Anforderungen an Penetrationstests nach ISO IEC 81001-5-1
Die IEC 81001-5-1 definiert Anforderungen an den Lebenszyklus für die Entwicklung und Wartung von Gesundheitsanwendungen und die Informationstechnik innerhalb von Medizingeräten. Um dies zu erreichen stellt die Norm Anforderungen an verschiedene Prozesse im Lebenszyklus eines Medizingeräts und gliedert sich primär in folgende Anforderungskategorien.
- Quality management
- Software Development Process
- Software Maintenance Process
- Security Risk Management Process
- Software Configuration Management Process
- Software problem resolution Process
Innerhalb vom Software Development Process gibt es die Anforderung an das Software System Testing, dass sich in Security Requirement Testing, Threat Mitigation Testing, Vulnerability Testing und Penetration Testing unterteilt.
Der Hersteller muss dabei einen Penetrationstest beauftragen, um Sicherheitsschwachstellen in der Software (Gesundheitsanwendung bzw Medizingerät) zu identifizieren. Die IEC 81001-5-1 fordert, dass im Penetrationstest versucht wird die Vertraulichkeit, Integrität und die Verfügbarkeit zu beeinträchtigen. Hierzu können auch mehrere Verteidigungslinien im Design umgangen werden müssen, indem der Einsatz von Tools sowie insbesondere manuelle Fähigkeiten des Penetrationstesters zum Einsatz kommt.
Hervorgehoben wird in der Norm dazu noch, dass die Penetrationstester unabhängig von der Entwicklung sein müssen. Da die wenigsten Medizingeräte-Hersteller über eine eigene Abteilung für Penetrationstests verfügt, muss in der Regel ein darauf spezialisiertes Unternehmen beauftragt werden.