Wieso ist Cybersicherheit als Anforderung im QMS wichtig?
Cybersicherheit hat sich in den vergangenen Jahren von einem technischen Randthema zu einem zentralen Erfolgsfaktor für Unternehmen entwickelt – und das gilt ganz besonders in regulierten Branchen wie dem Gesundheitswesen oder der Medizintechnik. Die zunehmende Digitalisierung, vernetzte Produkte und global verfügbare Softwaredienste erweitern kontinuierlich die Angriffsfläche.
Die Zahlen sprechen eine klare Sprache: Die Menge an Cyberangriffen wächst seit Jahren ununterbrochen, und die finanziellen Folgen sind erheblich. Laut dem Cost of a Data Breach Report von IBM (https://www.ibm.com/de-de/reports/data-breach) liegen die durchschnittlichen Kosten einer Datenschutzverletzung in Deutschland bei rund 3,87 Millionen Euro pro Vorfall. Diese Schäden entstehen nicht nur durch unmittelbare technische Ausfälle, sondern auch durch Produktionsstillstände, Wiederherstellungsaufwände, Rufschädigung und regulatorische Folgen.
Regulatorisch gibt es jedoch klare Signale: Mit dem neuen MDR‑Proposal soll Cybersicherheit ausdrücklich als Bestandteil der grundlegenden Sicherheits- und Leistungsanforderungen (GSPRs) verankert werden. Aber auch die aktuelle Revision der MDR adressiert Cybersicherheit bereits indirekt – insbesondere dort, wo Software, Interoperabilität, Risikomanagement und Patch-Prozesse berührt werden (Siehe Abbildung).
Doch Cybersicherheit ist nicht allein eine Frage von Software-Updates oder IT‑Firewalls. Sie ist interdisziplinär: Entwicklungsprozesse, Risikomanagement, Lieferantensteuerung, klinische Bewertung, Produktionsumgebung, Support, Post‑Market‑Surveillance und sogar Schulungen im gesamten Unternehmen spielen eine Rolle. Ein holistischer Ansatz ist notwendig, um die Sicherheit eines Produkts über seinen gesamten Lebenszyklus hinweg gewährleisten zu können. Internationale Behörden wie die FDA betonen dies ebenfalls und sprechen vom „Secure Total Product Life Cycle“ (sTPLC). Gemeint ist ein ganzheitlicher, kontinuierlicher Sicherheitsansatz, der vom Design über Entwicklung und Produktion bis hin zur Nutzung und Wartung eines Produkts reicht. Sicherheit ist damit kein Projekt, sondern ein langfristiger Prozess.
Regulatorische Anforderungen an die Cybersicherheit
Cybersicherheit ist längst nicht mehr nur eine technische Frage, sondern ein klar reguliertes Qualitäts- und Sicherheitsmerkmal. Regulierungsbehörden weltweit reagieren auf die steigende Bedrohungslage, indem sie verbindliche Anforderungen formulieren, die Hersteller über den gesamten Produktlebenszyklus hinweg berücksichtigen müssen. Für Unternehmen – insbesondere in der Medizintechnik und im Gesundheitswesen – bedeutet dies: Cybersicherheit wird zu einem festen Bestandteil des Compliance‑Rahmens und damit zu einem unverzichtbaren Element des Qualitätsmanagementsystems:
- Ein zentrales europäisches Regelwerk ist der Cyber Resilience Act (CRA). Diese Verordnung richtet sich an alle Produkte mit digitalen Elementen, unabhängig davon, ob sie als Medizinprodukt klassifiziert sind oder nicht. Damit fallen auch zahlreiche Verbraucher‑ und Industrieanwendungen wie Apps, Softwaretools oder vernetzte Devices unter diese Vorgaben. Ziel des CRA ist es, grundlegende Sicherheitsanforderungen verbindlich festzuschreiben und Hersteller in die Pflicht zu nehmen, Cybersicherheit bereits im Design – „Security by Design“ – sowie kontinuierlich während der gesamten Lebensdauer zu gewährleisten.
- Innerhalb des MDR‑Umfelds liefert die MDCG 2019‑16 eine wichtige Orientierung. Dieses Leitdokument beschreibt, wie Hersteller die relevanten Anforderungen der Anhänge I von MDR und IVDR mit Blick auf Cybersicherheit erfüllen können. Es fungiert damit als Brücke zwischen regulatorischen Grundanforderungen und praktischer Umsetzung im Entwicklungs- und QM‑
- Auf Standardisierungsebene existiert eine Reihe spezialisierter Normen und Technical Information Reports, die Herstellern konkrete Prozesse an die Hand geben. AAMI TIR57:2016 ist dabei besonders relevant, da er sich strukturell an der bekannten ISO 14971 orientiert und einen eigenen Prozess speziell für Security‑Risiken beschreibt. Diese enge Anlehnung erleichtert Herstellern die Integration von Safety und Security in ein gemeinsames Risikomanagementsystem.
- Für den Bereich des Post Market‑Monitorings wurde AAMI TIR97 entwickelt. Dieses Dokument ergänzt TIR57 und liefert Methoden zur Bewertung und Behandlung von Sicherheitsrisiken im Feld, eingebettet in den bestehenden Sicherheitsprozess gemäß ISO 14971. Damit wird klar: Cybersicherheit endet nicht mit der Marktzulassung, sondern beginnt dort erst richtig.
- Eine weitere wichtige Norm ist ANSI/AAMI SW96:2023. Sie definiert verbindliche Anforderungen an das Cybersecurity‑Risikomanagement von Medizinprodukten und erweitert die Inhalte von TIR57 um konkrete Mindestanforderungen. Hersteller erhalten damit einen klaren Rahmen, der sowohl regulatorische Anforderungen erfüllt als auch die praktische Umsetzung im Entwicklungsprozess erleichtert.
- Für Softwarehersteller ist die IEC 81001‑5‑1:2021 zentral. Diese Norm definiert Anforderungen an sichere Software‑Lebenszyklusprozesse und steht im Einklang mit der IEC 62443‑4‑1, berücksichtigt dabei jedoch die spezifischen Bedürfnisse von Health Software. Sie bietet eine einheitliche Grundlage für Prozesse, Aktivitäten und Aufgaben, die notwendig sind, um sichere Software zu entwickeln und dauerhaft zu pflegen.
- Auch die FDA setzt starke Akzente. Mit der Guidance “Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions” formuliert sie klare Erwartungen an die Cybersicherheit im QMS sowie an die Inhalte, die vor der Markteinreichung vorzulegen sind. Ergänzend dazu beschreibt die Guidance “Postmarket Management of Cybersecurity in Medical Devices”, wie Hersteller Sicherheitsrisiken nach Markteinführung überwachen, bewerten und adressieren müssen.
Insgesamt entsteht ein Konsens über Behörden und Regionen hinweg: Cybersicherheit ist keine optionale Ergänzung, sondern ein integraler Bestandteil von Design, Risikomanagement, Qualitätsmanagement und Post Market‑Aktivitäten. Hersteller, die dies frühzeitig in ihre Prozesse integrieren, reduzieren nicht nur regulatorische Risiken, sondern stärken auch die Sicherheit und Vertrauenswürdigkeit ihrer Produkte.
Cybersicherheit in allen Prozessen
Cybersicherheit wird in vielen Unternehmen noch immer vorrangig als Aufgabe der Softwareentwicklung oder IT-Infrastruktur betrachtet. Dieses verkürzte Verständnis führt jedoch dazu, dass wichtige sicherheitsrelevante Aspekte übersehen werden. Moderne Bedrohungsszenarien und regulatorische Anforderungen machen deutlich, dass Cybersicherheit ein organisationsweites Thema ist, das weit über den Source Code hinausreicht. Sie betrifft jede Abteilung, jeden Prozess und jede Phase des Produktlebenszyklus.
Im Entwicklungsprozess beginnt Cybersicherheit bereits bei der ersten Idee eines Produkts. Architekturentscheidungen, verwendete Technologien, Bedrohungsanalysen und Risikobeurteilungen haben langfristige Auswirkungen auf die Sicherheit des Endprodukts. Ebenso spielt die Lieferkette eine entscheidende Rolle: Schon die Beschaffung von Bauteilen, Softwarebibliotheken oder Cloud-Diensten kann Risiken bergen, die sorgfältig bewertet und überwacht werden müssen. Hersteller sind zunehmend gefordert, ihre Lieferanten systematisch zu auditieren und vertraglich zur Security‑Compliance zu verpflichten.
Auch in der Produktion entstehen sicherheitskritische Berührungspunkte: Fertigungsstraßen, Prüfstände oder automatisierte Testsysteme sind häufig vernetzt und damit potenzielle Einfallstore. Manipulierte Testumgebungen oder kompromittierte Produktionsdaten können unbemerkt fehlerhafte oder unsichere Produkte hervorbringen. Daher muss Cybersicherheit auch in Produktions- und Qualitätssicherungsprozesse integriert werden, damit Teststände, Firmwareprogramme und Konfigurationsdaten gegen unberechtigte Eingriffe geschützt bleiben.
Die Auslieferung und das Deployment eines Produkts erfordern ebenfalls besondere Aufmerksamkeit. Ob es um Installationspakete, Konfigurationen oder Update-Mechanismen geht: Wenn diese nicht sicher gestaltet sind, bieten sie Angreifern eine einfache Möglichkeit, Schadsoftware zu platzieren oder Systeme zu kompromittieren. „Secure Deployment“ umfasst daher sowohl technische Maßnahmen wie Signaturen und Validierungen als auch organisatorische Vorgaben, die den sicheren Umgang mit Software und Hardware sicherstellen.
Nach der Markteinführung rücken Post‑Market‑Surveillance und Vigilance in den Fokus. Angriffe, Schwachstellen und Vorfälle müssen überwacht, analysiert und priorisiert behandelt werden. Das Zusammenspiel von PMS, Incident‑Management und Security‑Risikomanagement bildet die Grundlage für kontinuierliche Verbesserung.
Change‑Management spielt hierbei eine wesentliche Rolle: Jede Änderung am Produkt – von Softwareupdates bis zu Prozessanpassungen – muss unter Sicherheitsaspekten bewertet werden, um neue Risiken frühzeitig zu identifizieren.
Selbst das Ende eines Produktlebenszyklus – die Außerbetriebnahme – ist sicherheitsrelevant. Geräte, die nicht ordnungsgemäß gelöscht, zurückgesetzt oder dokumentiert werden, können sensible Daten oder verwertbare Zugangspunkte enthalten. Ein kontrollierter Decommissioning‑Prozess schützt vor Datenabflüssen und reduziert das Missbrauchsrisiko erheblich.
Damit wird sichtbar: Cybersicherheit ist nicht ein isolierter Prozess, sondern ein roter Faden, der sich durch das gesamte Unternehmen zieht. Sicherheitsbewusstsein, klare Verantwortlichkeiten und integrierte Prozesse sind entscheidend, um den wachsenden regulatorischen und technischen Anforderungen gerecht zu werden und einen ganzheitlich cybersicheren Produktlebenszyklus zu gewährleisten.
Praxisbeispiel 1: Change Management
Ein praktisches Beispiel aus dem Unternehmensalltag zeigt besonders deutlich, wie eng Cybersicherheit und z.B. Change-Management miteinander verknüpft sind. Der Prozess beginnt meist unscheinbar: Eine Kundenbeschwerde trifft ein. Häufig beschreibt der Kunde lediglich funktionale Probleme wie ein Gerät, das langsam reagiert, sporadisch abstürzt oder sich ungewöhnlich verhält. Doch hinter solchen Symptomen kann weit mehr stecken – etwa ein Virusbefall, eine Denial‑of‑Service‑Attacke oder ein anderer sicherheitsrelevanter Vorfall. Damit das frühzeitig erkannt wird, ist ein geschultes und sensibilisiertes Service‑Team unverzichtbar.
Die Serviceabteilung übernimmt die erste Bewertung und muss in der Lage sein, Hinweise auf potenzielle Sicherheitsvorfälle richtig zu interpretieren. Wird ein solches Risiko vermutet, sind Software‑ und gegebenenfalls Hardware‑Teams einzubeziehen, um eine technische Analyse durchzuführen. Bestätigt sich der Verdacht auf einen Cybersicherheitsvorfall, muss der Incident‑Response‑Plan unmittelbar aktiviert werden. Dadurch wird sichergestellt, dass alle notwendigen Schritte koordiniert und dokumentiert ablaufen und das Risiko weiterer Schäden minimiert wird.
Je nach Schweregrad des Problems kann es erforderlich sein, ein CAPA‑Verfahren zu eröffnen. Dabei ist entscheidend, dass Kriterien zur Bewertung der sicherheitsrelevanten Kritikalität systematisch berücksichtigt werden. Cybersicherheit muss somit auch im CAPA‑Prozess fest verankert sein, sodass Ursachenanalyse, Maßnahmenplanung und Wirksamkeitsprüfung nicht nur funktionale, sondern auch sicherheitsrelevante Aspekte abdecken.
Die Lösung des Problems erfolgt in enger Zusammenarbeit der betroffenen Teams. Technische Änderungen müssen entwickelt, implementiert und sorgfältig getestet werden. Gerade bei sicherheitskritischen Anpassungen kann es notwendig sein, Penetrationstests für die betroffenen Systembestandteile zu wiederholen, um sicherzustellen, dass die Änderungen keine neuen Schwachstellen einführen und das Sicherheitsniveau langfristig gewährleistet bleibt.
Sobald eine wirksame Lösung vorliegt, ist Transparenz gegenüber den Kunden essenziell. Spätestens zu diesem Zeitpunkt müssen betroffene Anwender informiert und mit den notwendigen Updates oder Anleitungen versorgt werden. Eine klare Kommunikation stärkt das Vertrauen und hilft, Risiken im Feld schnell zu reduzieren.
Der Prozess endet jedoch nicht mit dem Rollout der Korrekturmaßnahme. Die Wirksamkeit der Umsetzung muss im realen Einsatzumfeld überwacht werden. Nur so lassen sich unvorhergesehene Nebeneffekte erkennen und die langfristige Stabilität der Lösung sicherstellen.
Praxisbeispiel 2: Firmware Update in der Produktion
Ein Firmware‑Update in der Produktion klingt zunächst nach einem routinemäßigen Arbeitsschritt. Doch gerade in der frühen Serienfertigung – etwa der 0‑Serie – zeigt sich, wie kritisch sichere Produktionsprozesse für die Cybersicherheit eines Produkts sind. In unserem Praxisbeispiel kommt es zu einem vollständigen Produktionsstillstand, als die erste Firmware auf die Geräte aufgespielt werden soll. Die Ursache liegt jedoch nicht in der Software selbst, sondern in einer Reihe organisatorischer und technischer Versäumnisse.
Die Produktionsumgebung war nicht ausreichend gegen unbefugten Zugriff geschützt. Dadurch konnte sich ein Angreifer Zugang zu den Systemen verschaffen – ein Risiko, das in vielen realen Produktionsstätten unterschätzt wird. Ein weiterer Schwachpunkt lag in der fehlenden Zugriffskontrolle: Die Produktionsrechner verfügten über keinen Login‑Schutz. Jeder, der physischen Zugang hatte, konnte also direkt auf produktionskritische Systeme zugreifen und diese manipulieren.
Hinzu kamen unsichere Arbeitsmittel. Der USB‑Stick mit der Firmware wurde offen auf dem Arbeitstisch abgelegt. Ohne Nachvollziehbarkeit oder physische Sicherung konnte er problemlos gegen einen präparierten Stick ausgetauscht werden. Dieses Szenario ist in der Praxis keine Seltenheit.
Der eigentliche Schaden entstand jedoch beim Durchführungssystem des Updates: Das System verfügte über keine Input‑Validierung. Es akzeptierte jede Datei, die ihm übergeben wurde – unabhängig von Inhalt, Format oder Integrität. Dadurch konnte der Angreifer Schadsoftware einschleusen, die unbemerkt ausgeführt wurde und die gesamte Produktionslinie lahmlegte. Ein einzelner kompromittierter Datenpfad reichte somit aus, um aus einem simplen Firmware‑Update einen schwerwiegenden Security‑Vorfall zu machen.
Dieses Beispiel verdeutlicht, dass Cybersicherheit in der Produktion weit mehr umfasst als den Schutz einzelner Komponenten. Sie erfordert ein Zusammenspiel aus technischen Kontrollen wie Signaturen, Validierungen und Zugriffsrechten sowie organisatorischen Maßnahmen wie sicheren Arbeitsabläufen, klaren Verantwortlichkeiten und Sensibilisierung des Personals.
Fazit
Cybersicherheit ist längst zu einem zentralen Bestandteil moderner Qualitätsmanagement‑Systeme geworden. Die zunehmende Vernetzung von Produkten, strengere regulatorische Vorgaben und die wachsende Bedrohungslage machen deutlich, dass Sicherheit nicht mehr isoliert in IT oder Softwareentwicklung verortet werden kann. Stattdessen muss sie als ganzheitliche Unternehmensaufgabe verstanden werden, die sämtliche Prozesse umfasst – von der Entwicklung über die Produktion bis hin zum Service und zur Überwachung im Feld.
Die Praxisbeispiele zeigen, wie unterschiedlich sich Sicherheitsrisiken manifestieren können und wie wichtig es ist, dass Teams abteilungsübergreifend sensibilisiert und vorbereitet sind. Ob es um die Analyse einer Kundenbeschwerde oder den Umgang mit Firmware in der Produktion geht: Jede Schwachstelle im Prozess kann zu einem kritischen Einfallstor werden, wenn Cybersicherheit nicht konsequent berücksichtigt wird.
Regulatorische Anforderungen wie CRA, MDR‑Leitlinien oder FDA‑Guidances verstärken diesen Trend. Sie verlangen nicht nur technische Schutzmaßnahmen, sondern auch dokumentierte, nachvollziehbare Prozesse, die den sicheren Produktlebenszyklus unterstützen. Für Unternehmen entsteht dadurch zwar zusätzlicher Aufwand, gleichzeitig aber eine große Chance: Wer Cybersicherheit systematisch und proaktiv im gesamten QM‑System verankert, erhöht nicht nur die Sicherheit seiner Produkte, sondern stärkt nachhaltig das Vertrauen von Anwendern, Behörden und Partnern.
Ein ganzheitlich verstandener und gelebter Ansatz zur Cybersicherheit ist somit ein wesentlicher Erfolgsfaktor für die Zukunft – technologisch, organisatorisch und regulatorisch.
Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.
