmten Bereichen einführen zu können.

Software and Cybersecurity specific IVDR/MDR requirements: challenges for regulatory compliance and testing approaches

In contrast to the IVDD/MDD, the IVDR/MDR place much higher requirements on the conformity assessments of electronic programmable systems (devices that incorporate software systems or software that are devices in themselves). Within this session, you will learn in this regard, that cybersecurity is critical when designing, developing, and upgrading IVDs/Medical Devices across their life cycle. Based on the IVDR/MDR requirements TÜV SÜD expert Dr. Alexander Stock will explain, why high-quality test evidence is an important component of a successful conformity assessment in this context.

Referent: Dr. Alexander Stock, TÜV SÜD

Dr. Alexander Stock is a quality management professional with 20 years of experience in the biomedical and IVD software industry within multi-national companies.

In his current position as a “Project Manager IVD Medical Device Testing” he is responsible for the expansion of the IVD medical device testing services at TÜV SÜD with the goal of helping customers to demonstrate compliance against various standards and to ensure product safety and effectiveness.

Prior to taking on this role, he served as lead auditor and product specialist (technical file assessments) for in vitro diagnostic medical devices under IVDD, IVDR, MDSAP, ISO 13485, ISO 9001 etc.

Also, Alexander contributed to the IVDR implementation and preparation for the designation of TÜV SÜD and accompanied clients on IVDR projects.

Alexander is member of RAPS and a regular speaker on international conferences related to IVDR and IVD software topics.

Industry Sectors:

In Vitro Diagnostic Medical Devices/Medical Devices, Bioinformatics, Pharma/Biotech, Medical Imaging, Image Analysis, High-Content Screening/Data Mining, Digital Pathology, Immuno-Oncology Diagnostics, Companion Diagnostics.

Focus Areas:

IVDR, IVD Software, IVD Medical Devices

Felix Wabra ist aus Passion IT-Sicherheitsberater. Er ist ehemaliger Wirtschaftsstudent, mit umfangreicher Erfahrung im Bereich Datenschutz und IT-Sicherheit und Leidenschaft für Computer und deren Bedrohungen. Tätigkeiten in den Bereichen Datenschutz, Pentesting und Sensibilisierungen für verschiedene IT-Unternehmen, selbständiges Erarbeiten sicherheitsrelevanter Themen sowie ständige Weiterbildung und Erfahrung im Umgang mit IT-Bedrohungen garantieren bei ihm realistische und fundierte Schulung der Kunden.

Herr Wabra berät Firmen und Behörden in sicherheitsrelevanten Themen und führt Live Hackings während Schulungen und Trainingsevents durch. Er bringt umfassendes Wissen aus dem IT-Umfeld mit und hat durch die Bekämpfung von Bedrohungen einen detaillierten Einblick in die Sicht- und Vorgehensweise von Cyberkriminellen. Motto: „Sicherheit ist eben doch mehr, als nur ein paar Einstellungen, hier geht es um das Zusammenspiel von Technik, Wissen und Mitarbeitern“.

In seiner letzten Tätigkeit als IT-Sicherheitsberater war er für die Konzeption und Durchführung von Live Hackings verantwortlich. Während seines Studiums arbeitete er unter anderem für ein Datenschutz Unternehmen und half bei der Überprüfung von Industrieunternehmen, sowie KRITIS Betreibern.