Interview „Cybersecurity entwickelt sich von einer technischen Pflichtaufgabe zu einem zentralen Qualitäts- und Vertrauensfaktor“

Anbieter zum Thema

Innovationsnetzwerk Gesundheit

Aerotech GmbH

Prosmap · Medical Product Platform

Metecon GmbH

Veränderungen fordern verschiedene Blickwinkel. Aus diesem Grund läuft bei der Bayern Innovativ GmbH aktuell ein Projekt zur Cybersecurity in der Medizintechnik mit Expertinnen und Experten aus den Fachbereichen Sicherheit und Gesundheit. Stefanie Brauer, Projektleitung Gesundheit, gibt einen Einblick in die Branche.

Frau Brauer, Ihr Projekt hat erst gestartet. Welche Erkenntnisse zur Rolle von Cybersecurity für die Branche und für die Produktstrategie von Herstellern zeichnen sich bereits ab?

Stefanie Brauer: Aus den bisherigen Interviews wird deutlich, dass Cybersecurity zunehmend als strategisches Gestaltungsprinzip verstanden wird – und nicht mehr nur als nachgelagerte technische Absicherung. Viele Hersteller verfolgen aktuell eine bewusste Reduktionsstrategie: Statt maximaler Konnektivität steht die Frage im Vordergrund, welche Funktionen, Schnittstellen und Daten tatsächlich notwendig sind. Konkret bedeutet das: Es werden nur jene Daten erhoben, die für die medizinische Anwendung zwingend erforderlich sind. Ebenso wird kritisch hinterfragt, ob bestimmte Schnittstellen – etwa zu externen Geräten oder IT Systemen – im jeweiligen Anwendungskontext überhaupt gebraucht werden. Nicht genutzte Schnittstellen gelten dabei als potenzielle Einfallstore und werden bewusst vermieden. Diese Strategie adressiert sowohl Datenschutz als auch Sicherheitsaspekte. Sie reduziert Komplexität, minimiert Risiken und senkt gleichzeitig den Aufwand für nachträgliche Absicherungsmaßnahmen. Cybersecurity wird damit zu einem integralen Bestandteil der Produktarchitektur – mit direkten Auswirkungen auf Designentscheidungen und Systemgrenzen.

Wie können regulatorische Anforderungen zur Cybersecurity in die Entwicklungsprozesse integriert werden, ohne die ohnehin langen Entwicklungszyklen in der Medizintechnik weiter zu verlängern?

Die Interviews zeigen, dass Cybersecurity in der Praxis bislang nicht als unverhältnismäßiger Mehraufwand wahrgenommen wird. Der Markt ist bereits stark reguliert, sodass Sicherheitsaspekte zunehmend als fester Bestandteil der Risikobetrachtung verstanden werden – nicht als zusätzliche Hürde. Gleichzeitig wird aber auch deutlich, dass die regulatorischen Vorgaben der technischen Entwicklung teilweise hinterherlaufen. Standards und Normen sind in einigen Bereichen mehrere Jahre alt und bilden aktuelle technologische Realitäten nicht vollständig ab. Hersteller sehen sich dadurch in einer Situation, in der Produkte zunächst regelkonform entwickelt werden, später aber erneut angepasst werden müssen, wenn regulatorische Anforderungen nachgezogen werden. Positiv bewertet wird, dass Cybersecurity-Aspekte – etwa im Kontext der MDR – inzwischen expliziter adressiert werden. Insbesondere Hersteller, die selbst in Normungsgremien aktiv sind, sehen hierin eine Chance, regulatorische Anforderungen frühzeitig mitzugestalten und besser in bestehende Entwicklungsprozesse zu integrieren.

Welche Rolle spielen sichere Update-Mechanismen und kontinuierliches Vulnerability Management im Post-Market-Bereich – und wo stehen Hersteller hier aktuell?

Im Post-Market-Bereich kommt sicheren Update-Mechanismen eine zentrale Bedeutung zu. Hersteller müssen in der Lage sein, auf neu auftretende Schwachstellen zeitnah zu reagieren und Sicherheitslücken auch nach der Markteinführung zu schließen. Dabei geht es weniger um regelmäßige Funktionsupdates als um die Fähigkeit, im Ernstfall schnell und kontrolliert eingreifen zu können. Die praktische Umsetzung ist jedoch stark produktabhängig. Bei vernetzten Systemen sind Remote Updates häufig möglich, während dies bei rein hardwarebasierten oder lokal eingesetzten Produkten deutlich komplexer ist. Hier spielen Wartungskonzepte, Zugriffsrechte und technische Anbindung eine entscheidende Rolle. Zudem zeigt sich, dass Cybersecurity-Risiken nicht immer das Endprodukt selbst betreffen. Bei individuell gefertigten Implantaten etwa können sensible Patientendaten im Herstellungsprozess relevant sein, während das implantierte Produkt später keinerlei digitale Angriffsfläche mehr bietet. Cybersecurity muss daher entlang des gesamten Produktlebenszyklus betrachtet werden – von der Entwicklung über die Produktion bis hin zur Anwendung.

Wohin entwickelt sich Cybersecurity in der Medizintechnik?

Cybersecurity wird die Medizintechnikbranche langfristig und zunehmend prägen. Technische Angriffe werden einfacher, während medizinische Systeme immer näher am Menschen eingesetzt werden und hochsensible Daten verarbeiten. Die potenziellen Folgen von Sicherheitsvorfällen reichen damit weit über wirtschaftliche Schäden hinaus und können im Extremfall die Patientensicherheit betreffen. Vor diesem Hintergrund entwickelt sich Cybersecurity von einer technischen Pflichtaufgabe zu einem zentralen Qualitäts- und Vertrauensfaktor – für Hersteller, Betreiber und Anwender gleichermaßen.

(ID:50821648)