Cybersecurity für Legacy Devices

Cybersecurity for Legacy Medical Devices

Überblick
Legacy-Medizinprodukte liefern weiterhin sichere klinische Leistungen, wurden jedoch nach älteren Cybersicherheitsstandards entwickelt. Bei regulatorischen Einreichungen oder Re-Zertifizierungen – selbst für Änderungen ohne Bezug zur Cybersicherheit – kann die Zulassung verzögert oder abgelehnt werden, wenn heutige Sicherheitsanforderungen nicht erfüllt sind.

Warum Cybersecurity für Legacy-Geräte entscheidend ist

• Regulierungsbehörden verschärfen die Anforderungen an Cybersicherheit über den gesamten Produktlebenszyklus (Pre-Market und Post-Market).
• Spitäler sind stark auf Legacy-Technologie angewiesen; ein sofortiger Komplettaustausch ist meist unrealistisch.
• Ziel ist es, Cybersicherheit nachzurüsten und verbleibende Risiken durch kompensierende Massnahmen zu kontrollieren, ohne das Gerät vollständig neu zu entwickeln.

Zahlen und Fakten zu Legacy-Medizingeräten

• 53 % der vernetzten Medizin- und IoT-Geräte in Spitälern haben bekannte kritische Schwachstellen.
• 73 % der Gesundheitsdienstleister nutzen weiterhin Geräte mit Legacy-Systemen.
• In den USA sind schätzungsweise 10–15 Millionen Medizinprodukte in Spitälern im Einsatz.
• Die FDA genehmigt jährlich rund 3’000–3’500 neue Medizinprodukte über das 510(k)-Verfahren.

Herausforderungen bei der Absicherung von Legacy-Geräten

Viele Legacy-Produkte weisen folgende Probleme auf:

• Veraltete oder nicht unterstützte Betriebssysteme und Softwarekomponenten
• Schwache Authentifizierungsmechanismen (Default- oder fest kodierte Zugangsdaten)
• Eingeschränkte oder fehlende Patch-/Update-Mechanismen
• Keine Hardware-Unterstützung für moderne Kryptografie

Das Ergebnis sind Cybersicherheitslücken, die intern nur begrenzt behoben werden können, regulatorisch aber dennoch kontrolliert werden müssen.

Empfohlene Sicherheitsmassnahmen für Legacy-Geräte

• Durchführung einer umfassenden Sicherheitsanalyse mit priorisiertem Risikoregister
• Technisch mögliche Patches und Konfigurationshärtung, inklusive Dokumentation von Einschränkungen
• Netzwerksegmentierung und Allow-Listing zur schnellen Risikominimierung
• Ergänzung von Authentifizierung und rollenbasierter Zugriffskontrolle (RBAC) über Gateways
• Einsatz von Monitoring und Virtual Patching (IDS/IPS, Firewall, Proxy)
• Definition eines Lifecycle- und End-of-Life-Plans inklusive klarer Redesign-Kriterien

Fazit: Risiken kontrollieren und Compliance sichern

Gezielte technische Verbesserungen und kompensierende Massnahmen können Legacy-Geräte auf ein akzeptables, kontrolliertes Risikoniveau bringen. Damit lassen sich regulatorische Einreichungen unterstützen, während parallel eine langfristige Ersatzstrategie geplant wird.

Möchten Sie tiefer in die Themen Risiken, regulatorische Anforderungen und praktische Sicherheitslösungen für Legacy-Medizingeräte eintauchen?
Unser anschliessender Fachartikel liefert detaillierte Einblicke, konkrete Beispiele und praxisnahe Massnahmen, wie Sie Ihre Geräte effektiv absichern und regulatorisch compliant halten.

1. Einleitung

Die Entwicklung eines neuen Medizingeräts mit Blick auf Security by Design ermöglicht es, kritische Komponenten zu segmentieren, Assets sicher zu speichern und Schnittstellen konsequent mit Authentifizierung und Autorisierung abzusichern.

Dieser proaktive Ansatz funktioniert gut auf der grünen Wiese.

Doch was passiert, wenn die Wiese nicht mehr grün ist? Viele MedTech-Unternehmen verfügen über Legacy-Medizinprodukte – Geräte, die vor Jahren unter früheren regulatorischen Vorgaben entwickelt wurden und nun neue Zulassungen oder Updates benötigen. Häufig betreffen diese Einreichungen gar nicht die Cybersicherheit. Dennoch werden sie verzögert oder abgelehnt, weil das Produkt die heutigen Anforderungen an die Cybersicherheit nicht erfüllt.

Die Mehrheit der heute eingesetzten vernetzten Medizinprodukte würde die aktuellen Cybersicherheitsanforderungen der FDA bei einer Neueinreichung nicht bestehen. Über 53 % der vernetzten Medizin- und IoT-Geräte in Spitälern weisen bekannte kritische Schwachstellen auf. Eine grosse Zahl von Geräten entspricht nicht den aktuellen Erwartungen der FDA – mit erheblichen Konsequenzen für Patientensicherheit und Compliance.*¹

Dieses Problem beschränkt sich nicht auf die USA. Auch in Europa stehen Tausende Legacy-Geräte vor ähnlichen Herausforderungen aufgrund neuer regulatorischer Vorgaben. Im Rahmen der EU Medical Device Regulation (MDR) müssen zahlreiche Bestandsprodukte, die unter früheren Richtlinien zugelassen wurden, neu zertifiziert werden. Zwischen 2020 und 2023 stieg die Zahl der MDR-Zertifizierungsanträge von 1’661 auf 14’539. Bis 2023 wurden jedoch nur 4’873 Zertifikate ausgestellt – fast 10’000 Produkte, überwiegend Legacy-Geräte, warten weiterhin auf die Zertifizierung. Viele dieser Produkte riskieren, vom EU-Markt genommen zu werden, falls sie die MDR-Anforderungen nicht rechtzeitig erfüllen. Auch die Schweiz steht vor vergleichbaren Herausforderungen.

Gleichzeitig gelangen weiterhin neue Produkte auf den Markt: Die FDA genehmigt jährlich rund 3’000–3’500 neue Medizinprodukte im Rahmen des 510(k)-Verfahrens. Regulierungsbehörden und Gesundheitseinrichtungen stehen somit vor einer doppelten Herausforderung: Tausende neue Geräte müssen integriert werden, während Millionen älterer Geräte ohne moderne Sicherheitsmechanismen im Einsatz bleiben.*²

Das Ausmass des Problems ist erheblich. Eine Umfrage aus 2021 ergab, dass 73 % der Gesundheitsdienstleister weiterhin Geräte auf Legacy-Systemen betreiben. In den USA schätzt IBM, dass Spitäler 10–15 Millionen Medizinprodukte beherbergen – etwa 10–15 Geräte pro Patientenbett – wobei ein signifikanter Anteil auf veralteter oder nicht unterstützter Software basiert.

Viele dieser älteren Geräte wurden nicht nach heutigen Sicherheitsstandards entwickelt:

• Veraltete Betriebssysteme
• Fest kodierte Passwörter
• Schwache Authentifizierungsmechanismen
• Fehlende oder nur schwer umsetzbare Update-Möglichkeiten

Ein vor 20 Jahren zugelassenes Gerät nutzt möglicherweise Verschlüsselung, die damals dem Stand der Technik entsprach, heute jedoch als unsicher gilt. Die zugrunde liegende Hardware unterstützt womöglich keine modernen Kryptografie-Algorithmen. Ein vollständiger Ersatz aller Legacy-Geräte ist in der Praxis meist unrealistisch – aufgrund von Kosten, Zeitaufwand und der Notwendigkeit, die Patientenversorgung nicht zu unterbrechen.

Deshalb suchen Organisationen nach Möglichkeiten, Cybersicherheit nachträglich in bestehende Gerätearchitekturen zu integrieren. Im Folgenden werden fünf zentrale Techniken vorgestellt, um Architektur und Prozesse von Legacy-Geräten so weiterzuentwickeln, dass sie heutigen Cybersicherheitsanforderungen entsprechen, ohne ein komplettes Redesign (das nur als letzte Option betrachtet werden sollte).

Bei IMT erleben wir diese Ausgangslage bei vielen Kunden. Wir unterstützen Sie strukturiert, praxisnah und regulatorisch belastbar, um Legacy-Geräte sicher und compliant zu betreiben.

2. Techniken

In diesem Abschnitt werden fünf Techniken beschrieben:

• Umfassende Sicherheitsbewertung
• Netzwerksegmentierung und Isolation
• Verstärkte Zugriffskontrollen und Authentifizierung
• Weitere kompensierende Massnahmen
• Upgrade oder Neuentwicklung als letzte Option

2.1 Sicherheitsbewertung: Den Ist-Zustand genau erfassen

Bevor Änderungen vorgenommen werden, sollte mit einer gründlichen Sicherheitsbewertung des Legacy-Geräts begonnen werden. Dazu gehört eine vollständige Bestandsaufnahme von Hardware, Software und Netzwerkschnittstellen sowie die Identifikation von Schwachstellen oder Abweichungen im Vergleich zu aktuellen Normen und regulatorischen Erwartungen.

Schwachstellen identifizieren: Penetration Testing, Scans und Threat Modeling

In der Praxis sollten Hersteller folgende Massnahmen durchführen:

• Penetration Testing
• Vulnerability Scanning
• Threat Modeling

Ziel ist es, systematisch Schwachstellen zu identifizieren und die kritischsten Risiken zu priorisieren. Regulierungsbehörden wie die FDA erwarten heute einen Nachweis von Cybersicherheit über den gesamten Produktlebenszyklus hinweg – einschließlich Post-Market-Überwachung und Patch-Strategien.

Updates und Patches: Software und Firmware sichern
Wo technisch möglich, sollten Software- oder Firmware-Updates eingespielt werden, um bekannte Schwachstellen zu beheben. Viele Legacy-Geräte laufen auf veralteten Betriebssystemen oder auf nicht mehr unterstützten Softwarekomponenten. Falls verfügbar, sollten Sicherheits-Patches und Firmware-Updates installiert werden. Es kann sich auch lohnen, das Betriebssystem auf die neuste unterstützte Version zu aktualisieren, sofern die Hardware ausreichend dimensioniert ist.

Konfigurationshärtung: Risiko reduzieren

Zusätzlich sollte mindestens eine sichere Konfigurationshärtung erfolgen: nicht benötigte Netzwerkports und Dienste deaktivieren, fest kodierte Passwörter entfernen und starke Authentifizierungsmechanismen erzwingen. Jede einzelne Verbesserung reduziert regulatorisch betrachtet das «unkontrollierte Risiko».

Nach öffentlich gewordenen Schwachstellen in implantierbaren Medizinprodukten haben einige Hersteller beispielsweise Firmware-Updates eingeführt, die Secure Boot, Verschlüsselung oder PIN-Mechanismen ergänzten – ohne das Grunddesign des Geräts zu ändern.

Kompensierende Massnahmen: Restrisiken kontrollieren

Nicht alle Legacy-Geräte lassen sich patchen. Häufig existiert kein Update-Mechanismus oder kein Hersteller-Support. Oft gibt es auch keine hardwareseitige Möglichkeit zur Modernisierung. In solchen Fällen müssen verbleibende Schwachstellen dokumentiert und über kompensierende Massnahmen (Compensating Controls) mitigiert werden.

Regulatorisch entscheidend ist der Nachweis einer risikobasierten Priorisierung sowie ein dokumentierter Plan zur Behebung dieser Schwachstellen. Benannte Stellen erwarten eine transparente Kommunikation verbleibender Restrisiken gegenüber Kunden, zum Beispiel Spitälern, sowie konkrete Handlungsempfehlungen zur praktischen Risikominderung.

IMT unterstützt Sie bei der Durchführung von Sicherheitsbewertungen, Vulnerability Scans und Threat Modeling – sowohl für Legacy-Produkte als auch für Neuentwicklungen. So können Risiken gezielt minimiert und regulatorische Anforderungen nachweisbar erfüllt werden.

Firewall, VLAN und Zero-Trust: So schützen Sie Ihre Geräte effektiv

In der Praxis wird Netzwerksegmentierung häufig durch Firewalls, virtuelle LAN-Konfigurationen und Zero-Trust-Netzwerkprinzipien umgesetzt. Es wird ausschliesslich die unbedingt notwendige Kommunikation zum und vom Gerät erlaubt; sämtlicher anderer Datenverkehr wird blockiert.

Spitäler können ein separates „Medizingerätenetzwerk“ einrichten, in dem Legacy-Geräte mit einem Gateway oder Server kommunizieren, jedoch keine Verbindungen ins restliche Spitalintranet oder ins Internet initiieren dürfen. Dadurch wird die Angriffsfläche erheblich reduziert. Bestehen bekannte Schwachstellen, die nicht gepatcht werden können, stellt die Isolation sicher, dass ein Angreifer das Gerät nicht ohne Weiteres erreicht oder – falls es dennoch kompromittiert wird – der Schaden begrenzt bleibt.

Segmentierung wird von Cybersicherheits-Frameworks und Branchenorganisationen als primäre risikomindernde Massnahme für Legacy-Technologie empfohlen.

Network Access Control, VPN und virtuelle Air-Gaps: Zusätzliche Schutzschicht implementieren

Netzwerkbasierte Schutzmechanismen wie Network Access Control (NAC) erzwingen eine Geräteauthentifizierung beim Netzwerkzugang und stellen sicher, dass sich nur autorisierte Geräte im Netzwerk befinden. Bereits einfache Massnahmen wie das Platzieren von Legacy-Geräten hinter einem internen VPN oder einem Jump-Host schaffen eine zusätzliche Isolationsebene.

Ein Legacy-Gerät darf niemals ungeschützt in einem offenen Netzwerk betrieben werden. Durch eine virtuelle Air-Gap-Architektur oder konsequente Firewall-Regeln können Organisationen viele regulatorische Anforderungen an Risikokontrollmassnahmen erfüllen – selbst wenn das Gerät selbst nicht dem aktuellen Stand der Technik entspricht, wird es durch die umgebende Netzwerkarchitektur geschützt.

Unsere Expertinnen und Experten bei IMT unterstützen Sie dabei, für Ihre spezifische Ausgangslage die geeigneten Massnahmen zu definieren. So werden Legacy-Geräte sicherer, regulatorisch konform und langfristig kontrollierbar

Physische Sicherheitsmassnahmen: Schutz vor unbefugtem Zugriff

Auch physische Sicherheitsmassnahmen sind essenziell. Legacy-Geräte in Spitälern oder Laboren sollten sich in kontrollierten Bereichen befinden, in denen nur autorisiertes Personal physischen Zugang hat. So wird verhindert, dass beispielsweise unbefugte USB-Geräte angeschlossen oder Service-Ports missbraucht werden.

Aktuelle regulatorische Leitlinien – etwa jene der FDA – verlangen, dass Hersteller in ihren Einreichungen darlegen, wie Authentifizierung und Zugriffskontrolle umgesetzt sind. Dazu gehört die Sicherstellung, dass nur vertrauenswürdige Benutzer und autorisierte Updates mit dem Gerät interagieren können. Kann ein Gerät keine starke native Authentifizierung unterstützen, müssen die eingesetzten kompensierenden Massnahmen – wie netzwerkbasierte Authentifizierung oder physische Schliesssysteme – nachvollziehbar dokumentiert werden.

Logische Zugriffskontrollen: Geräteidentitäten und Zertifikate

Eine weitere Möglichkeit ist die Implementierung von Geräteidentitäten und Zertifikaten auf Netzwerkebene. Einige Spitäler setzen Overlay-Systeme ein, bei denen jedes Gerät – auch Legacy-Systeme – durch ein Managementsystem erfasst wird oder ein Agent eingesetzt wird, der beim Netzwerkzugang ein gültiges Zertifikat vorweisen muss.

Diese perimeterbasierte Authentifizierung verhindert, dass sich fremde Geräte oder Software als legitimes Gerät ausgeben können, und stellt sicher, dass das Legacy-Gerät ausschliesslich mit bekannten, vertrauenswürdigen Systemen kommuniziert.

Zusammengefasst trägt die Stärkung logischer und physischer Zugriffskontrollen wesentlich dazu bei, ein Legacy-Gerät näher an aktuelle Sicherheitsstandards heranzuführen – ohne zwingend Hardware oder Firmware ändern zu müssen.

Auf Basis einer strukturierten Bedrohungsanalyse und der spezifischen Anforderungen Ihres Produkts unterstützen die IMT-Expertinnen und -Experten Sie dabei, Ihr Gerät gezielt gegen reale Bedrohungen im Feld zu härten.

Starke Perimeter-Verteidigung: Schutz um bestehende Schwachstellen

Starke Perimeter-Verteidigung ist eine weiter gefasste Kategorie kompensierender Massnahmen. Dazu gehören Netzwerk-Firewalls, Intrusion-Detection-Systeme (IDS) sowie Application-Layer-Gateways, die zwischen dem Legacy-Gerät und externen Verbindungen positioniert sind.

Ein IDS oder IPS überwacht den Datenverkehr des Geräts auf verdächtige Aktivitäten oder bekannte Angriffsmuster. Wird etwas erkannt, kann das System das Sicherheitspersonal alarmieren oder den Datenverkehr aktiv blockieren. Ein vorgeschalteter Application-Layer-Proxy kann zusätzlich die korrekte Einhaltung von Protokollen erzwingen und unerwartete Befehle verwerfen – besonders relevant, wenn das Gerät ein älteres, ungesichertes Protokoll verwendet. Diese Massnahmen wirken wie ein Schutzschild um bestehende Schwachstellen.

Allow-Listing und Segmentierung: Virtual Patching für Legacy-Geräte

Eine weitere kompensierende Massnahme ist das Allow-Listing und die Segmentierung von Befehlen. Wenn ein Legacy-Gerät beispielsweise nur Anweisungen von einem bestimmten Spitalserver erhalten darf, sollten Netzwerkregeln so konfiguriert werden, dass ausschliesslich Verbindungen von dessen IP-Adresse akzeptiert werden.

Falls das Gerät lediglich Daten senden, jedoch keine eingehenden Verbindungen empfangen muss, können Data Diodes oder unidirektionale Gateways eingesetzt werden. All diese Ansätze sind Formen von Virtual Patching, da sie Sicherheitslücken adressieren, ohne das Gerät selbst zu verändern.

Dokumentation und regulatorische Anerkennung: Compliance sichern

Diese Massnahmen müssen in den regulatorischen Einreichungen sauber dokumentiert werden. Aufsichtsbehörden erkennen an, dass Legacy-Geräte häufig auf kompensierende Kontrollen angewiesen sind. Leitlinien zur Cybersicherheit von Bestandsgeräten empfehlen explizit den Einsatz von Firewalls, Netzwerksegmentierung und Monitoring zur Risikominderung bei nicht mehr unterstützten Geräten.

Durch Virtual Patching und robuste Perimeter-Sicherheit können Hersteller und Gesundheitsorganisationen nachweisen, dass ein älteres Gerät durch umgebende Schutzmechanismen auf ein akzeptables, kontrolliertes Risikoniveau gebracht wird. Eine Fach-Q&A zur Cybersicherheit von Medizinprodukten fasst es prägnant zusammen: Legacy-Geräte stellen Herausforderungen dar – in Betracht zu ziehen sind Netzwerkisolation, Virtual Patching und starke Perimeter-Verteidigung.

Sollten diese Massnahmen langfristig nicht ausreichen, kann ein Ersatz durch eine moderne, sicherheitsoptimierte Gerätegeneration erforderlich sein – und damit sind wir beim letzten Punkt.

Regulatorischer Druck durch EU MDR: Warum Legacy-Produkte zunehmend vom Markt genommen werden

Regulatorische Entwicklungen in den USA und der EU unterstützen diesen Ansatz klar. Die EU Medical Device Regulation (EU MDR) hat beispielsweise dazu geführt, dass zahlreiche Unternehmen entschieden haben, bestimmte Legacy-Produkte nicht erneut zertifizieren zu lassen. Stattdessen werden sie eingestellt, wenn eine Aufrüstung auf ein „State-of-the-Art“-Sicherheitsniveau und die Erfüllung aktueller klinischer Evidenz wirtschaftlich oder technisch nicht vertretbar sind.

In einer Branchenumfrage gaben 54 % der Hersteller an, einzelne ältere Produkte nicht in die MDR zu überführen – häufig aufgrund der hohen Kosten und des Aufwands, um neue Anforderungen umzusetzen. Insgesamt wird erwartet, dass sich Produktportfolios im Durchschnitt um rund 20 % verkleinern, da viele Legacy-Produkte eher vom Markt genommen als neu entwickelt werden. Dies zeigt eine unbequeme Realität: In manchen Fällen ist der einzige nachhaltige Weg zu echter Sicherheit eine neue Produktgeneration mit konsequentem Security-by-Design-Ansatz.

Strategische Abwägung: Nachrüsten, kompensieren oder ersetzen?

Für Entscheidungsträger ist daher eine nüchterne Kosten-Nutzen-Abwägung zwischen Problembehebung und Ersatz erforderlich.

Die in diesem Artikel beschriebenen Maßnahmen – Analyse, Patching, Netzwerkisolation, Zugriffskontrollen und Virtual Patching – können die sichere Nutzung eines Legacy-Geräts um mehrere Jahre verlängern und gleichzeitig regulatorische Anforderungen kurzfristig erfüllen. Dies ist oft deutlich schneller und kosteneffizienter als eine sofortige Neuentwicklung. Gleichzeitig sollten diese Übergangsmassnahmen unbedingt mit einer klaren Roadmap für eine spätere Ablösung oder grundlegende Neuentwicklung kombiniert werden.

Lebenszyklusverantwortung: Cybersicherheitsplanung und End-of-Life-Strategie

Regulierungsbehörden wie die FDA verlangen inzwischen eine Cybersicherheitsplanung über den gesamten Produktlebenszyklus hinweg. Ist die verbleibende Lebensdauer eines Produkts erheblich, bedeutet dies entweder eine fortlaufende Sicherheitsunterstützung oder eine klar definierte End-of-Life-Strategie.

In der Praxis kann dies bedeuten, eine „Mark II“-Version zu entwickeln, die das Legacy-Modell mittelfristig ersetzt. Eine frühzeitige Planung signalisiert Aufsichtsbehörden und Kunden zudem, dass die Patientensicherheit strategisch und proaktiv adressiert wird.

IMT unterstützt Sie über den gesamten Produktlebenszyklus hinweg. Während Ihr erfahrenes Team die Wartung des Legacy-Produkts im Feld sicherstellt, können wir parallel eine strukturierte Neuentwicklung vorbereiten und umsetzen – für einen kontrollierten, wirtschaftlich sinnvollen Übergang.

3. Zusammenfassung

Legacy-Medizinprodukte: Kritische Versorgung und fehlende Cybersicherheit
Legacy-Medizinprodukte stellen eine komplexe Herausforderung dar. Sie leisten weiterhin kritische Beiträge zur Patientenversorgung und verfügen über langjährige regulatorische Zulassungen – gleichzeitig fehlen ihnen häufig die Cybersicherheitsmechanismen, die heutige Standards verlangen.

Sowohl in den USA als auch in Europa verschärfen die Behörden ihre Anforderungen an die Cybersicherheit von Medizinprodukten. Hersteller stehen damit faktisch unter Druck, bestehende Schwachstellen zu adressieren – andernfalls drohen Verzögerungen, Ablehnungen oder sogar Marktrücknahmen.

Praktische Retrofit-Massnahmen: Sicherheitslücken gezielt schliessen
Die gute Nachricht: Es gibt praktikable Retrofit-Ansätze, um die Lücke zwischen alter Architektur und aktuellen Anforderungen zu schliessen.

Durch umfassende Sicherheitsanalysen, konsequentes Patchen, wo technisch möglich, Netzwerksegmentierung und Isolation, verstärkte Zugriffskontrollen sowie kompensierende Massnahmen wie Firewalls und Intrusion-Monitoring lässt sich die Sicherheitslage eines Legacy-Geräts substanziell verbessern.

Entscheidend ist, dass diese technischen Massnahmen durch eine sauber dokumentierte, risikobasierte Sicherheitsstrategie gestützt werden. In regulatorischer Hinsicht kann genau das den Unterschied ausmachen – ob eine Einreichung genehmigt oder aufgrund von Cybersicherheitsdefiziten abgelehnt wird.

Gerne unterstützen wir Sie bei Ihren Herausfoderungen!
Kontaktieren Sie uns, damit wir Ihre spezifischen Anforderungen im Bereich Cybersicherheit verstehen. Die IMT-Expertinnen und -Experten unterstützen Sie gerne strukturiert, praxisnah und regulatorisch belastbar.