Machine Spirits Logo

MDR & SaMD SECURITY

Auditsichere Cybersecurity
für Medizinprodukte.

Spezialisierte Penetrationstests für MDR Klasse I, IIa & IIb und SaMD. Wir liefern die technische Evidenz und auditsicheren Testnachweise, die Benannte Stellen für die Zertifizierung benötigen.

Angebot anfordernUnsere Leistungen
Vertraut von MedTech-Innovatoren
dermanostic GmbH logo
Elona Health GmbH logo
Noah Labs GmbH logo
relios.vision GmbH logo

Fokus auf Medizinprodukteverordnung (MDR)

Unsere Penetrationstests sind speziell darauf ausgelegt, die strengen Cybersicherheitsanforderungen der Medizinprodukteverordnung (MDR) zu erfüllen. Wir helfen Ihnen, Risiken zu identifizieren und zu mindern, um die Sicherheit Ihrer Medizinprodukte und Patientendaten zu gewährleisten.

Regulatorische Standards die wir abdecken

Unsere Penetrationstests helfen Ihnen, die Cybersicherheitsanforderungen wichtiger Medizinprodukteverordnungen und -standards zu erfüllen.

MDR (EU 2017/745)

Anhang I Cybersicherheitsanforderungen für CE-Kennzeichnung in Europa

IEC 81001-5-1

Sicherheit, Effektivität und Sicherheit von Gesundheitssoftware und Gesundheits-IT-Systemen

BSI TR-03161

Technische Richtlinie für mobile Gesundheitsanwendungen (DiGA)

IEC 62304

Lebenszyklus-Prozesse für Medizingeräte-Software

ISO 14971

Risikomanagement für Medizinprodukte einschließlich der Cybersicherheitsrisiken

MDCG 2019-16

EU-Leitfaden zur Cybersicherheit für Medizinprodukte

Unsere Penetrationstests für Medizinprodukte

Wir prüfen Ihre Medizinprodukte auf Sicherheit und Konformität.

SaMD & DiGA Penetrationstests

Spezialisierte Sicherheitsbewertungen für Software als Medizinprodukt (SaMD) und Digitale Gesundheitsanwendungen (DiGAs), um Patientensicherheit und regulatorische Konformität zu gewährleisten.

KI/LLM-Sicherheit für medizinische Anwendungen

Sicherheitstests für KI und große Sprachmodelle im Gesundheitswesen nach aktuellem Stand der Technik, die Risiken wie Modellmanipulation und Datenschutz adressieren.

Penetrationstests für Medizinprodukte

Wir testen die Sicherheit Ihrer vernetzten Medizinprodukte, um Schwachstellen zu identifizieren und zu beheben, bevor sie ausgenutzt werden können.

Mobile & Web Application Pentesting für das Gesundheitswesen

Wir sichern die mobilen und Webanwendungen, die Ihre Medizinprodukte steuern oder mit ihnen verbunden sind und Patientendaten verarbeiten.

Cloud-Sicherheit für Medizinprodukte

Wir überprüfen Ihre Cloud-Konfigurationen (AWS, Azure, GCP) auf Sicherheits-Best-Practices zum Schutz sensibler Patientendaten (ePHI).

Unterstützung bei der Einhaltung gesetzlicher Vorschriften

Wir helfen Ihnen, die Cybersicherheitsanforderungen der MDR und anderer internationaler Standards zu erfüllen.

Was wir testen

Unsere Penetrationstests decken alle Aspekte Ihres Medizinprodukt-Ökosystems ab.

Geräte-, Software- & Anwendungssicherheit

Mobile Apps, Web-Interfaces, Desktop-Anwendungen, eingebettete Software, Firmware, APIs und sichere Update-Mechanismen

Secure Code Review

Gründliche Quellcode-Analyse, um Sicherheitslücken zu finden, umsetzbare Fixes zu liefern und sichere Releases zu beschleunigen

Datensicherheit

Verschlüsselung, Datenspeicherung, Übertragungssicherheit und Patientendatenschutz

Authentifizierung & Zugriffskontrolle

Benutzerauthentifizierung, rollenbasierter Zugriff, Sitzungsverwaltung und Privilegien-Eskalation

Krankenhaus- und MedTech-spezifische Protokolle

HL7 (v2, v3) und FHIR; DICOM und andere medizinische Kommunikationsprotokolle sowie deren Implementierung und Sicherheit

Drittanbieter-Komponenten

Bibliotheken, Frameworks und externe Dienste, die in Ihre Lösung integriert sind

Häufige Schwachstellen in Medizinprodukten

Basierend auf unserer Erfahrung beim Testen von Medizinprodukten sind dies die kritischsten Sicherheitsprobleme, die wir häufig identifizieren.

Schwache Authentifizierung

Standard-Anmeldedaten, fest codierte Passwörter oder schwache Authentifizierungsmechanismen, die unbefugten Zugriff ermöglichen könnten

Unverschlüsselte Kommunikation

Patientendaten werden ohne Verschlüsselung über Bluetooth, Wi-Fi oder Internetverbindungen übertragen

Unsichere Update-Mechanismen

Firmware-Updates ohne Signaturverifizierung, die das Einschleusen von Schadcode ermöglichen

Unzureichende Eingabevalidierung

Fehlende ordnungsgemäße Validierung führt zu Injection-Angriffen oder Pufferüberläufen

Unsichere API-Endpunkte

Ungeschützte oder schlecht gesicherte APIs, die sensible Patientendaten preisgeben oder unbefugten Systemzugriff ermöglichen könnten

Datenschutzverletzungen

Übermäßige Datenerfassung, unsichere Datenspeicherung oder unsachgemäße Datenspeicherung

Unser Ansatz zur Sicherheit von Medizinprodukten

Wir verfolgen einen risikobasierten Ansatz bei Penetrationstests für Medizinprodukte und konzentrieren uns auf die Bereiche, die das größte Risiko für die Patientensicherheit und den Datenschutz darstellen.

1

Bedrohungsmodellierung & Risikoanalyse

Wir identifizieren potenzielle Bedrohungen und Schwachstellen in Ihrem Medizinprodukte-Ökosystem.

2

Penetrationstests & Ausnutzung von Schwachstellen

Wir simulieren reale Angriffe, um Schwachstellen in Ihren Medizinprodukten zu identifizieren und auszunutzen.

3

Berichterstattung & Unterstützung bei der Behebung

Wir liefern einen detaillierten Bericht mit umsetzbaren Empfehlungen und unterstützen Ihr Team bei der Absicherung Ihrer Medizinprodukte und der Schließung von Sicherheitslücken.

4

Auditsichere Nachweise & Berichterstattung

Wir liefern die detaillierten technischen Ergebnisse und strategischen Empfehlungen, die Sie benötigen, um die Einhaltung der Cybersicherheitsanforderungen von MDR und FDA nachzuweisen.

Ihr Audit wird von Senior-Experten geleitet

Keine Junioren. Keine Generalisten. Spezialisten für Medizinproduktesicherheit.

Dr. Simon Weber Profile

Dr. rer. nat. Simon Weber

Senior Pentester & MedSec-Forscher

Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.

  • Promotion über Krankenhaus-Cybersicherheit
  • Kritische Schwachstellen in Krankenhaussystemen gefunden
  • Alumni der THB MedSec-Forschungsgruppe
Volker Schönefeld Profile

Dipl.-Inf. Volker Schönefeld

Senior Application Security Expert

Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.

  • 20+ Jahre als CTO, 50+ Mio. App-Downloads
  • Architektur und Absicherung großer IoT-Flotten
  • Certified Web Exploitation Specialist
Vollständige Team-Profile ansehen

Zeitplan für Tests

Typische Projektdauer basierend auf Gerätekomplexität.

1

Erstkontakt & Bedarfsanalyse

1 Tag

Erstes Gespräch zur Klärung Ihrer Anforderungen und Projektziele

2

Scoping & Angebot

1-2 Tage

Detaillierte Abstimmung des Testumfangs und Erstellung eines maßgeschneiderten Angebots

3

Projekt-Kickoff

1 Tag

Erforderliche Informationen und Dateien erhalten, Testumgebung einrichten und finale Abstimmung

4

Testdurchführung

5-15 Tage

Aktive Penetrationstests basierend auf Gerätekomplexität und Umfang

5

Berichterstellung

2-3 Tage

Umfassende Dokumentation der Ergebnisse und Anleitungen zur Behebung

6

Unterstützung bei der Behebung

Nach Bedarf

Unterstützung Ihres Teams bei der Behebung identifizierter Schwachstellen

7

Nachtest & Verifizierung

1-2 Tage

Überprüfung, dass Schwachstellen ordnungsgemäß behoben wurden und Erstellung eines Behebungsberichts

Warum Sie Machine Spirits die Sicherheit Ihrer Medizinprodukte anvertrauen sollten?

Tiefes Fachwissen in der Sicherheit von Medizinprodukten

Unser Team verfügt über langjährige Erfahrung in der Sicherheit von Medizinprodukten und regulatorischer Compliance.

Fokus auf Patientensicherheit

Wir legen bei allem, was wir tun, Wert auf die Patientensicherheit und stellen sicher, dass Ihre Medizinprodukte sicher und zuverlässig sind.

Umsetzbare & konforme Berichterstattung

Unsere Berichte sind so konzipiert, dass sie sowohl den Bedürfnissen Ihres technischen Teams als auch denen der Aufsichtsbehörden gerecht werden.

Häufig gestellte Fragen

Wann sollten wir Penetrationstests durchführen?

Idealerweise sollten Penetrationstests während der Entwicklung (Shift-Left-Ansatz) und vor der regulatorischen Einreichung durchgeführt werden. Regelmäßige Tests werden auch für die Marktüberwachung empfohlen.

Was ist der Unterschied zwischen Schwachstellen-Scanning und Penetrationstests?

Schwachstellen-Scanning verwendet automatisierte Tools zur Identifizierung bekannter Schwachstellen. Penetrationstests beinhalten manuelle Tests durch Sicherheitsexperten, die versuchen, Schwachstellen auszunutzen und Angriffe zu verketten, was tiefere Einblicke in reale Risiken bietet.

Wie stellen Sie die Patientensicherheit während der Tests sicher?

Wir führen Tests immer in isolierten Umgebungen mit Testgeräten durch. Wir testen niemals auf Produktionssystemen oder Geräten, die aktiv für die Patientenversorgung verwendet werden. Unsere Methodik priorisiert die Sicherheit und folgt den Best Practices für Medizinprodukttests.

Welche Ergebnisse erhalten wir?

Sie erhalten einen detaillierten technischen Bericht mit Schwachstellenbeschreibungen, Proof-of-Concept-Code, Risikobewertungen und spezifischen Anleitungen zur Behebung. Wir liefern auch eine Zusammenfassung für die Geschäftsführung und Unterstützung für regulatorische Einreichungen.

Können Sie bei regulatorischen Einreichungen helfen?

Ja, unsere Berichte sind darauf ausgelegt, regulatorische Einreichungen zu unterstützen. Wir stellen detaillierte Testnachweise und technische Ergebnisse bereit, die die Einhaltung der Cybersicherheitsanforderungen für MDR und andere EU-Vorschriften nachweisen.

Klare, umsetzbare und konforme Berichterstattung

Unsere Berichte bieten einen klaren und prägnanten Überblick über unsere Ergebnisse, mit umsetzbaren Empfehlungen, die leicht zu verstehen und umzusetzen sind. Wir liefern auch die Testnachweise, die Sie zur Unterstützung Ihrer Compliance-Dokumentation benötigen.

Vom Pentest zur MDR-Zertifizierung

dermanostic GmbH logo
Wir arbeiten seit mehreren Jahren mit Machine Spirits zusammen und schätzen ihre technische Expertise und unkomplizierte Zusammenarbeit. Ihre praxisnahen Empfehlungen haben maßgeblich dazu beigetragen, den Schutz der uns anvertrauten Patientendaten nachhaltig zu stärken.
Lucas Habrich
CTO, dermanostic GmbH
Alle Referenzen anzeigen

Bereit, Ihr Medizinprodukt zu sichern?

Kontaktieren Sie uns noch heute und erfahren Sie, wie wir Ihnen helfen können, Ihre Medizinprodukte zu sichern und die gesetzlichen Anforderungen zu erfüllen.

Telefon

+49 221 65031192

E-Mail

contact@machinespirits.com

Antwortzeit

Wir antworten in der Regel innerhalb von 24 Stunden an Werktagen auf alle Anfragen.

Durchschnittliche Antwortzeit: 6-12 Stunden

Nachricht senden