Abgespecktes NIS 2: Erfahrungen aus der Implementierung

NIS 2 ist ein voraussichtlich ab Oktober 2024 geltendes IT-Sicherheitsgesetz, welches für eine breite Menge an sicherheitskritischen Unternehmen verpflichtend neue Anforderungen zur Stärkung der Resilienz gegen Cyber-Angriffe vorgibt.
In diesem Vortrag sollen erlebte Erfahrungen aus Projekten vorgestellt werden. Die zuständigen Behörden können diese Regeln für die Masse an betroffenen Unternehmen bis dato nicht prüfen und stellen auch keine Unterstützung zur Implementierung bereit. In der Personal- und Geldnot werden, wenn überhaupt, oft nur für die wichtigsten Sicherheitslücken Gelder bereitgestellt. Daher soll darauf eingegangen werden, wie könnte eine abgespeckte NIS2-Version aussehen. Im Genaueren wird auf die folgenden Fragen eingegangen:
• Wer ist betroffen und welche Auswirkungen besitzt das Lieferkettenmanagement
• Was sind die essenziellen Schritte für diverse Screening-Methoden?
• Welche Maßnahmen haben geringe Kosten und eine hohe Wirkung?
• Was waren die größten Herausforderungen und was haben wir gelernt?
Im Anschluss wird auf die Umsetzung und die Frage eingegangen, wie sich Qualitätsmanagement mit agiler Entwicklerpraxis vereinen lassen?

Referent: Alexander Müller, sepp.med GmbH

Vom 2015 – 2017 arbeitete Alexander Müller als Chemielaborant in Qualitätsmanagement, R&D, sowie in Produktionsgetriebenen Bereichen verschiedener Pharma- und MedTec-Unternehmen. Daraufhin studierte er 2018 Medizinisches Management im Bachelor und Regulatory Affairs/ Digitale Medizin im Master an der Technischen Hochschule in Gießen. Während des Masterstudiengangs verwaltete er an der Seite eines MedTec-Herstellers die Zulassungen für Medizinprodukte, Biozide und weiterer Produktklassen und war an der Überführung von MDD-Zulassung in die MDR beteiligt. Danach wechselte in den Consulting-Bereich, um sich auf Medizinprodukte zu fokussieren. In dieser Tätigkeit war er vorwiegend für die Erstellung der Technische Dokumentation sowie Gutachten zuständig und trat mit vielen benannten Stellen in Kontakt. Nach dieser Tätigkeit wechselte Alexander Müller zu Sepp.Med, wo IT-getriebene Medizinprodukte und Software-as-Medical-Devices mehr in den Fokus rückten. Aktuell unterstützt er Kunden bei AI-driven-Devies, Cyber Securty, normkonforme Dokumentation, sowie QMS.

Fuzzing findet Fehler

Fuzzing findet Fehler, die mit klassischen Tests häufig unentdeckt bleiben. In diesem Vortrag wollen wir beleuchten wie Fuzzing-Tests die Sicherheit von Medizinprodukten verbessern kann und Fragen beantworten wie: welche Fuzzing-Ansätze gibt es? Was ist regulatorisch gefordert? Wie starte ich einen ersten Fuzzing-Test? Was kostet Fuzzing?

Referent: Oliver Brahmstädt, Drägerwerk AG & Co. KGaA

Oliver Brahmstädt ist als Chief Product Security Officer verantwortlich für die Cybersecurity der Medizinprodukte von Dräger. Vorher hat er 5 Jahre als Freelancer Unternehmen wie Fresenius Medical Care AG und Carl Zeiss Meditec AG zum Thema IT-Sicherheit in Medizinprodukten beraten. Er hat Wirtschaftsinformatik studiert und sowohl in der Software-Entwicklung als auch im Rechenzentrums-Betrieb sowie als Dozent für Rechnernetze gearbeitet.

Lieferkettenmanagement und Lieferanten-Governance

Angriffe auf die Lieferkette (Supply Chain Attacks) werden entsprechend eines Reports der ENISA (European Union Agency for Cybersecurity ) bis 2030 unter den Top 5 Bedrohungsszenarien sein. Das macht auch Sinn, denn in der heutigen vernetzten Welt ist die IT-Sicherheit der Lieferkette für Unternehmen von entscheidender Bedeutung. Gründe dafür sind unter anderem:

• Große Angriffsfläche – Ein erfolgreicher Angriff auf einen einzigen Lieferanten kann potenziell viele nachgelagerte Unternehmen betreffen.
• Schwächere Sicherheitsvorkehrungen – Kleine und mittlere Unternehmen, die Teil der Lieferkette sind, haben oft weniger ausgeprägte Sicherheitsmaßnahmen als große Unternehmen.
• Vertrauensstellung – Lieferanten und Partner haben oft privilegierten Zugang zu Systemen und Daten des Hauptunternehmens. Angreifer können diesen vertrauenswürdigen Zugang missbrauchen, um sich unbemerkt in das System zu schleichen.
• Erschwerte Entdeckung: Angriffe auf die Lieferkette sind schwer zu entdecken, da sie oft über legitime Kommunikationswege und vertrauenswürdige Zugänge erfolgen

Dieser Vortrag behandelt die essenziellen Prozesse für ein sicheres Lieferkettenmanagement, Lieferantenqualifizierung und eine effektive Lieferanten-Governance, um die Produktsicherheit zu gewährleisten.

Anhand einer Reihe von Fragen soll eindrücklich erläutert werden, ob ein Unternehmen über die notwendigen Maßnahmen verfügt und was in Bezug auf Cyber Security im Rahmen der Lieferantenqualifizierung und Lieferkette zu beachten ist. Wesentliche Themen sind unter anderem eine klare Definition von Rollen und Verantwortlichkeiten, dokumentierte Prozesse für „secure“ Produktdesign und Implementierung, Einhaltung anerkannter Standards und das Risikomanagement der (externen) Komponenten. Darüber hinaus soll tiefer über den „Graubereich“ der Verantwortlichkeit zwischen Unternehmen (Inverkehrbringer) und der Lieferkette gesprochen werden, beispielsweise Richtlinien für Updates und Schwachstellenüberwachung.

Der Vortrag richtet sich an Fach- und Führungskräfte aus den Bereichen Produktentwicklung, Beschaffung und Qualitätssicherung.

Referent: Dr. Martin Neumann, infoteam Software AG

Dr. Martin Neumann ist ein Regulatory Affairs Consultant im Bereich Life Science bei der infoteam Software AG. Er ist spezialisiert auf Cybersicherheit bei Medizinprodukten. Zu seinen Aufgaben gehören die Beratung und Unterstützung von Unternehmen bei der Einhaltung der regulatorischen Anforderungen der EU-MDR/EU-IVDR, der US-FDA sowie der Normen für die Entwicklung medizinischer Software. Außerdem ist er für das Risikomanagement verantwortlich. Weiterhin ist er Mitglied des Competence Center Security.

Threat Modelling praktische Methoden, Tools und Lösungen

Seit Cybersecurity zunehmend an Bedeutung gewonnen hat, stehen uns zahlreiche Tools und Methoden zur Verfügung. In diesem Vortrag präsentieren wir einige praktische Lösungen und Tools, die sich besonders gut für das Threat Modelling eignen. Wir zeigen, wie sich Data Flow Diagramme und Swimlanes effektiv einsetzen lassen und welche Tools auf dem Markt am besten unterstützen. Außerdem gehen wir darauf ein, wie einfach sich diese Tools in bestehende Workflows, beispielsweise in Atlassian oder Microsoft, integrieren lassen
Der Vortrag beleuchtet die Frage, ob es sich lohnt, mehrere Methoden zu kombinieren, oder bedeutet das nur zusätzlichen Aufwand ohne großen Nutzen. Und welche Tools sind vertrauenswürdig? Sind die Ergebnisse, die sie liefern, zuverlässig und qualifiziert für den Einsatz?
In diesem Vortrag stellen wir einige Threat Modelling Tools vor und diskutieren, wie nützlich sie für das Risikomanagement in der Cybersecurity sind.

Darüber hinaus betrachten wir den Mehrwert einer Kombination verschiedener Methoden und stellen die Vertrauenswürdigkeit und Zuverlässigkeit der Tools in den Fokus. Unser Vortrag bietet einen umfassenden Überblick über aktuelle Threat Modelling Tools und ihre Nützlichkeit für das Risikomanagement in der Cybersecurity, einschließlich der eingesetzten Threat-Datenbanken und der Vergleichbarkeit der Tools mit den besten etablierten Lösungen.

Referenten: Verena Wieser und Alastair Walker, Lorrit Consultancy GmbH

Verena arbeitet seit 8 Jahren im Bereich Medizinprodukte und ist auf Software as a Medical Device (SaMD) spezialisiert.

Als Software-Engineer konnte sie praktische Erfahrung im Softwarelebenszyklus von der initialen Anforderungsformulierung, über die Implementierung von Anforderungen bis hin zum Testen von Software sammeln. Ein besonderer Fokus lag dabei auch auf der Validierung nach dem GAMP 5 Standard.

Nach ihrer Tätigkeit als Software-Engineer wechselte Verena in den Bereich Qualitätsmanagement/ Regulatory Affairs und arbeitete in Projekten zur kontinuierlichen Verbesserung der QMS-Prozesse, insbesondere des Software-Entwicklungsprozesses nach IEC 62304 und dem Risikomanagementprozesse nach ISO14971, mit. Als interne Auditorin führte sie interne Audits für die MDD, MDR und die Standards 9001 und 13485 durch.

Ihre Rolle als Qualitätsmanagerin beinhaltete auch die regelmäßige Durchführung der Post-Market- Surveillance Aktivitäten und die Erstellung der dazugehörigen Dokumentation sowie die Bearbeitung von CAPAs. In regelmäßigen Schulungen informierte sie über Änderungen an Regularien und dem QMS.

Alastair hat über 25 Jahre Erfahrung in der Entwicklung sicherheitsrelevanter Produkte für die Medizintechnik, den Fahrzeugbau und die Raum- und Luftfahrtindustrie.

Er war viele Jahre Berater für funktionale Sicherheit und hat an zahlreichen Fahrzeugbau-Projekten gemäß ASIL D mitgewirkt.

Neben der Entwicklung von Medizingeräten konnte er auch Entwicklern beratend zur Seite stehen und blickt auf umfangreiche Kenntnisse in der Implementierung sicherer, programmierbarer elektrischer Medizinsystem-Architekturen (PEMS-Architekturen) nach 60601 und Software der Klasse C 62304 zurück. Darüber hinaus verfügt Alastair über umfassende Erfahrungen in der Entwicklung von Systemen, Hardware und embedded Software.

Alastair hat jahrelange Erfahrungen mit Risikoanalyse-Techniken wie der Fault Tree Analysis (FTA), der Failure Mode Effects and Diagnostic Coverage Analysis (FMEDA) und Hazard and operability study (HAZOP bzw. PAAG). Zusätzlich verfügt er über technisches Fachwissen aus verschiedenen Industriezweigen, um bewährte Praktiken in bestimmten Bereichen einführen zu können.

Alastair ist ein erfahrener Trainer für Automotive und Medizintechnik Standards bzw. spezifische Industrieanforderungen.

Trust in digital communication

This is a presentation trying to explain what trust is – at the concept level as well as some key implementation details –
and why it is important – especially in digital communication.
I will try to take the edge off of technobabble like „certificate“, „x509“, „trust chain“ and the like and show the roots of these concepts in everyday life as well as where Digital Identities expand such concepts into new realms.

Referent: Jürgen Key, Carl Zeiss Meditec AG

Nach einem Studium der Informatik in Ilmenau arbeitete ich kurz als wissenschaftlicher Assistent bevor ich als Selbstständiger hauptamtlich Software im Bereich Luft- und Raumfahrt und der öffentlichen Verwaltung entwickelte und nebenberuflich als Übersetzer für Fachbücher (O’Reilly) tätig wurde.
Als ich dann vor einigen Jahren einen geregelten Lebensstil aufnahm arbeitete ich hauptsächlich in den Branchen Telekommunikation und (Digital) Broadcasting als Entwickler für Enterprise Solutions und embedded Systems.
Bei Zeiss angekommen kümmere ich mich um die Cybersecurity unserer Produkte und alle Aspekte rund um das Thema Digitale Identitäten für unsere Geräte aber auch Software-only Produkte.

Mein Steckenpferd ist die digitale beweisfeste Langzeitarchivierung…

IT-Sicherheit im Projektgeschäft: Erfahrungen und Herausforderungen

Das Thema IT-Sicherheit bringt im Rahmen des Projektgeschäfts seine eigenen Herausforderungen mit sich. Ein Beispiel dafür sind die je nach Projekt variierenden, zusammenspielenden Komponenten eines Gesamtsystems. Dabei muss sowohl die Sicherheit der jeweiligen Schnittstellen der einzelnen, oft von unterschiedlichen Unternehmen entwickelten Komponenten als auch die des Gesamtsystems als Ganzes betrachtet werden. Eine weitere Herausforderung besteht im Umgang mit Kunden und der Sensibilisierung für das Thema IT-Sicherheit. Nicht allen sind die damit verbundenen Anforderungen und Aufwände bewusst, und es wird häufig versucht, diese zu umgehen. Auch das Erstellen einer Dokumentation, insbesondere im Zusammenspiel mehrerer Qualitätsmanagementsysteme (QMS), bringt besondere Herausforderungen mit sich. Zusammenfassend lässt sich sagen, dass IT-Sicherheit im Projektgeschäft immer wieder neue, spannende Herausforderungen bietet, die in diesem Vortrag anhand gesammelter Erfahrungen erläutert werden sollen.

Referent: Sebastian Wittor, BAYOOMED GmbH

Sebastian Wittor arbeitet als Projektleiter bei der BAYOOMED GmbH und ist verantwortlich für die Entwicklung von medizinischen software- und hardwaregestützten Behandlungseinheiten gemäß MDR Klasse I – III und FDA-Anforderungen. Er unterstützt namhafte Unternehmen bei der Entwicklung neuer Medizinprodukte von der Idee über die Entwicklung und den Marktzugang bis zur Entsorgung. Gleichzeitig leitet er die Cybersecurity-Abteilung des Unternehmens und ist damit hauptverantwortlich für die Sicherheit aller im Unternehmen entwickelten Medizinprodukte. Gemeinsam mit seinem Team ist er für die Absicherung von Medizinprodukten über deren gesamten Lebenszyklus verantwortlich. Dazu gehören neben der Konzeptentwicklung auch die Risikoanalyse, die Definition und Umsetzung von Gegenmaßnahmen, die Sicherheitsvalidierung und die Post-Market-Surveillance-Aktivitäten.

Passwordless future: Passwortlose Authentifizierung für Medizinsoftware

In einer Welt, in der Cyberangriffe und Datenschutzverletzungen an der Tagesordnung stehen, ist die Sicherheit von medizinischen Informationssystemen von höchster Bedeutung. Traditionelle Passwörter stellen ein schwaches Glied in der Sicherheitskette dar, da sie anfällig für Phishing, fehlerhafte Benutzung und Brute-Force-Angriffe sind. Die Notwendigkeit einer sicheren, benutzerfreundlichen und effizienten Authentifizierungsmethode ist daher unumgänglich.
Mit der Veröffentlichung der WebAuthn-Spezifikation im März 2019 wurde eine vielversprechende Option für passwortlose Authentifizierung in Webanwendungen vorgestellt. Seit der Weiterentwicklung 2022 durch Google, Microsoft und Apple und die Integration von Passkeys in ihre Ökosysteme angekündigt, was die weitere Verbreitung ermöglich hat.
Dieser Vortrag erläutert die Grundlagen von WebAuthn und Passkeys und erklärt den Stand der Adaption sowohl auf Client- als auch auf Serverseite. Er wird sich dann auf die praktische Umsetzung bei der Entwicklung einer Medical Web App konzentrieren: Wie kann man selbst eine passwortlose Authentifizierung aufbauen? Welche Funktionen erleichtern oder erschweren die Verwendung in Web-Anwendungen? Welche Eindrücke gibt es aus der praktischen Anwendung?
Während des Vortrags werden die Teilnehmer die Prinzipien von WebAuthn verstehen. Sie lernen die Möglichkeiten und Anwendungsfälle von Passkeys kennen und erfahren, wie diese Funktionen zukünftig in medizinische Anwendungen zum Einsatz gebracht werden können.

Referent: Clemens Hübner, inovex GmbH

Clemens Hübner arbeitet seit über zehn Jahren an der Schnittmenge von Softwareentwicklung und IT-Security. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er Projekte auf Konzeptions- und Implementierungsebene, schult Kolleg:innen und berät zu DevSecOps. Darüber hinaus ist er als Speaker auf Konferenzen im In- und Ausland unterwegs.