Labordiagnostikgeräte sind zu einem Hauptziel für Cyberkriminelle im Gesundheitswesen geworden. Die Forescout-Risikoanalyse 2025 identifiziert Labordiagnosegeräte - einschließlich Blut- und Urinanalysegeräte-als neue Hochrisikogeräte in Gesundheitsnetzwerken. Eine kritische Schwachstelle bleibt bestehen: Die zwischen diesen Analysegeräten und den Laborinformationssystemen ausgetauschten Daten werden häufig unverschlüsselt übertragen, was den Diebstahl von Patientendaten und die Manipulation von Diagnoseergebnissen ermöglicht.

Die Bedrohungslage geht über den Datenschutz hinaus. Im Mai 2024 legte der Ransomware-Angriff von Ascension Health die Laborsysteme in mehreren Bundesstaaten lahm, so dass Diagnosetests unterbrochen wurden und Krankenhäuser gezwungen waren, auf manuelle Arbeitsabläufe zurückzugreifen. Kürzlich wurden durch eine Fehlkonfiguration von MongoDB im Juni 2025 8 Millionen Patientendatensätze, darunter auch Diagnoseergebnisse, offengelegt, was zu HIPAA-Benachrichtigungen und behördlichen Untersuchungen führte.

Da 5-teilige Hämatologie-Analysegeräte zunehmend mit Laborinformationssystemen (LIS), Krankenhausinformationssystemen (KIS) und Cloud-basierten Telemedizin-Plattformen integriert werden, schafft jeder Integrationspunkt neue Angriffsvektoren. Doch den Beschaffungsteams im Gesundheitswesen fehlen oft die Rahmenbedingungen, um die Cybersicherheit bei der Geräteauswahl zu bewerten.

Dieser Artikel bietet Beschaffungsteams, IT-Direktoren, Compliance-Beauftragten und Risikomanagementexperten den Rahmen für die Bewertung von Anbietern, eine Checkliste für die Einhaltung von Vorschriften und eine Referenz zu technischen Standards, die sie benötigen, um im Jahr 2025 und darüber hinaus sichere Kaufentscheidungen zu treffen.

Warum angeschlossene Hämatologie-Analysatoren Hochrisiko-Geräte sind

Die Angriffsfläche vergrößert sich mit der Konnektivität

Angeschlossene Hämatologie-Analysegeräte schaffen drei primäre Gefährdungspfade:

LIS/HIS-Integration (Hauptangriffsvektor)

Laborinformationssysteme empfangen Daten von hämatologischen Analysegeräten über HL7-Nachrichtenprotokolle. Ältere HL7 v2-Implementierungen übertragen Nachrichten oft unverschlüsselt und schaffen so direkte Wege für die Datenexfiltration, die Verfälschung von Ergebnissen und die Einspeisung falscher Daten. Moderne FHIR-APIs erfordern eine OAuth2-Authentifizierung, doch eine unsachgemäße Implementierung in Krankenhausumgebungen setzt die Systeme weiterhin unbefugtem Zugriff aus.

Cloud-basierte Telemedizin und KI-Diagnostik

Portale für den Fernzugriff auf Ergebnisse, KI-gestützte Morphologieanalysen, die eine Bildübertragung erfordern, und Dashboards für die Gesundheit der Bevölkerung, die Diagnosedaten zusammenfassen, schaffen sekundäre Integrationspunkte. Cloud-Anbieter von Drittanbietern, die hämatologische Bilder analysieren, bringen Risiken für die Cybersicherheit der Lieferkette mit sich, die über die Grenzen des Krankenhausnetzwerks hinausgehen.

IoT-Geräte-Management

Firmware-Updates, prädiktive Wartungsüberwachung und Dashboards für den Gerätezustand stellen dauerhafte Netzwerkverbindungen her, die bei unsachgemäßer Sicherung zu Angriffspfaden für dauerhafte Malware und Datenexfiltration werden.

Die unterstützenden Daten der Forescout-Analyse aus dem Jahr 2025 zeigen eine beunruhigende Realität: Die unverschlüsselte Datenübertragung zwischen Analysegeräten und LIS ist in vielen Einrichtungen des Gesundheitswesens nach wie vor gängige Praxis. Ältere Geräte, die im Durchschnitt mehr als 10 Jahre alt sind, erhalten nach der Bereitstellung keine Software-Sicherheitsupdates. Nur 10% der angeschlossenen medizinischen Geräte verfügen über einen aktiven Malware-Schutz, obwohl 52% mit Windows-Betriebssystemen arbeiten.

Die Patientensicherheit ist direkt gefährdet

Eine Verletzung der Cybersicherheit bei einem hämatologischen Analysegerät ist nicht nur ein Vorfall, der den Datenschutz betrifft, sondern eine direkte Bedrohung der Patientensicherheit. Betrachten Sie diese klinischen Szenarien:

Datenvergiftung und Diagnosemanipulation: Böswillige Akteure können Diagnosealgorithmen manipulieren und so die Anzahl der weißen Blutkörperchen verfälschen, Leukämieblasten übersehen oder Thrombozytenwerte verändern, die für wichtige Behandlungsentscheidungen maßgeblich sind.

Erzeugung falscher Ergebnisse: Angreifer können gefälschte CBC-Ergebnisse in das System einspeisen, auf die die Ärzte reagieren, ohne die Manipulation zu bemerken, was zu falschen Diagnosen und unangemessenen Behandlungen führt.

Angriffe auf die Geräteverfügbarkeit: Ransomware, die die Funktionalität von Analysegeräten deaktiviert, verhindert dringende Tests. Bei einem Sepsis-Patienten auf der Intensivstation verzögert sich die Einleitung einer angemessenen Therapie, was das Sterberisiko um 4-9% pro Stunde Diagnoseverzögerung erhöht.

Integritätsangriffe mit verlängerter Verweildauer: Die durchschnittliche Verweildauer bei Sicherheitsverletzungen im Gesundheitswesen beträgt mehr als 279 Tage, was bedeutet, dass Angreifer Daten über Monate hinweg unentdeckt manipulieren können. Wenn Audit-Protokolle nicht richtig konfiguriert sind, können sie keine Beweise für Ergebnisänderungen erfassen.

Der Ransomware-Angriff von Change Healthcare im Februar 2024 legte landesweit die Abrechnungs- und Bestellsysteme von Laboren lahm und zwang Krankenhäuser, wochenlang auf papierbasierte Arbeitsabläufe zurückzugreifen. Diese kaskadenartige Auswirkung zeigt, wie sich die Sicherheit von Analysegeräten auf nachgelagerte Krankenhausabläufe auswirkt, die über das Labor selbst hinausgehen.

Das regulatorische Umfeld wird 2025 strenger

Vorgeschlagene und erwartete Aktualisierungen der HIPAA-Sicherheitsregeln (voraussichtlich 2025) schränken die Flexibilität bei den anzusprechenden Schutzmaßnahmen erheblich ein: Verschlüsselung (sowohl im Ruhezustand als auch bei der Übertragung), Mehr-Faktor-Authentifizierung, Netzwerksegmentierung, vierteljährliche Schwachstellen-Scans und Penetrationstests. Medizinische Geräte fallen nun ausdrücklich in den Anwendungsbereich von Risikobewertungen, wodurch frühere Unklarheiten beseitigt werden.

Die FDA-Richtlinie Section 524B verlangt von den Herstellern die Implementierung von Secure Product Development Frameworks (SPDF) und Bedrohungsmodellen bei der Einreichung von Anträgen vor der Markteinführung - damit wird Cybersicherheit als regulatorische Anforderung und nicht als optionale Erweiterung anerkannt. ISO 81001-5-1 bietet einen weltweit harmonisierten Prozessstandard, auf den die FDA, die EU-Regulierungsbehörden, die japanische PMDA und Singapur verweisen.

Dreiundsiebzig Prozent der Organisationen des Gesundheitswesens geben an, dass neue FDA- und EU-Vorschriften bereits ihre Kaufentscheidungen für Geräte beeinflussen.

Das Mandat zur Einhaltung von Vorschriften: Was sich 2025 geändert hat

Aktualisierungen der HIPAA-Sicherheitsregel 2025

Der Wechsel von “erforderlich vs. adressierbar” zu einer obligatorischen Einhaltung der Vorschriften stellt einen grundlegenden Wandel in der Art und Weise dar, wie Organisationen des Gesundheitswesens die Sicherheit von Medizinprodukten angehen müssen:

Absicherung	Vorheriger Status	2025 Status	Anforderung an den Analyzer
Verschlüsselung (im Ruhezustand und bei der Übertragung)	Adressierbar	Obligatorisch	Der Anbieter muss alle ePHI lokal und in der LIS-Kommunikation verschlüsseln
Multi-Faktor-Authentifizierung	Adressierbar	Obligatorisch	Fernzugriff erfordert MFA (nicht optional)
Segmentierung des Netzes	Adressierbar	Obligatorisch	Der Analyzer muss sich in einem isolierten VLAN befinden
Vierteljährliche Schwachstellenscans	Empfohlen	Obligatorisch	Gesundheitseinrichtung muss Analysegerät unabhängig scannen
Penetrationstests	Empfohlen	Obligatorisch	Anbieter stellt Dokumentation zur Verfügung; Organisation führt unabhängige Tests durch
Jährliche Bestandsaufnahme der Technologie	Implizit	Obligatorisch	Inventarisierung aller angeschlossenen Geräte mit Sicherheitsstatus

Organisationen des Gesundheitswesens tragen nun die Verantwortung für die Prüfung der von ihnen beschafften Geräte - die Anbieter können sich dieser Verpflichtung nicht entziehen. Das HHS Office for Civil Rights erwartet eine vollständige Dokumentation der Einhaltung der Vorschriften innerhalb von 10 Werktagen nach der Benachrichtigung. Werden die Sicherheitsaktivitäten nicht dokumentiert, drohen empfindliche Strafen von $100 bis $50.000+ pro Verstoß und offenem Datensatz.

FDA-Anleitung zur Cybersicherheit: Abschnitt 524B

Der Abschnitt 524B der FDA schreibt vor, dass die Hersteller neuer Hämatologie-Analysegeräte ein Rahmenwerk für die sichere Produktentwicklung implementieren, das von Anfang an eine Bedrohungsmodellierung beinhaltet. Die Hersteller müssen Angriffsvektoren für LIS/HIS-Integrationspunkte, Firmware-Aktualisierungsmechanismen, Fernzugriffsfunktionen und Cloud-basierte API-Integrationen identifizieren. Die FDA prüft zunehmend Cybersicherheitsmerkmale, wenn sie Prädikate für 510(k)-Geräte für die Feststellung der wesentlichen Gleichwertigkeit ermittelt.

ISO 81001-5-1: Prozessnorm für die Cybersicherheit von Medizinprodukten

ISO 81001-5-1 ist eine Prozessnorm (kein Zertifizierungssystem). Hersteller weisen ihre Konformität nach, indem sie Sicherheitsaktivitäten in ihr Qualitätsmanagementsystem (QMS) integrieren, Bedrohungsmodelle erstellen und Sicherheitstests durchführen. Fordern Sie bei der Beschaffung von den Anbietern die folgenden Informationen an:

(1) Nachweis der in das QMS integrierten Sicherheitsaktivitäten,

(2) Dokumentation der Bedrohungsmodellierung und Risikobewertung,

(3) Ergebnisse von Sicherheitstests. Verlangen Sie “Unterlagen über die nachgewiesene Konformität” anstelle von “Zertifizierungszertifikaten”.”

Vereinbarungen für Geschäftspartner: Die Verantwortlichkeit des Anbieters explizit machen

Wenn ein Anbieter auf geschützte Gesundheitsinformationen (PHI) zugreift, ist ein Business Associate Agreement (BAA) zwingend erforderlich, bevor der Zugriff beginnt. Zu den nicht verhandelbaren BAA-Klauseln gehören:

• Erlaubte Nutzung/Weitergabe: Beschränken Sie den Anwendungsbereich des Anbieters ausdrücklich auf bestimmte Analysefunktionen; verbieten Sie sekundäre Verwendungen wie das Training von KI-Modellen.
• Verwaltung von Unterauftragsverarbeitern: Verlangt von den Anbietern, dass sie alle Cloud-Anbieter und KI-Anbieter auflisten; verlangt eine schriftliche Genehmigung, bevor neue Unterauftragsverarbeiter hinzugefügt werden
• Rückgabe/Vernichtung von Daten: Bei Vertragsende werden alle PHI innerhalb von 30 Tagen vernichtet oder zurückgegeben.
• Benachrichtigung bei Verstößen: Der Anbieter benachrichtigt innerhalb von 24 Stunden über eine vermutete Verletzung
• Audit-Rechte: Die Gesundheitseinrichtung behält das Recht, den Anbieter zu prüfen und Sicherheitsbewertungen anzufordern
• Entschädigung: Verkäufer haftet für OCR-Sanktionen, die sich aus dem Verstoß des Verkäufers ergeben
• Cyber-Haftpflichtversicherung: Mindestdeckung von $5M; Zertifikat wird jährlich vorgelegt
• Offenlegung von Schwachstellen: Der Anbieter legt bekannte Schwachstellen und den Zeitplan für deren Behebung innerhalb von 30 Tagen offen.

Ein Anbieter, der sich weigert, Fristen für die Offenlegung von Schwachstellen oder Prüfungsrechte anzugeben, sollte sofort disqualifiziert werden.

Der Cybersecurity Stack: Technische Standards für vernetzte Analysatoren

Datenintegrationsstandards: HL7 v2 vs. FHIR

Die älteren HL7 Version 2-Nachrichten haben keine integrierte Sicherheit und erfordern zusätzliche Verschlüsselungsebenen zum Schutz. HL7 v2 ist zwar in älteren Krankenhaussystemen noch weit verbreitet, birgt aber ein höheres Risikoprofil.

Das moderne HL7 FHIR (Fast Healthcare Interoperability Resources) beinhaltet eine native OAuth2-Authentifizierung und verwendet eine RESTful-API-Architektur mit einem verschlüsselten Design. FHIR ist die zukunftssichere Richtung für die Interoperabilität im Gesundheitswesen.

Beschaffungsanforderung: In der Ausschreibung angeben, dass “die LIS-Integration entweder HL7 FHIR mit OAuth2 ODER HL7 v2 mit obligatorischer TLS 1.2+ Verschlüsselung verwenden muss.”

Normen für Point-of-Care-Geräte: IEEE 11073

IEEE 11073 bietet standardisierte Kommunikationsprotokolle für eine sichere Geräte-zu-System-Verbindung. Die SDC-Variante (Service-Oriented Device Connectivity) ermöglicht die klinische Koordination in Echtzeit und die bidirektionale Kommunikation zwischen Hämatologie-Analysegeräten und KIS.

Grundlegende Anforderungen für Verschlüsselung und Authentifizierung

• TLS 1.2+: Obligatorisch für alle ePHI-Übertragungen (NIST-Standard; alles darunter ist veraltet)
• Ende-zu-Ende-Verschlüsselung: Schutz der Daten im Ruhezustand und bei der Übertragung (Mindeststandard AES-256)
• Rollenbasierte Zugriffskontrolle (RBAC): Differenzierte Zugriffsebenen für technisches Personal, Laborleiter und IT-Administratoren
• Multi-Faktor-Authentifizierung (MFA): Erforderlich für alle Fernzugriffe (obligatorisch gemäß HIPAA 2025)
• API-Sicherheit: OAuth2/OpenID Connect für Integrationen von Drittanbietern (niemals einfache Authentifizierung)

Fallstudien aus der realen Welt: Warum Cybersicherheitsentscheidungen wichtig sind

Ascension Health Ransomware-Angriff (Mai 2024)

Ransomware störte Laborsysteme in mehreren Bundesstaaten, setzte diagnostische Tests aus und zwang Krankenhäuser, Operationen und Notfalldiagnosen zu verschieben. Die Ursache: Bei den angeschlossenen Diagnosegeräten fehlte eine Netzwerksegmentierung, so dass sich die Ransomware von der Erstinfektion bis zu den Laboranalysegeräten ausbreiten konnte. Lektion: Netzwerksegmentierung ist nicht optional - sie muss eine zwingende vertragliche Implementierungsanforderung sein.

MongoDB-Fehlkonfiguration (Juni 2025)

Eine unverschlüsselte Cloud-Datenbank enthüllte 8 Millionen Patientendatensätze einschließlich Diagnoseergebnissen. Die KI-gesteuerte Plattform für diagnostische Analysen speicherte die Ergebnisse ohne Verschlüsselung im Ruhezustand, was eine Benachrichtigung über die Verletzung des HIPAA und eine behördliche Untersuchung erforderlich machte. Lektion: Verschlüsselung im Ruhezustand ist nicht verhandelbar - Anbieter müssen sie als Standardpraxis implementieren, nicht als optionale Erweiterung.

Forescout Honeypot-Studie: 1,6 Millionen Angriffsversuche

Die Analyse eines simulierten medizinischen Geräts in einem Netzwerk des Gesundheitswesens ergab, dass über 12 Monate hinweg etwa alle 20 Sekunden ein Angriff stattfand. Bei Laborgeräten gab es etwa 23.000 Versuche, die speziell auf den Zugriff auf DICOM- und Labordaten abzielten. Auswirkung: Analysegeräte, die mit Krankenhausnetzwerken verbunden sind, stehen unter ständigem Angriffsdruck; nicht gepatchte Schwachstellen werden von automatisierten Angriffstools schnell ausgenutzt.

Ransomware im Gesundheitswesen ändern (Februar 2024)

Die Abrechnungs- und Bestellsysteme für Labore sind landesweit zusammengebrochen, so dass die Krankenhäuser wochenlang auf Papierabläufe zurückgreifen mussten. Lektion: Die Sicherheit von Analysegeräten muss nachgelagerte Integrationen berücksichtigen (LIS → KIS → Abrechnungssysteme). Die Netzwerksegmentierung ist nach wie vor entscheidend.

Rahmen für die Bewertung der Beschaffung: Aufbau Ihrer Bewertung

RFP Cybersecurity Anforderungen Scorecard

Erstellen Sie einen gewichteten Bewertungsrahmen:

Anforderung	Gewicht	Kriterien für die Punktevergabe
ISO 81001-5-1 Konformitätsnachweis	25%	Nachgewiesene Übereinstimmung = 25 Punkte; Fahrplan = 15 Punkte; Keine = 0 Punkte
Dokumentation zu Penetrationstests	20%	Prüfung durch Dritte (kürzlich) = 20 Punkte; Interne Prüfung = 10 Punkte; Keine = 0 Punkte
Bedrohungsmodellierung + SPDF-Dokumentation	15%	Entwurfskontrollen von Anfang an = 15 Punkte; später hinzugefügt = 5 Punkte; keine = 0 Punkte
LIS-Integration Sicherheit	15%	FHIR mit OAuth2 = 15 Punkte; HL7 v2 mit TLS 1.2+ = 10 Punkte; Unverschlüsselt = 0 Punkte
HIPAA BAA + Cyber-Versicherung	10%	Unterzeichnete BAA + $5M+ Versicherung = 10 Punkte; Teilweise = 5 Punkte; Keine = 0 Punkte
Schwachstellen-Reaktions-SLA	10%	60 Tage = 0 Punkte
Referenzen zur Kundensicherheit	5%	IT-Leiter im Gesundheitswesen bestätigen Sicherheit = 5 Punkte

Schwellenwerte für die Bewertung: 80+ Punkte = genehmigt; 60-79 Punkte = Anforderung eines Nachbesserungsplans; <60 Punkte = keine Auftragsvergabe.

Rote Flaggen (automatische Ablehnung)

• Der Anbieter verweigert die Dokumentation der Penetrationstests
• Keine Übereinstimmung mit ISO 81001-5-1 + kein Zeitplan für Abhilfemaßnahmen
• Nicht bereit, HIPAA BAA mit Entschädigung zu unterzeichnen
• HL7-Integration mit unverschlüsselter Übertragung
• Fernzugriff standardmäßig aktiviert
• Standard-Anmeldeinformationen können bei der Bereitstellung nicht geändert werden
• Sitzungszeitüberschreitungen nicht konfigurierbar

Schlussfolgerung: Cybersicherheit als Grundpfeiler für die Beschaffung von Medizinprodukten

Cybersicherheit ist nicht mehr optional, sondern steht aufgrund gesetzlicher Vorgaben auf dem Spiel, wenn es um den Marktzugang von Medizinprodukten geht. HIPAA 2025, FDA Section 524B und ISO 81001-5-1 schaffen verbindliche Anforderungen sowohl für Anbieter als auch für Organisationen im Gesundheitswesen.

Vernetzte Hämatologie-Analysegeräte schaffen durch LIS-Integration, Cloud-Konnektivität und IoT-Verwaltungsfunktionen erweiterte Angriffsflächen. Eine Verletzung der Cybersicherheit ist nicht nur ein Datenschutzvorfall - sie bedroht direkt die Diagnosegenauigkeit und die Patientensicherheit.

Unternehmen, die diese Rahmenbedingungen für die Beschaffung bereits heute einbeziehen, können kostspielige Sicherheitsverletzungen, behördliche Strafen und Ausfälle bei der Patientensicherheit vermeiden. Verlangen Sie von den Anbietern den Nachweis der Cybersicherheit durch dokumentierte Beweise, nicht durch Marketingaussagen. Bewerten Sie die Modellierung von Bedrohungen, die Methodik von Sicherheitstests und die Prozesse zur Behebung von Schwachstellen nach der Markteinführung. Verlangen Sie in den Implementierungsverträgen eine Netzwerksegmentierung, Verschlüsselung und Planung der Reaktion auf Zwischenfälle.

Die Beschaffungsentscheidung ist im Wesentlichen eine Sicherheitsentscheidung. Wählen Sie weise.

Häufig gestellte Fragen

1. Erfordert die Zertifizierung nach ISO 81001-5-1 Audits durch Dritte?

Nein. ISO 81001-5-1 ist eine Prozessnorm, kein Zertifizierungssystem. Die Hersteller weisen die Einhaltung der Norm durch dokumentierte Nachweise der Integration von Sicherheitsaspekten in ihr QMS, Bedrohungsmodellierung und Sicherheitstests nach - sowohl interne als auch externe Ansätze sind zulässig.

2. Können wir ältere HL7 v2-Analysatoren verwenden, wenn wir TLS 1.2+ Verschlüsselung anwenden?

Ja, unter Vorbehalt. Ältere HL7 v2-Systeme sind nur dann akzeptabel, wenn bei allen Datenübertragungen eine TLS 1.2+ Verschlüsselung erzwungen wird. FHIR mit OAuth2 wird jedoch für zukünftige Beschaffungen aufgrund der besseren integrierten Sicherheitsarchitektur bevorzugt.

3. Was ist der typische Kostenunterschied zwischen gesicherten und ungesicherten Analysegeräten?

Sicherheitsbewusste Hersteller erhöhen die Gerätekosten durch Designkontrollen, Bedrohungsmodellierung und Sicherheitstests in der Regel um 5-15%. Diese Kosten werden durch die Verhinderung von Sicherheitsverletzungen (durchschnittliche Sicherheitsverletzungen im Gesundheitswesen: $10,9 Mio.) und betriebliche Effizienzgewinne bei weitem aufgewogen.

4. Wie schnell müssen die Anbieter aufgedeckte Schwachstellen beheben?

Bewährte Praxis der Branche: <30 Tage für kritische Schwachstellen, 30-60 Tage für besonders schwerwiegende Probleme. Aufnahme einer expliziten SLA in die BAA, die eine Benachrichtigung des Anbieters über den Zeitplan für Schwachstellen und die Verfügbarkeit von Patches vor der Bereitstellung von Geräten vorschreibt.

5. Ist eine Netzsegmentierung (VLAN-Isolierung) immer notwendig?

Ja, die Netzwerksegmentierung ist jetzt gemäß den HIPAA-Anforderungen von 2025 vorgeschrieben. Analysegeräte müssen sich in isolierten VLANs befinden, um die Ausbreitung von Ransomware auf nachgelagerte Systeme (LIS, KIS, Abrechnung) zu verhindern. Dies ist eine nicht verhandelbare Implementierungsanforderung.

6. Was geschieht, wenn sich ein Anbieter weigert, eine BAA mit Entschädigungsleistung zu unterzeichnen?

Sofortige Disqualifizierung. Wenn ein Anbieter auf PHI zugreift, ist eine BAA gesetzlich vorgeschrieben. Die Weigerung, Entschädigungsklauseln aufzunehmen, deutet auf die mangelnde Bereitschaft hin, die Haftung für Verstöße zu übernehmen - ein Zeichen für schlechte Sicherheitspraktiken.

7. Müssen wir Penetrationstests durchführen, wenn der Anbieter die Testergebnisse vor der Veröffentlichung bereitstellt?

Die Dokumentation des Anbieters bildet die Grundlage; Gesundheitseinrichtungen sollten unabhängige Penetrationstests durchführen. Die Häufigkeit der Penetrationstests hängt von der Risikobewertung ab, sollte aber mindestens einmal jährlich erfolgen. Dies ist nun gemäß HIPAA 2025 vorgeschrieben.

8. Wie gehen wir mit Analysegeräten um, die bereits ohne aktuelle Sicherheitsstandards eingesetzt werden?

Führen Sie eine sofortige Risikobewertung durch. Ältere Geräte können für die Übergangskonformität nach ISO 81001-5-1 (Anhang F) in Frage kommen, wenn sie in kontrollierten Umgebungen mit kompensierenden Sicherheitskontrollen (Segmentierung, Überwachung, Zugangsbeschränkungen) betrieben werden.

Über Ozelle:Ozelle ist ein Anbieter digitaler Diagnoselösungen aus dem Silicon Valley, der KI-gestützte medizinische Diagnosegeräte mit integrierten Sicherheits-, Qualitätssicherungs- und IoT-Plattformfunktionen bereitstellt. Erfahren Sie mehr unter https://ozellemed.com/en/