• Veröffentlichung:
    19.05.2025
  • Lesezeit: 5 Minuten
Success Stories

FDA-/ EMA-konforme eHealth-Dienste: Cybersecurity und Zertifizierung für Smart Devices

Branche: Life Science & Medtech – eHealth |  Zeitraum: 2 Jahre | Teamgröße: 3 Berater:innen

Die Relevanz von eHealth-Diensten wächst unaufhaltsam und spielt eine zentrale Rolle in der modernen Gesundheitsversorgung. Um das Vertrauen der Nutzer zu gewinnen und zu bewahren, müssen diese Dienste vor allem eines sein: sicher und zuverlässig. Nur durch höchste Sicherheitsstandards und Zuverlässigkeit können eHealth-Dienste ihr volles Potenzial entfalten und die Gesundheitsversorgung nachhaltig verbessern.

Wer in internationale Märkte expandiert, kennt die Hürden: Die FDA (Food and Drug Administration) fordert umfassende Dokumentation und strenge Security-Tests – ohne sie verzögern sich Markteintritt und Skalierung. In Europa zieht die EMA (European Medicines Agency) mit ähnlichen Vorgaben nach und verlangt einen ebenso sorgfältig geregelten Zertifizierungsprozess. Nur wer diese Anforderungen nahtlos erfüllt, gewinnt entscheidende Zeitvorteile, minimiert Compliance-Risiken und macht Innovationskraft zum Wettbewerbsvorsprung.

Unser Kunde – ein führender Pharmakonzern aus China – setzt auf die Zertifizierung seiner neuen CGM-Geräte (Continuous Glucose Monitoring), um sein Portfolio um hochintegrierte, intelligente und kontinuierliche Gesundheitsservices zu erweitern. Dabei stehen sie vor mehreren Herausforderungen.

Autoren

André
Hemmerle

Principal

Icon-email-2 Linkedin-in

Die Challenge

Regulatorische Compliance – internationale Anforderungen erfolgreich managen

  • FDA (USA): Die Einhaltung der strengen Klassifizierungs- und Zulassungspfade, die umfangreiche klinische Studien und umfassende Dokumentationen erfordern.
  • EMA (Europa): Die Anpassung an die neuen Anforderungen der Medizinprodukteverordnung (MDR) und die begrenzte Anzahl benannter Stellen, die zu Engpässen und Verzögerungen führen.

Cyber Security – Schutzmaßnahmen und kontinuierliche Überwachung etablieren

  • FDA: Integration von Cyber Security Maßnahmen in den Design- und Entwicklungsprozess sowie kontinuierliche Überwachung und zeitnahe Updates.
  • EMA: Einhaltung der Cyber Security by Design Prinzipien und der Datenschutz-Grundverordnung (DSGVO).

Penetrationstests (Pen Testing) – Sicherheitslücken identifizieren und beheben

  • Durchführung gründlicher Penetrationstests zur Identifizierung und Behebung von Sicherheitslücken und die detaillierte Dokumentation der Ergebnisse für die regulatorischen Einreichungen.
FDA- und EMA-Zertifizierungen in minimaler Zeit: Die nahtlose Verzahnung von Compliance-Dokumentation, Cyber Security by Design und gezielten Penetrationstests hat die CGM-Geräte nicht nur regulatorisch abgesichert, sondern den Markteintritt signifikant beschleunigt.

André Hemmerle, Principal

Die Success Journey

Integration of Standards and Governance – Ein strategischer Enterprise-Governance-Rahmen

Aufbauend auf über 20 Jahren Erfahrung in industrieller Compliance und Standardisierung verfolgen wir bei marktführende Unternehmen einen mehrstufigen, prozessorientierten Ansatz. Dieser verankert Validierungs- und Kontrollmechanismen direkt in den internen Richtlinien und Abläufen. Mit diesem fokussierten Framework konnte der Kunde komplexe regulatorische Anforderungen effizient bewältigen und seine Governance-Struktur nachhaltig stärken.

Mit einem klaren Blick für jede einzelne Vorgabe haben wir die gesamte Dokumentation und klinischen Nachweise so aufgebaut, dass sie nahtlos den Anforderungen von FDA und EMA entsprechen. Durch eine präzise Analyse bestehender Prozesse und Produkte konnten wir Lücken frühzeitig erkennen und mit gezielten Anpassungen schließen.

Schon in der Konzeptionsphase wurden Cyber-Security-Maßnahmen fest verankert: Threat Modeling und Schwachstellenanalysen halfen dabei, potenzielle Angriffsflächen aufzudecken. Durch den Einsatz passgenauer Security Controls und eine kontinuierliche Überwachung stellen wir sicher, dass das System dauerhaft gegen neue Bedrohungen gewappnet ist und regelmäßige Updates reibungslos in den Entwicklungsprozess einfließen.

In individualisierten Penetration Tests haben wir die reale Angriffslandschaft simuliert, um jedes denkbare Einfallstor zu identifizieren. Dabei wurden spezifische Methoden angewandt, die den Vorgaben der FDA und EMA für medizinische Geräte entsprechen. Die folgenden Methoden sind nur eine Auswahl der zahlreichen Ansätze, die wir eingesetzt haben:

  • Netzwerk-Schwachstellen-Scanning: Identifizierung von Schwachstellen in der Netzwerkarchitektur, die für Angriffe anfällig sein könnten.
  • Firmware-Analyse: Untersuchung der Firmware auf Sicherheitslücken und Schwachstellen, um sicherzustellen, dass keine ungesicherten Einfallstore bestehen.
  • Kommunikationsprotokoll-Tests: Überprüfung der Sicherheit von Kommunikationsprotokollen, die von den Geräten verwendet werden, um sicherzustellen, dass Daten sicher übertragen werden.
  • Authentifizierungs-Bypass-Versuche: Testen der Robustheit der Authentifizierungsmechanismen, um sicherzustellen, dass unbefugter Zugriff verhindert wird.
  • Wireless-Sicherheitsbewertung: Analyse der drahtlosen Kommunikationskanäle auf Sicherheitslücken, um sicherzustellen, dass die drahtlose Kommunikation sicher ist.
  • Physische Sicherheitsbewertung: Untersuchung der physischen Sicherheitsmaßnahmen, um sicherzustellen, dass die Geräte vor physischen Manipulationen geschützt sind.

Die daraus gewonnenen Erkenntnisse flossen unmittelbar in die finale Einreichung ein, um nachzuweisen, dass die Geräte die erforderlichen Sicherheitsstandards erfüllten.

Der Impact at Launch

  • Erfolgreiche FDA-Submission Das Projektteam evaluierte, testete und optimierte die Cyber-Security-Konfiguration des neuen Continuous Glucose Monitoring Systems. Sämtliche Anforderungen an SBOM, Threat Modeling und Security Architecture flossen lückenlos in die FDA-Einreichung ein.

  • Schließung erkannter Security Lücken Nach einem ersten Zertifizierungsrückschlag deckten gründliche Penetrationstests sowie Risiko-Assessments kritische Schwachstellen auf. Mit gezielten Maßnahmen wurden alle Defizite nachhaltig behoben.

  • Vollständige Cyber-Security Dokumentation In enger Abstimmung mit den Zertifizierern entstand ein umfassendes Dokumentationspaket, das Risikoanalysen, Update-Prozesse und implementierte Sicherheitskontrollen präzise abbildet.

  • Erhalt der FDA-Zulassung Die optimierte Governance- und Security-Strategie ermöglichte die zügige FDA-Freigabe des innovativen CGM-Geräts und beschleunigte den internationalen Markteintritt erheblich.

Was ist Ihr nächstes Projekt?

Sie stehen vor einer ähnlichen Herausforderung und möchten sich unverbindlich mit unseren Expert:innen austauschen? Dann nehmen Sie gleich heute noch Kontakt mit uns auf. 

Kontakt aufnehmen
André Hemmerle

Principal

Kontakt

Featured Insights

Zur Übersicht
Success Stories

Automatisierte Archivierung von unternehmenskritischen Lastenheften

Mehr erfahren
Success Stories

Automatisierte Beantwortung von Lieferstatusanfragen ohne Trackinglink

Mehr erfahren
Success Stories

Automatisierte Verarbeitung komplexer Reklamationen und Rückforderungen mit mehreren, teils unstrukturierten Positionen

Mehr erfahren
Blog

EUDR Umsetzung: 5 Schritte zur einfachen Vorbereitung

Mehr erfahren
Nach oben scrollen