Security-Test für Medizingeräte

Die Konvergenz von Produkt-IT und Unternehmens-IT in der Medizintechnik bringt völlig neue Risiken der Cybersecurity. Sowohl medizinische Software in Großgeräten als auch Implantate sind über Cloud-Services und direkte Schnittstellen konfigurierbar. Hacker haben heute das nötige Werkzeug, in Industrial IoT solche Schnittstellen online zu manipulieren. Die Risiken durch Angriffe wachsen entsprechend, von unmittelbarer Gefahr aufgrund kompromittierter funktionaler Sicherheit bis zum Datenschutz. Verschiedene Methoden werden im Cybersecurity-Test aktuell eingesetzt. Doch Schwachstellen werden mit den klassischen Security-Tests nur ineffizient und unvollständig erkannt. Verifikationen auf Code-Ebene sind zu isoliert, während Pen-Tests und Fuzzing am Gerät ineffizient sind und zu viele blinde Flecken haben. In diesem Vortrag zeigen wir, wie ein erweiterter Grey-Box-Penetrationstest (GBPT) bei verbesserter Wirksamkeit gleichzeitig effizienter ist für die Abdeckung und zudem weniger „falsch Positive“ liefert. Heuristiken werden eingesetzt für mehr Wirksamkeit und effziente Wiederverwendung von Testszenarien. Praxisbeispiele runden den Vortrag ab.

Was lernen die Zuhörer in dem Vortrag:

• Security Grundlagen, vor allem TARA und Verknüpfung zum Test
• Moderne Verfahren im Security-Test
• Bessere Effizienz und Wirksamkeit mit KPI verfolgen

Referent: Prof. Dr. Christof Ebert, Vector Consulting

Christof Ebert ist Geschäftsführer von Vector Consulting und unterstützt Kunden bei Produktmanagement, Entwicklung und agiler Transformation. Als Business Angel und Professor an der Universität Stuttgart und der Sorbonne in Paris stimuliert er Innovationen. Cybersecurity treibt er seit initialen Infrastruktur-Angriffen und hat den Grey-Box Pen-Test optimiert. Er wirkt in Aufsichtsgremien verschiedener Unternehmen. In seiner Freizeit spielt er als Musiker Keyboards und engagiert sich im sozialen Bereich.