Autor: Dirk Müller
Team Lead bei BAYOOMED
Co-Autor: Sebastian Wittor
Project Manager Medical Engineering bei BAYOOMED
In der zunehmend vernetzten Medizintechnik nimmt das Thema Cybersicherheit stetig an Bedeutung zu. Medizinprodukte, die Software enthalten oder vernetzt sind, müssen nicht nur in der Entwicklungs- und Einführungsphase, sondern auch während ihres gesamten Lebenszyklus gegen Cyberangriffe geschützt werden. Dieser kontinuierliche Prozess wird als Post-Market Cybersecurity bezeichnet.
Er umfasst somit sämtliche Maßnahmen, um die Vertraulichkeit personenbezogener Daten, die Integrität gespeicherter oder übertragener Informationen und die Verfügbarkeit des Medizinprodukts im Rahmen seiner Zweckbestimmung sicherzustellen. Da Cyberrisiken auch zu unmittelbaren Gefährdungen für Patient:innen führen können, ist demnach eine sorgfältige und fortlaufende Überwachung im Sinne der Patientensicherheit und der Erfüllung regulatorischer Anforderungen unerlässlich.
Warum ist Post-Market Cybersecurity so essenziell?
Durch die steigende Vernetzung von Medizinprodukten wächst zwangsläufig auch das Risiko von Cyberangriffen. Angriffe können nicht nur sensible Daten kompromittieren, sondern auch die Funktionalität eines Geräts beeinträchtigen und somit die Gesundheit von Patient:innen gefährden. Um diesen potenziell gravierenden Konsequenzen vorzubeugen, sind daher proaktive Maßnahmen zum Schutz vor Cyberbedrohungen unverzichtbar.

Regulatorische Anforderungen
In der Europäischen Union sind Hersteller von Medizinprodukten verpflichtet, ein robustes System zur Überwachung nach dem Inverkehrbringen (Post-Market Surveillance, PMS) zu implementieren. Dieses System stellt sicher, dass fortlaufend Daten über die Leistung und Sicherheit der Produkte auf dem Markt erfasst und ausgewertet werden.
Die Medical Device Regulation (MDR) und die MDCG-Leitlinie 2019-16 („Guidance on Cybersecurity for Medical Devices“) betonen ausdrücklich, dass Hersteller Cyberrisiken identifizieren und geeignete Schutzmaßnahmen ergreifen müssen. Ein bedeutender Bestandteil dieser Anforderungen ist das Identifizieren und Bewerten von Vulnerabilitäten in Software-Bibliotheken und in sogenannten SOUPs (Software of Unknown Provenance) – beispielsweise auf Basis öffentlich zugänglicher Datenbanken wie der NVD CVE (Common Vulnerabilities and Exposures).
Anforderungen an Medizinproduktehersteller

Best Practices für Post-Market Cybersecurity
Fazit
Post-Market Cybersecurity ist ein kontinuierlicher Prozess, der den gesamten Lebenszyklus eines Medizinprodukts begleitet. Durch permanente Überwachung, fundiertes Risikomanagement und die Anwendung bewährter Sicherheitspraktiken können Hersteller eine hohe Produkt- und Patientensicherheit gewährleisten und das Vertrauen von Gesundheitsdienstleistern sowie Patient:innen stärken.
Nicht zuletzt helfen die Einhaltung regulatorischer Anforderungen und die stetige Weiterentwicklung der Schutzmaßnahmen dabei, den hohen Qualitäts- und Sicherheitsansprüchen in der Medizintechnik nachhaltig gerecht zu werden.