Was die IEC 81001-5-1 für Entwickler von Medizingeräten bedeutet

Standard Post
Daniel Saffer

11/12/2025

Security

Cybersecurity ist Pflicht. Die EU-Verordnung 2017/745 (MDR) verlangt, dass Medizinprodukte gegen unbefugten Zugriff geschützt sind. Für Hersteller von Medizingeräten und Health-Software heißt das: Sie müssen digitale Bedrohungen aktiv adressieren, sowohl technisch als auch regulatorisch.

Die IEC 81001-5-1 liefert erstmals eine eigenständige Norm speziell für die Cybersicherheit von Gesundheitssoftware und das über den gesamten Software-Lebenszyklus hinweg.

Warum eine eigene Norm für Cybersecurity?

Bisher mussten Hersteller auf allgemeine Normen zurückgreifen:

  • IEC 62304 für eingebettete Software in Medizinprodukten,
  • IEC 82304-1 für selbständig betriebene Health-Software (z. B. Apps).

Beide Normen behandeln Cybersecurity nur am Rande. Die IEC 81001-5-1 schließt diese Lücke. Sie beschreibt, welche Aktivitäten notwendig sind, um Cybersecurity systematisch in die Entwicklung, Wartung und das Inverkehrbringen einzubinden.

Sie brauchen eine kurze Auffrischung zu Normen und Prozessen der Medizintechnik?
Normen und Prozesse in der Medizintechnik für Neulinge - MEDtech Ingenieur GmbH

Noch nicht harmonisiert, aber trotzdem "Stand der Technik"

Obwohl die Norm noch nicht harmonisiert ist (geplant war Mai 2024, aktuell verschoben auf Mai 2028), gilt sie bereits heute als Stand der Technik. Sie wird schon jetzt von Behörden, benannten Stellen und Prüforganisationen als Maßstab herangezogen, auch weil sie klarer und konkreter ist als die bisherige MDCG-Leitlinie 2019-16 zur Cybersecurity.

Gerade weil Cybersecurity in der MDR („Medical Device Regulation“) indirekt verpflichtend ist, etwa über das Thema „Risikoanalyse“ oder „Schutz vor unbefugtem Zugriff“, liefert die IEC 81001-5-1 konkrete Prozessvorgaben und Best Practices, mit denen Hersteller die regulatorischen Anforderungen strukturiert erfüllen können.

Fazit: Wer Health-Software entwickelt, sollte diese Norm schon heute berücksichtigen.

Was fordert die IEC 81001-5-1 konkret?

Die Norm beschreibt Anforderungen an Prozesse und Aktivitäten über den gesamten Lebenszyklus von Health-Software hinweg. Gefordert wird u. a.:

  • sicheres Design (z. B. Defense-in-Depth, Secure Coding Standards),
  • Threat Modeling und Risikomanagement auf Basis von Bedrohungen (nicht nur Gefährdungen),
  • Sicherheitsanforderungen bereits in der Spezifikationsphase,
  • Tests auf Schwachstellen, Penetrationstests, Software Composition Analysis (SCA),
  • Prozesse für Updates, Patch-Management und sichere Stilllegung.

Dabei orientiert sich die Struktur grob an der IEC 62304. Aber: Es gibt keine Klassifizierung in A, B und C. Stattdessen setzt die IEC 81001-5-1 auf eine risikobasierte Auswahl von Maßnahmen. Das bedeutet: Der Umfang der Aktivitäten richtet sich nicht nach der Sicherheitsklasse, sondern nach:

  • dem Bedrohungspotenzial,
  • dem Schutzbedarf (z. B. Schutz sensibler Daten, Systemverfügbarkeit),
  • der Einsatzumgebung (z. B. Kliniknetzwerk vs. Home-Use).

Wie integriert sich die IEC 81001-5-1 ins QMS?

Die IEC 81001-5-1 steht nicht isoliert im Raum, sondern setzt auf bestehenden Normen auf. Sie fordert explizit, dass alle Cybersecurity-Aktivitäten im Rahmen eines etablierten Qualitätsmanagementsystems umgesetzt werden. In der Regel ist das die ISO 13485.

Welche Änderungen haben wir dadurch?

  • Cybersecurity-Prozesse (sichere Entwicklung, Wartung, Patch-Strategien) müssen in das bestehende QMS eingebunden werden
  • Verantwortlichkeiten, Rollen, Schulungsmaßnahmen zu Security-Themen müssen dokumentiert sein
  • Lieferanten von Softwarekomponenten müssen in die Security-Prozesse eingebunden werden

Und das Risikomanagement?

Die IEC 81001-5-1 fordert einen spezifischen Risikomanagementprozess für Cybersecurity, der über das klassische Sicherheitsdenken der ISO 14971 hinausgeht. Statt nur Gefährdungen und Schadensauswirkungen zu betrachten, geht es um:

  • Bedrohungsanalyse (Threat Modeling),
  • Bewertung von Schwachstellen,
  • und die Angemessenheit von Schutzmaßnahmen aus Sicht möglicher Angreifer.

Wer hier auf Nummer sicher gehen will, sollte zusätzlich zur ISO 14971 auch die AAMI TIR 57 berücksichtigen.

Mehr Informationen zur AAMI TIR 57 finden Sie in diesem Blog von uns: AAMI TIR57 - Cybersecurity-Risikomanagement für Medizingeräte - MEDtech Ingenieur GmbH

Wenn Sie erfahren möchten, wie das Risikomanagement nach IEC 62304 und ISO 14971 praktisch umgesetzt werden kann, dann sollten Sie sich diesen Artikel anschauen: Software Risikomanagement nach IEC 62304 und ISO 14971 - SW FMEA / FMECA bei Medizinprodukt-Software? - MEDtech Ingenieur GmbH

Sie entwickeln Health-Software oder ein vernetztes Medizingerät und fragen sich, wie Sie Cybersecurity normkonform und pragmatisch umsetzen können? Wir bei MEDtech Ingenieur unterstützen Sie dabei. Ob Gap-Analyse, Threat Modeling, sichere Softwarearchitektur oder die Umsetzung der IEC 81001-5-1.

Kontaktieren sie uns
Standard Post

Geschrieben von Daniel Saffer

Daniel Saffer ist Chief Technical Officer (CTO) der MEDtech Ingenieur GmbH. In dieser Rolle verantwortet er die technische Strategie des Unternehmens und unterstützt Kundenprojekte in der Medizintechnik. Sein Fokus liegt auf der Weiterentwicklung sicherheitskritischer Softwarelösungen, regulatorischen Anforderungen und innovativen Technologien für die Branche.

 Vorheriger Artikel
Nächster Artikel

Weitere Beiträge

  • 13/03/2025
  • Allgemein, Unternehmen

Neuer CTO bei MEDtech Ingenieur – Willkommen Daniel Saffer

MEDtech Ingenieur verstärkt sein Führungsteam: Seit März 2025 übernimmt Daniel Saffer die Rolle des Chief Technical Officers (CTO). Mit seiner langjährigen Erfahrung in der Entwicklung sicherheitskritischer Embedded-Softwarelösungen für die ...

Weiterlesen
  • 30/01/2024
  • Allgemein, Security, Software, Usability

BLE Geräte mit NFC verbinden

Wo ist denn jetzt wieder dieses Headset? Wer kennt es nicht, man möchte sein Smartphone mit einem Bluetooth-Gerät verbinden, startet den Suchvorgang und plötzlich sieht man den Wald vor ...

Weiterlesen
  • 31/10/2022
  • Dokumentation, Normen, Security, Systems Engineering

Best-Practice-Tipps für das Erstellen einer funktionalen Sicherheitsarchitektur

In der Medizintechnik können technische Fehler in einem Gerät fatale Folgen für Bediener oder Patienten haben. Daher wird bei der Zulassung des Medizinprodukts auch generell eine Sicherheitsarchitektur gefordert. Wichtig ...

Weiterlesen
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Unbedingt notwendige Cookies

Unbedingt notwendige Cookies sollten jederzeit aktiviert sein, damit wir deine Einstellungen für die Cookie-Einstellungen speichern können.