Machine Spirits Logo

MDR CYBERSECURITY

Die MDR verlangt "Stand der Technik".
Wir liefern den Nachweis.

Lassen Sie Cybersecurity nicht zum Blocker für Ihre CE-Kennzeichnung werden. Wir führen Sie durch das Chaos der IEC 81001-5-1 und liefern die tiefgreifenden technischen Nachweise, die Ihre Benannte Stelle erfordert.

MDR-Pentest Angebot anfordernUnser Audit-Ansatz
Vertraut von MedTech-Innovatoren
dermanostic GmbH logo
Elona Health GmbH logo
Noah Labs GmbH logo
relios.vision GmbH logo

Cybersecurity muss keine "Black Box" sein

Wenn Sie dies lesen, bereiten Sie wahrscheinlich ein Medizinprodukt der Klasse I, IIa oder IIb für den Marktzugang vor, oder Sie befinden sich mitten in einem Überwachungsaudit. Sie kennen die MDR in- und auswendig: klinische Bewertung, Risikomanagement (ISO 14971) und Biokompatibilität.

Aber dann gibt es Anhang I, Abschnitt 17.2.

Die Anforderung, "Informationssicherheit" nach dem "Stand der Technik" zu gewährleisten, wirkt oft vage und bedrohlich. Auditoren fragen nach "Penetrationstests", "Fuzzing" oder "Sicherheitsverifikation", und generische IT-Anbieter verstehen oft nicht den Unterschied zwischen einem Patientenmonitor und einem Webshop.

Sie brauchen keinen Hacker. Sie brauchen einen Partner, der "Regulatory" spricht.

Die Anforderungen entschlüsseln: Was Ihr Auditor sehen will

Die Medizinprodukteverordnung (MDR) hat Cybersecurity von einem "Nice-to-have" zu einer Grundlegenden Sicherheits- und Leistungsanforderung (GSPR) gemacht. Hier ist, was das im Klartext bedeutet:

1Es geht nicht nur um "Bugs" – es geht um Sicherheit

Die MDR kümmert sich nicht darum, ob Ihre Website hackbar ist; sie kümmert sich darum, ob ein Patient geschädigt werden kann. Wir richten unsere Tests strikt nach ISO 14971 aus. Wir berichten nicht nur "Kritische Schwachstellen"; wir ordnen sie "Inakzeptablen Risiken" im Sicherheitskontext Ihres Geräts zu.

2"Stand der Technik" wird durch Normen definiert

Ihr Auditor beurteilt Sie anhand spezifischer Standards. Ein generischer Pentest wird oft abgelehnt, weil er diese Rahmenwerke ignoriert. Unsere Tests basieren direkt auf:

  • MDCG 2019-16: Das EU-Leitdokument, das Penetrationstests explizit als erforderliche Verifikationsmethode aufführt.
  • IEC 81001-5-1: Die Norm für Health Software Security, die dynamische Tests und Schwachstellenanalyse vorschreibt.
  • IEC 62304: Wir verifizieren, dass Ihr Software-Lebenszyklus tatsächlich sicheren Code produziert hat.

3Verifikation vs. Validierung

Sie benötigen technische Nachweise (Verifikation), dass Ihre Sicherheitsmaßnahmen (wie Verschlüsselung und Authentifizierung) tatsächlich funktionieren. Ein Papier-Design reicht nicht aus. Wir liefern die unabhängige Drittanbieter-Validierung, die beweist, dass Ihre Sicherheitsarchitektur standhält.

Wir schließen die Lücke zwischen Engineering und Compliance

Machine Spirits ist keine generalistische IT-Sicherheitsfirma. Wir sind eine spezialisierte Beratung mit Fokus auf Medizinproduktesicherheit. Wir kombinieren die akademische Rigorosität promovierter Forschung mit der praktischen Realität erfahrener Softwareentwicklung.

Unser Versprechen:

Keine False Positives

Wir verstehen medizinische Workflows. Wir werden eine notwendige Notfall-Override-Funktion nicht als "Sicherheitsrisiko" markieren.

Auditor-Ready Reports

Sie erhalten keine chaotische Liste von Hacks. Sie erhalten einen strukturierten technischen Bericht, der direkt an Ihre Technische Dokumentation angehängt werden kann.

MDR Klasse I, IIa & IIb

Wir spezialisieren uns auf vernetzte Systeme (SaMD, KI-Diagnostik, Embedded MedTech).

Ihr Audit wird von Senior-Experten geleitet

Keine Junioren. Keine Generalisten. Spezialisten für Medizinproduktesicherheit.

Dr. Simon Weber Profile

Dr. rer. nat. Simon Weber

Senior Pentester & MedSec-Forscher

Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.

  • Promotion über Krankenhaus-Cybersicherheit
  • Kritische Schwachstellen in Krankenhaussystemen gefunden
  • Alumni der THB MedSec-Forschungsgruppe
Volker Schönefeld Profile

Dipl.-Inf. Volker Schönefeld

Senior Application Security Expert

Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.

  • 20+ Jahre als CTO, 50+ Mio. App-Downloads
  • Architektur und Absicherung großer IoT-Flotten
  • Certified Web Exploitation Specialist
Vollständige Team-Profile ansehen

Ihr Weg zu zertifizierter Sicherheit

Wir nehmen Sie an die Hand und führen Sie durch den Prozess, mit minimaler Störung für Ihr Entwicklungsteam.

1

Scoping & Zweckbestimmung

Wir beginnen damit, die Zweckbestimmung Ihres Geräts zu verstehen. Eine cloudbasierte KI hat andere Risiken als ein Bluetooth-verbundenes Glukosemessgerät (CGM).

2

Der "Greybox"-Ansatz

Wir raten nicht. Wir fragen nach Architekturdiagrammen und API-Dokumentation. Dies ermöglicht es uns, tiefe Logikfehler zu finden, die "Blackbox"-Hacker übersehen, und erfüllt die rigorose Tiefe, die Benannte Stellen verlangen.

3

Durchführung

Wir testen Ihre APIs, Mobile Apps, Firmware und Cloud-Infrastruktur nach der IEC 81001-5-1-Methodik.

4

Der Bericht

Sie erhalten eine detaillierte technische Bewertung, die Befunde nach ihrer Auswirkung auf Patientensicherheit und Datenintegrität kategorisiert.

5

Re-Verifikation

Sobald Ihr Team die Probleme behoben hat, testen wir erneut, um einen sauberen Nachweis für Ihre Einreichung auszustellen.

Das Chaos klären

Häufige Fragen von Herstellern, die MDR-Cybersicherheitsanforderungen umsetzen müssen.

Brauchen wir einen Pentest, wenn wir einen sicheren Cloud-Anbieter (AWS/Azure) nutzen?

Ja. Die MDR macht Sie verantwortlich für die Konfiguration und die Anwendung, die auf dieser Cloud läuft. AWS sichert den Server; Sie müssen die Patientendaten und die Software-Logik sichern.

Wie lange dauert ein MDR-Pentest?

Typische Engagements reichen von 5 bis 15 Tagen, abhängig von der Komplexität (z.B. Anzahl der APIs, Mobile Apps oder Hardware-Schnittstellen).

Können Sie unsere Technische Dokumentation für Security schreiben?

Nein. Um unsere Unabhängigkeit als Tester zu wahren, können wir Ihre Dokumentation nicht verfassen. Unsere Berichte dienen jedoch als primärer Nachweis, den Sie in Ihrem Security Risk Management Plan und Ihren Verifikationsberichten referenzieren.

Vom Pentest zur MDR-Zertifizierung

Noah Labs GmbH logo
Machine Spirits hat mit einem strukturierten und tiefgehenden Pentest dazu beigetragen, Schwachstellen in unserer Plattform frühzeitig aufzudecken, bevor wir die MDR-Zertifizierung durchlaufen haben. Die klaren Reports und die pragmatische Kommunikation halfen uns, Sicherheitslücken schnell zu schließen und unsere Dokumentation effizient nachzuziehen.
Marcus Hott
CTO, Noah Labs GmbH
Alle Referenzen anzeigen

Bereit, Ihre Sicherheitslücken zu schließen?

Warten Sie nicht auf den Nichtkonformitätsbericht des Auditors. Sinnvolle Sicherheitsverifikation braucht Zeit.

Telefon

+49 221 65031192

E-Mail

contact@machinespirits.com

Antwortzeit

Wir antworten in der Regel innerhalb von 24 Stunden an Werktagen auf alle Anfragen.

Durchschnittliche Antwortzeit: 6-12 Stunden

Nachricht senden