Regulatorik – InfoSec Blog

Anforderungen an Penetrationstests nach ISO IEC 81001-5-1

13. Juni 2024 by Patrick Sauer Leave a Comment

Die IEC 81001-5-1 definiert Anforderungen an den Lebenszyklus für die Entwicklung und Wartung von Gesundheitsanwendungen und die Informationstechnik innerhalb von Medizingeräten. Um dies zu erreichen stellt die Norm Anforderungen an verschiedene Prozesse im Lebenszyklus eines Medizingeräts und gliedert sich primär in folgende Anforderungskategorien. Innerhalb vom Software Development Process gibt es die Anforderung an das Software … [Read more…]

Penetrationstest nach MDR (Medizinprodukteverordnung)

21. Dezember 2022 by Patrick Sauer Leave a Comment

Die MDR verlangt im Anhang I bei „Produkte, zu deren Bestandteilen programmierbare Elektroniksysteme gehören, und Produkte in Form einer Software“ unter Punkt 17.2 die Verifzierung und Validierung, dass das Produkt bzw die Software nach dem Stand der Technik entwickelt wurde – aus der Perspektive der IT-Sicherheit: 17.2 Bei Produkten, zu deren Bestandteilen Software gehört, oder … [Read more…]

Penetrationstest-Anforderungen des Microsoft 365-App-Compliance-Programms

20. Dezember 2022 by Patrick Sauer Leave a Comment

Die Teilnahme am Compliance-Programm für Microsoft 365-Zertifizierungs von Apps für Teams-Anwendungen, SharePoint-Apps/Add-Ins, Office-Add-Ins und WebApps erfordert die Durchführung eines Penetrationstests. Bei der Erstdokumenteneinreichung muss ein Unternehmen Unterlagen und Nachweise einreichen. Neben anderen Doikumenten ist ein Bericht von einem Penetrationstest erforderlich, der innerhalb der letzten 12 Monate abgeschlossen wurde. Der Pentest muss der Live-Umgebung prüfen, die … [Read more…]

KRITIS-Penetrationstest: Anforderungen BSI Gesetz

14. Juni 2022 by Patrick Sauer Leave a Comment

Penetrationstests sind für Betreiber kritischer Infrastrukturen verpflichtend. Im BSI-Gesetz unter dem Paragraph „8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ werden Unternehmen verpflichtet, angemessene organisatorische und technische Maßnahmen zum Schutz ihrer kritischen Infrastruktur zu treffen: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber … [Read more…]

i-Kfz: Anforderungen an Penetrationstests vom Kraftfahrt-Bundesamt (KBA)

7. Juni 2022 by Patrick Sauer Leave a Comment

Die „Mindestsicherheitsanforderungen an dezentrale Portale und Zulassungsbehörden“ zur „internetbasierten Fahrzeugzulassung (i-Kfz)“ vom Kraftfahrt-Bundesamt (KBA) sind außerordentlich umfangreich. Sie beinhalten neben der Architektur des i-Kfz-Systems, seiner Schnittstellen und daraus abgeleiteten Sicherheitsanfordeurngen unter anderem auch Anforderungen an die Durchführung eines Penetrationstests. Zur Prüfung der Wirksamkeit der implementierten Sicherheitsmaßnahmen verlangt das KBA als Penetrationstest die Durchführung von: IS-Kurzrevision … [Read more…]

Anforderungen an DiGa-App-Pentests – Penetrationstest für digitale Gesundheitsanwendungen im Fast-Track-Verfahren

18. April 2022 by Patrick Sauer Leave a Comment

Um in das Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen (DiGa) aufgenommen zu werden, muss das Fast-Track-Verfahren beim BfArM durchlaufen werden. Mit dem Digitale–Versorgung–und–Pflege–Modernisierungs–Gesetz (DVPMG) kam in den entsprechenden Leitfaden die Anforderung hinein, dass Antragsteller einen Penetrationstest für ihre DiGa-Anwendung durchführen lassen müssen. Im DiGa-Leitfaden selbst findet man die konkreten Anforderungen an den eigentlichen Penetrationstest: Penetrationstests: Mit dem … [Read more…]