Cybersicherheit für Medizinprodukte ist nicht optional – sie ist regulatorisch verpflichtend und unmittelbar mit der Patientensicherheit verknüpft. Der MDR fordert einen systematischen, nachvollziehbaren Ansatz zur Identifikation, Bewertung und Mitigation von Cybersicherheitsrisiken über alle Phasen des Produktlebenszyklus hinweg. VamiSec begleitet Sie auf dem Weg zu vollständiger Compliance nach MDCG 2019-16, IEC 62304, IEC 81001-5-1 und den internationalen Best Practices (IEC 62443, SAE 21434, ISO 14971).
Sobald ein Medizinprodukt ein KI-System ist oder eines integriert, gilt es in der Regel als Hochrisiko-KI – zusätzlich zur MDR greifen die Anforderungen der KI-Verordnung (EU AI Act). Unsere interaktive Übersicht zeigt alle 16 Kernbereiche, den Überschneidungsgrad mit der MDR und einen Hochrisiko-Check.
KI-VO für Medizinprodukte entdeckenSicherheit vs. Sicherheit: Cybersecurity muss Hand in Hand mit Patient Safety gehen.
Die MDCG 2019-16 (Guideline on medical device cybersecurity) ist die zentrale europäische Orientierungshilfe für Hersteller und Behörden. Sie konkretisiert die MDR-Anforderungen und definiert, welche Sicherheitsfähigkeiten (Security Capabilities), welche Mindestanforderungen an die Betriebsumgebung und welche Dokumentation erwartet werden. Kern ist die Erkenntnis: Cybersecurity-Risiken können direkt zu Patientenschadenrisiken führen.
Annex III – Referencing Standards
Annex IV – Risk Management
Annex I & II – Incidents & Vigilance
Risiko, Sicherheit, Safety und gemeinsame Verantwortung unter MDR / IVDR – die Grundprinzipien der MDCG 2019-16 auf einen Blick.
Risk = Probability of Harm × Severity of Harm
Einheitliches Risikoverständnis über MDR / IVDR – für Security, Safety und Effektivität.
Sicherheit von Anfang an in Architektur und Entwicklung verankert.
Maßnahmen nach dem aktuellen Stand der Technik.
Sicherheit darf Nutzen und klinische Wirksamkeit nicht untergraben.
Der Hersteller trägt die primäre Verantwortung über den gesamten Lebenszyklus.
Secure Design, Risk Management, Guidance
Secure Configuration, Training
Secure Operation, Incident Reporting
Intended Use, Cyber Awareness, Data Protection
Zur Unterstützung der Umsetzung des Medical Device Security Lifecycle – die relevanten MDCG-Leitlinien, gruppiert nach Themenfeld.
Guidance on Cybersecurity for Medical Devices
Qualification & Classification of Software (MDSW)
Clinical / Performance Evaluation of Medical Device Software
MDSW – Software/Hardware Combinations
Post-Market Surveillance of Medical Devices & IVDs
Q&A on Vigilance Terms & Concepts
Device Specific Vigilance Guidance (DSVG) – Template
Periodic Safety Update Report (PSUR)
Guidance on Standardisation for Medical Devices
Safe Making Available of MDSW Apps on Online Platforms
Person Responsible for Regulatory Compliance (PRRC)
UDI Integration into the QMS
EUDAMED – Interim Administrative Practices (MDR)
UDI Assignment to Medical Device Software
EUDAMED – Interim Administrative Practices (IVDR)
FAQ on EMDN (European Medical Device Nomenclature)
* MDCG-Leitlinien sind rechtlich nicht bindend, geben aber die gemeinsame EU-Auslegung der Anforderungen aus MDR (EU) 2017/745 & IVDR (EU) 2017/746 wieder.
"Cybersecurity risks can directly translate into patient safety risks" – MDCG 2019-16
Lange Zeit wurden IT-Sicherheit und Funktionssicherheit als getrennte Domänen behandelt. Die MDCG 2019-16 kippt diese Sichtweise: Eine erfolgreiche Cyberattacke auf ein Medizinprodukt gefährdet unmittelbar die Patientensicherheit. Deshalb müssen beide Risikomanagementsysteme verzahnt werden.
Cyber incidents affecting patient safety
Cybersecurity- und Safety-Risikomanagement (EN ISO 14971) laufen mit denselben Prozessschritten parallel. Entscheidend sind die Querbezüge: Jedes Sicherheitsrisiko oder Control mit möglichem Safety-Impact muss in die Safety-Risikobewertung einfließen – und umgekehrt.
* MDCG 2019-16 Rev.1, Annex IV: Das Sicherheits-Risikomanagement hat dieselben Elemente wie das Safety-Risikomanagement – beide müssen integriert betrachtet werden.
Der MDCG 2019-16 definiert sieben Lifecycle-Phasen, für jede davon gelten spezifische Cybersecurity-Ziele. Neue Angriffsvektoren entstehen kontinuierlich – was heute sicher ist, kann morgen kompromittiert sein. Ein systematisches Management dieser Phasen gewährleistet proaktive Sicherheit.
VamiSec-Nachweise: Gap Analysis, Security Charter, Requirement Specification
Jede Phase erfordert spezifische Dokumente, Prozesse und Kontrollen. VamiSec unterstützt Sie bei der nahtlosen Integration dieser Ziele in Ihre bestehenden QMS- und Entwicklungsprozesse.
MDCG 2019-16 Annex I: Minimale Sicherheitsfähigkeiten nach aktuellem Stand der Technik.
Die Guideline definiert konkrete Security Capabilities, die Medizinprodukte je nach Risikokategorie implementieren müssen. Gleichzeitig werden Mindestanforderungen an die Betriebsumgebung gestellt – denn Sicherheit ist eine Shared Responsibility zwischen Hersteller und Betreiber.
Strong Authentication, Multi-Factor Authentication (MFA), rollenbasierte Zugriffskontrolle (RBAC), Least-Privilege-Prinzip.
MDCG 2019-16, Sec. 4.1
End-to-End Encryption, TLS 1.2+, Schlüsselmanagement, Secrets Management, Hardware Security Modules (HSM) für sensitive Keys.
MDCG 2019-16, Sec. 4.2
Digitale Signaturen, Checksummen, Code Signing, Firmware Verification, Anti-Tampering Measures.
MDCG 2019-16, Sec. 4.3
Vollständige Protokollierung von Sicherheitsereignissen, Tamper Evidence, Audit Trails, Immutable Logs, Monitoring & Alerting.
MDCG 2019-16, Sec. 4.4
Graceful Degradation, Failover-Mechanismen, DoS-Mitigation, Business Continuity Planning, Incident Response (CSIRT).
MDCG 2019-16, Sec. 4.5
Mehrere Sicherheitsschichten (Netzwerk, Anwendung, System), Segmentierung, Firewalls, IDS/IPS, Web Application Firewalls (WAF).
MDCG 2019-16, Sec. 3
Der Hersteller muss diese Anforderungen klar in der IFU dokumentieren und kommunizieren. Der Betreiber (Klinik, Krankenhaus) ist für die Implementierung verantwortlich – eine Shared Responsibility.
Jede Schicht ist unabhängig und redundant gestaltet. Ein Durchbruch in Schicht 1 (Netzwerk) bedeutet nicht automatisch Zugang zu Schicht 3 (Anwendung). Diese Tiefenstaffelung ist nicht optional – sie ist regulatorischer Standard.
Threat Modeling ist nicht optional – es ist eine regulatorisch geforderte Aktivität, die Sie systematisch durchführen müssen, um Cyberrisiken zu identifizieren und zu bewerten. Die MDCG 2019-16 und IEC 62304 schreiben vor, dass Hersteller ein formales Threat Model für ihr Medizinprodukt erstellen und dokumentieren.
Vom Data Flow Diagram bis zur Kill Chain – strukturiert Angriffe antizipieren.
Visualisierung der Datenbewegung im System: Prozesse, Datenspeicher, externe Entitäten, Trust Boundaries. DFDs offenbaren, wo Daten sensibel sind und wo Angreifer eindringen könnten.
Beispiel: Ein Therapiegerät kommuniziert mit einem Cloud-Backend. Wo fließen Therapiedaten? Wer hat Zugriff? Wo verlaufen die Verschlüsselungsgrenzen?
VamiSec-Ansatz: VamiSec erstellt DFDs auf mehreren Ebenen: System-Level, Sub-System-Level, Network-Level.
Design Phase: DFD + STRIDE-Analyse erstellen
Development Phase: Attack Trees für kritische Funktionen
Pre-Release: Kill Chain Mapping + MITRE ATT&CK Assessment
Post-Market: Continuous Threat Monitoring gegen neue ATT&CK Techniques
VamiSec-Nachweise: Threat Model Report, Attack Tree Diagrams, Kill Chain Assessment, MITRE ATT&CK Mapping
Sicherheit von Anfang bis Ende – nicht als Nachgedanke, sondern als Kernprinzip.
Ein Medizinprodukt mit sicherer Architektur und gutem Design ist nur halb gelöst – die tatsächliche Implementierung entscheidet. Das SSDLC-Modell integriert Sicherheitsmaßnahmen in jeden Schritt der Softwareentwicklung: von der Anforderungsdefinition über Code Reviews bis zur kontinuierlichen Überwachung im Betrieb. DevSecOps automatisiert diese Kontrollen in CI/CD-Pipelines.
Tools: Threat-Modeling-Tools, Risk Assessment Matrix, Security Requirement Specification
Tools: Architecture Review Board, Design Review Checklist, Security Standards (IEC 62443, SAE 21434)
Tools: Code-Review-Plattformen (GitHub, GitLab), Secrets-Scanning-Tools, Static-Analysis-IDEs
Tools: SonarCloud/SonarQube (SAST), Snyk/Veracode (SCA), OWASP Dependency-Check, CycloneDX (SBOM), Burp Suite (DAST)
Tools: Hardening Checklists, Code Signing Certificates, Configuration Management Tools
Tools: SIEM (z. B. ELK, Splunk), Patch-Management-Systeme, CSIRT-Tools, EUDAMED-Integration
DevSecOps automatisiert Sicherheitsprüfungen in der CI/CD-Pipeline. Jeder Code-Commit wird automatisch gescannt; nur wenn Quality Gates bestanden werden, kann ein Release erfolgen.
Volle Transparenz über Abhängigkeiten und Anfälligkeit – Compliance durch Automation.
Drei Tools sind unerlässlich für modernes Secure SDLC: SBOM (Software Bill of Materials) für Transparenz, SAST (Static Analysis) für Code-Schwachstellen und SCA (Software Composition Analysis) für Open-Source-Risiken. Zusammen bilden sie die Basis für automatisierte Sicherheitsprüfungen in CI/CD-Pipelines.
Ein SBOM ist ein maschinenlesbares Inventar aller Softwarekomponenten, ihrer Versionen und Abhängigkeiten. Es wird regulatorisch zunehmend verlangt (CRA, MDR) und ist essentiell für Vulnerability Management.
SAST analysiert Quellcode, OHNE ihn auszuführen. Sie identifiziert typische Schwachstellen (SQL Injection, XSS, Buffer Overflows, unsichere Kryptographie etc.) früh im Development Cycle.
SCA scannt Abhängigkeiten und Open-Source-Komponenten auf bekannte Vulnerabilities (CVEs). Sie misst auch Lizenz-Konformität und liefert Patch-Empfehlungen.
SBOM, SAST und SCA müssen in der CI/CD-Pipeline automatisiert werden. Quality Gates sorgen dafür, dass Code mit kritischen Vulnerabilities nicht released wird.
VamiSec-Nachweise: SAST Reports, SCA Reports, SBOM (CycloneDX Format), Quality Gate Logs, Remediation Tracking
Strukturierte Risikoidentifikation, -bewertung und -mitigation über alle Lifecycle-Phasen.
ISO 14971 ist die internationale Norm für Risikomanagement bei Medizinprodukten. Sie fordert eine systematische, dokumentierte Bewertung aller mit dem Produkt verbundenen Risiken – einschließlich Cybersecurity-Risiken. Die MDR verpflichtet Hersteller, ein formales ISO-14971-Risikomanagementsystem zu etablieren und nachzuweisen.
Systematische Identifikation aller Risiken: Designfehler, Komponenten-Ausfälle, Benutzerfehlverhalten, Cyberattacken, Umgebungsfaktoren.
Bewertung jedes Risikos nach Wahrscheinlichkeit (Likelihood) × Schaden (Severity) = Risikowert. Festlegung von Akzeptanzkriterien.
Implementierung von Maßnahmen zur Reduktion des Risikos: Design Changes, Warnungen, Trainings, Software Updates.
Neubewertung nach Implementierung der Kontrollen. Ist das Restrisiko akzeptabel?
Periodische Überprüfung und Aktualisierung der Risikoanalyse (insbesondere nach neuen CVEs, Angriffsmustern, Marktveränderungen).
Cybersecurity-Risiken unterscheiden sich von traditionellen Safety-Risiken: Sie sind nicht-deterministisch, adaptiv und entwickeln sich ständig weiter. Die MDCG 2019-16 gibt vor, wie sie in ISO 14971 zu integrieren sind:
| Risiko-Kategorie | Beispiele | Mitigation |
|---|---|---|
| ● Authentifizierungs-Risiken | Unbefugter Zugriff durch gestohlene Credentials; Brute-Force-Attacken auf Passwörter; Session Hijacking & Token Theft | Multi-Factor Authentication (MFA); Strong Password Policy & Rate Limiting; Secure Session Management, JWT Expiration |
| ● Integritäts-Risiken | Manipulation von Therapieparametern oder Patientendaten; Tampering mit Firmware oder Configuration; Man-in-the-Middle (MITM) Attacken | End-to-End Encryption (TLS 1.2+); Digitale Signaturen & Code Signing; Intrusion Detection & Tamper Alerts |
| ● Verfügbarkeits-Risiken (DoS/DDoS) | Ausfall des Geräts durch Cyberattacke; Überlastung der Cloud-Infrastruktur; Ransomware-basierte Stilllegung | Rate Limiting & DDoS Mitigation; Redundancy & Failover Mechanisms; Backup & Recovery Prozesse |
| ● Vertraulichkeits-Risiken | Diebstahl von Patientendaten oder Therapie-Informationen; Preisgabe von Betriebsgeheimnissen; DSGVO-Verletzungen | Encryption at Rest & in Transit; Access Control & Data Minimization; DSGVO-Compliance & Privacy by Design |
| ● Supply-Chain-Risiken | Malware in Open-Source-Komponenten; Compromised Dependencies oder Vendors; Counterfeit Hardware | SBOM & Software Composition Analysis (SCA); Vendor Security Assessment; Code Signing & Integrity Verification |
ISO 14971 verpflichtet zu regelmäßiger Überprüfung der Risikoanalyse. Im Post-Market-Zustand sind folgende Trigger zu beobachten:
VamiSec hilft Ihnen, diese Trigger zu überwachen und die Risikoanalyse kontinuierlich zu aktualisieren – ein Prozess, der mit CSIRT und Post-Market Surveillance verzahnt ist.
VamiSec-Nachweise: Risk Register, Risk Analysis Report (ISO-14971-konform), Risk Control Measures, Residual Risk Evaluation, Post-Market Risk Review Log
Früherkennung, schnelle Reaktion, regulatorische Compliance – 24/7 Readiness.
Ein Computer Security Incident Response Team (CSIRT) ist nicht optional – es ist das operative Herzstück eines MDR-konformen Cybersecurity-Managements. Das CSIRT ist Schnittstelle zwischen Vulnerability Detection, CVE-Prozessen, Produktteams und Regulatoren. Sie müssen ein CSIRT etablieren oder mit einem externen CSIRT-Dienstleister arbeiten.
Das CSIRT überwacht kontinuierlich CVE-Datenbanken (NVD, OSV, CISA KEV), Security-Mailinglisten und Threat Intelligence Feeds. Ziel ist, neue Vulnerabilities so früh wie möglich zu erkennen – idealerweise bevor sie aktiv ausgenutzt werden.
Nicht alle CVEs sind gleich kritisch. Das CSIRT bewertet jede identifizierte Schwachstelle nach: Exploitability (wie einfach ist die Lücke auszunutzen?), Impact (welcher Schaden ist möglich?), Affected Systems (welche Produkte sind betroffen?) und Verfügbarkeit von Patches.
Das CSIRT koordiniert, wenn Sie selbst Vulnerabilities entdecken oder wenn externe Security Researcher Sie kontaktieren. Sie müssen CVE-Nummern beantragen (via CISA oder CNA-Partner), Vulnerabilities korrekt dokumentieren und zeitnah Patches veröffentlichen.
Das CSIRT ist Schnittstelle zwischen Threat Intelligence und technischen Teams. Sie müssen Vulnerabilities verstanden haben und schnelle, sachkundige Entscheidungen treffen können: Patch jetzt? Workaround? Neuer Release? Rückruf?
VamiSec-Nachweise: CSIRT Charter, Incident Response SOP, CVE Monitoring Log, Vulnerability Assessment Reports, Patch Management Log, Customer Advisory Templates, EUDAMED Submission Records
Kontinuierliche Überwachung, schnelle Reaktion, regulatorische Transparenz – nach dem Release beginnt die echte Arbeit.
Ein Medizinprodukt ist nach dem Release nicht "fertig". Im Post-Market-Stadium müssen Sie kontinuierlich auf Sicherheitsprobleme, Kundenbeschwerden, neue Angriffsmuster und Veränderungen in der Bedrohungslandschaft reagieren. Die MDR verpflichtet zu formalen Post-Market-Surveillance-Prozessen (PMS) und zum Vigilance Reporting an die Behörden bei ernsten Incidents.
Vigilance ist das Meldesystem für Patient-Safety-Events. Wenn ein Cybersecurity-Incident zu einem Patientenschaden führt oder hätte führen können, muss das an die Behörde gemeldet werden.
Erkennung eines Cybersecurity-Incidents durch Monitoring, Customer Reports, Threat Intelligence oder CSIRT-Alert.
Schnelle Bewertung: Ist das ein Serious Incident? Besteht ein Patient-Safety-Risk? CSIRT sowie Quality- und Regulatory-Teams bewerten gemeinsam.
Sofortmaßnahmen einleiten: Patch Development, Customer Notification, ggf. Produktrückruf, Workarounds kommunizieren. Bei kritischen Incidents: Notification innerhalb von 24–48h.
Bei Serious Incidents: Vigilance Report an die zuständige Behörde (Deutschland: BfArM), EUDAMED-Eintrag und Customer Advisory veröffentlichen.
Post-Mortem-Analyse: Wie konnte das passieren? Was hätte es verhindert? Root-Cause-Analyse und Verbesserung der Prozesse & Kontrollen.
Die European Database on Medical Devices (EUDAMED) ist seit 2022 Berichterstattungsplattform für alle Incidents in der EU. Alle eingereichten Berichte sind öffentlich einsehbar.
VamiSec hilft Ihnen, EUDAMED-Prozesse zu etablieren, die Incident-Klassifikation zu standardisieren und die technische Integration zu implementieren.
Wie lange dauert es durchschnittlich, bis ein Cybersecurity-Incident erkannt wird? Ziel: < 1 Woche für kritische Incidents.
Wie lange dauert es bis zur Bereitstellung eines Patches oder Workarounds? Ziel: < 2 Wochen für Critical CVEs.
Welcher Prozentsatz der Kunden hat den Patch innerhalb von X Wochen deployed? Ziel: > 80 % innerhalb eines Monats.
Wie pünktlich werden Serious Incidents an Behörden gemeldet? Compliance: ≤ 30 Tage.
Wie viele CVEs werden als "relevant für unser Produkt" klassifiziert, sind es aber nicht? Ziel: < 10 %.
VamiSec-Nachweise: PMS Plan, Incident Detection Log, Risk Assessment Reports, Patch Deployment Log, EUDAMED Submissions, Customer Advisory Archive, Vigilance Report Templates, Post-Mortem Analysis Reports
Compliance mit MDCG 2019-16, IEC 62304 und den Cybersecurity-Standards ist ein strukturierter Prozess. VamiSec begleitet Sie durch vier klar definierte Phasen, von der Analyse Ihrer Ausgangslage bis zur finalen Audit-Vorbereitung. Jede Phase ist messbar und dokumentiert.
Umfassende, strukturierte Bestandsaufnahme: Wie ist Ihr aktueller Status? Welche Prozesse existieren bereits? Wo sind Lücken?
Entwicklung und Harmonisierung fehlender oder unvollständiger Prozesse. Fokus auf SSDLC, Vulnerability Management und regulatorisch konforme Dokumentation.
Live-Implementierung: Prozesse werden operativ verankert, Tools werden tatsächlich eingesetzt und Sicherheitsaktivitäten werden dokumentiert.
Finale Vorbereitung auf Audits (intern oder behördlich). Dokumentation wird konsolidiert, Konsistenz überprüft, verbleibende Lücken geschlossen.
Analyse → Design → Umsetzung → Begleitung – eine bewährte, iterative Methode.
VamiSec hat jahrelange Erfahrung darin, Medizintechnik-Unternehmen durch den Compliance-Journey zu führen. Unsere Methode ist strukturiert, iterativ und orientiert sich an realen Produktentwicklungsprozessen – nicht an idealtypischen Modellen.
Umfassende Bestandsaufnahme und Soll-Ist-Vergleich.
Definition der Ziel-Dokumentenstruktur, Prozessdefinition, Tool-Auswahl.
Live-Implementierung: SOPs werden geschrieben, Tools konfiguriert, Teams trainiert.
Nach Go-Live: Unterstützung, Monitoring, Anpassung an neue Regulations/Threats.
Ihr Programm wird von einem multidisziplinären Team geleitet:
Cybersecurity für Medizinprodukte ist in ein komplexes Normen- und Richtliniengeflecht eingebettet. Jede Norm ist für einen bestimmten Aspekt zuständig: MDR regelt die Marktaufsicht, MDCG 2019-16 konkretisiert die Security-Anforderungen, IEC-Standards definieren die technische Implementierung, ISO 14971 regelt das Risikomanagement.
Europäische Verordnung für alle Medizinprodukte. Definiert Anforderungen an Hersteller, Qualitätsmanagementsystem, Klinische Bewertung, Post-Market Surveillance, Vigilance Reporting und EUDAMED.
Annex I fordert "State-of-the-art cybersecurity" (konkretisiert durch MDCG 2019-16). Cybersecurity Risk Management ist integraler Bestandteil des QMS.
Offizielle europäische Guideline der Medical Device Coordination Group. Konkretisiert die MDR-Anforderungen zu Cybersecurity.
Lifecycle-Phasen, Security Capabilities, Operating Environment Requirements, Defense-in-Depth, Threat Modeling, Post-Market Surveillance, Vigilance und Referenzierung von IEC-Standards (62304, 81001-5-1, 62443 etc.).
Internationale Norm für den Software-Lifecycle in Medizinprodukten. Definiert Aktivitäten in jeder Phase: Planning, Design, Implementation, Testing, Release, Maintenance.
MDCG 2019-16 referenziert IEC 62304 für SDLC-Anforderungen. Cybersecurity muss in jeder Phase integriert sein.
Internationale Norm für Netzwerk- und Kommunikationssicherheit in vernetzten Medizinprodukten (IoT-Devices, Cloud-basierte Systeme).
Authentifizierung, Verschlüsselung, Integrität, Zugriffskontrolle, Logging, Update Management, Netzwerk-Segmentierung.
Internationale Norm für Cybersecurity in kritischen Systemen (Automotive, Energy, Automation). Häufig angewendet auf Medizinprodukte mit hohem Security-Anforderungsprofil.
4-Level Maturity Model: Level 1 (Basis) bis Level 4 (Advanced). Security Capability Levels (SCL) definieren die erforderlichen technischen Maßnahmen.
Standard für Product Security Engineering, ursprünglich aus der Automobilindustrie. Zunehmend auf Medizinprodukte angewendet.
Risk-Based Approach: Threat Modeling, Vulnerability Assessment, Secure Design, Secure Development, Security Testing, Post-Launch Monitoring.
Internationale Norm für Risikomanagement in Medizinprodukten. Verbindlich in der MDR.
MDCG 2019-16 fordert: Cybersecurity-Risiken müssen in das ISO-14971-Risk-Register integriert sein. Es gibt keinen separaten Cybersecurity-Risikomanagement-Prozess – alles ist eine Risikoanalyse.
Europäische Verordnung für Cybersecurity digitaler Produkte & Dienste. Ergänzend zur MDR; tritt 2025/2026 in Kraft.
Erweitert die Cybersecurity-Anforderungen über reine Safety hinaus: Auch Integrity und Availability müssen geschützt sein.
Europäische Datenschutz-Grundverordnung. Regelt den Umgang mit Patientendaten.
Medizinprodukte, die Patientendaten sammeln, speichern oder verarbeiten, müssen DSGVO-konform sein: Privacy by Design, Data Minimization, Encryption, Retention, Breach Notification.
Regulatory Know-how + Technical Depth + Operational Excellence
VamiSec ist nicht nur ein Security-Consulting-Unternehmen – wir sind Spezialisten für Medizintechnik & GRC mit jahrelanger praktischer Erfahrung in MDR, MDCG-Compliance und Secure SDLC. Wir kombinieren tiefgehendes Regulatory Know-how mit technischer Security-Expertise und operativem Pragmatismus.
Sie profitieren von Lessons Learned aus zahlreichen Implementierungen – ohne die Umwege selbst gehen zu müssen.
Compliance, die funktioniert & in Ihr Tagesgeschäft integriert ist – nicht zusätzliche Bürokratie.
Single Point of Contact, integriertes Denken über Security, Compliance & Risk – kein fragmentiertes Wissen.
Beratung, die auf Ihren Bedürfnissen beruht, nicht auf Provisionsstrukturen.
VamiSec führt strukturiertes Threat Modeling ein, basierend auf DFD, STRIDE und Attack Trees. Nach 4–6 Wochen: ein umfassendes, dokumentiertes Threat Model pro Produkt.
SBOM-Generierung + SCA-Tool-Integration in CI/CD. Innerhalb von 2 Wochen: ein vollständiges Inventory aller Dependencies mit CVE-Checks und etabliertem Patch Management.
CSIRT Setup + Vulnerability Management SOP. Jetzt: CVE Detection < 24h nach Release, Assessment < 48h, Patch-Decision in < 72h.
VamiSec mappt MDCG-Anforderungen 1:1 zu Ihren existierenden Prozessen oder schlägt Ergänzungen vor. Keine zusätzliche Bürokratie – alles ist in SDLC/QMS integriert.
Cybersecurity für Medizinprodukte ist nicht ein einzelnes Projekt – es ist ein kontinuierlicher Prozess. VamiSec ist Ihr Partner, um diesen Weg nachhaltig und erfolgreich zu gehen.
Assessment anfragen
