Die TNI Medical AG entwickelt Lösungen im Bereich der Atemtherapie mit dem Ziel, die Behandlung von Patient:innen im Alltag zu unterstützen. Neben der Funktionalität der Produkte gewinnen auch Themen wie Informationssicherheit und regulatorische Anforderungen an Bedeutung, insbesondere mit Blick auf Audits durch Benannte Stellen.

Für das System „Masimo softFlow“ stellte sich genau diese Aufgabe: Die bestehenden Cybersecurity-Anforderungen sollten vollständig und nachvollziehbar in der technischen Dokumentation abgebildet werden, insbesondere in der Risikomanagementakte. Um mögliche Lücken frühzeitig zu erkennen, beauftragte TNI Medical das Team von BAYOOMED mit einer Gap-Analyse.

Im Rahmen des Projekts wurde der aktuelle Stand der Cybersecurity systematisch bewertet. Dabei ging es vor allem um die Frage, an welchen Stellen Risiken entstehen können – insbesondere dort, wo Daten in das System hinein- oder herausgelangen, etwa über USB- oder SD-Schnittstellen.

Zusätzlich wurde betrachtet, wie Cybersecurity-Risiken im bestehenden Risikomanagement berücksichtigt werden und welche Maßnahmen bereits definiert sind, um Daten zu schützen und die Systemstabilität sicherzustellen.

Ein zentraler Bestandteil der Aktivitäten war die Betrachtung der im Produkt eingesetzten externen Softwarekomponenten. Im Fokus stand dabei die Erstellung einer speziell zugeschnitten auf das eingesetzte Firmware-Framework Software Bill of Materials (SBOM). Dabei wurde erfasst, welche Komponenten und Bibliotheken konkret im Firmware-Stack zum Einsatz kommen.

Darüber hinaus wurde die Einrichtung eines SBOM-Analyseprozesses betrachtet: also wie auf Basis der erstellten SBOM gezielt nach bekannten Schwachstellen gesucht und diese bewertet werden können, etwa durch den Abgleich mit einschlägigen Datenbanken wie CVE und NVD.

Ein weiterer Teil der Analyse betraf den Umgang mit Software über den gesamten Lebenszyklus hinweg. Dazu gehörte unter anderem die Frage, wie Updates und Patches umgesetzt werden und ob sich Änderungen an der Software sauber nachverfolgen lassen.

Auch der Umgang mit bekannten Schwachstellen wurde geprüft. Hierzu wurden Prozesse analysiert, mit denen Informationen aus Datenbanken wie BfArM, MAUDE oder NVD CVE ausgewertet werden. Entscheidend war dabei, ob diese Informationen konkret auf die im Produkt verwendeten Softwarekomponenten angewendet werden – einschließlich externer Bibliotheken (SOUP).

Darüber hinaus wurde betrachtet, wie TNI Medical im Fall von sicherheitsrelevanten Updates oder Vorfällen kommuniziert – also wie Kund:innen informiert werden und welche Möglichkeiten es für Rückfragen oder Unterstützung gibt.

Wie auch in anderen Projekten zeigte sich, dass die Abstimmung zwischen den Teams eine wichtige Rolle spielt – gerade bei Themen, die sowohl technische als auch regulatorische Aspekte betreffen.

Sebastian Wittor, Senior Project Manager Medical Engineering bei BAYOOMED

Auch auf Seiten von TNI Medical wurde die Zusammenarbeit entsprechend wahrgenommen.

Ewald Anger, CEO von TNI medical:

Die Ergebnisse wurden in einem Gap- und Risikobewertungsbericht zusammengefasst. Dieser dient TNI Medical als Grundlage, um identifizierte Punkte gezielt zu bearbeiten und die Dokumentation im Hinblick auf das anstehende Audit weiter zu vervollständigen.