FDA verschärft Cybersicherheit für Medizinprodukte

Die US-Arzneimittelbehörde FDA zwingt Hersteller zu strengeren Sicherheitsstandards für vernetzte Geräte. Hintergrund ist die wachsende Bedrohung durch Cyberangriffe auf Kliniken und Patienten.

Washington D.C. – Im Kampf gegen die wachsende Flut von Cyberangriffen im Gesundheitswesen schlägt die US-Arzneimittelbehörde FDA jetzt härter durch. Ihre überarbeiteten Richtlinien, Ende Februar 2026 veröffentlicht, machen robuste Cybersicherheit zur Voraussetzung für die Marktzulassung neuer Medizinprodukte. Diese verschärften Vorgaben markieren den Beginn einer neuen Ära regulatorischer Kontrolle für den rasant wachsenden Markt des „Internet of Medical Things“ (IoMT).

Angesichts der verschärften regulatorischen Anforderungen im Gesundheitswesen müssen Unternehmen ihre IT-Sicherheitsstrategie proaktiv anpassen. Dieser Experten-Report enthüllt effektive Strategien zur Stärkung der Cyber-Security, ohne dass dafür massive Investitionen oder zusätzliches Personal nötig sind. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

Vom Nachgedanken zur Grundvoraussetzung

Kern der neuen Richtlinie ist ein „Security by Design“-Ansatz. Hersteller müssen künftig schon in der Entwicklungsphase umfassende Sicherheitskontrollen in ihre Produkte integrieren. Damit wendet sich die FDA von bisherigen Modellen ab, bei denen Schwachstellen oft erst nachträglich behoben wurden. Für die Zulassung sind nun umfangreiche Risikobewertungen und Bedrohungsanalysen Pflicht.

Ein zentrales neues Element ist die verpflichtende Software Bill of Materials (SBOM). Diese detaillierte Liste aller Softwarekomponenten eines Geräts soll Krankenhäusern helfen, Sicherheitslücken über die gesamte Lebensdauer hinweg zu managen. Zudem müssen Hersteller konkrete Pläne für zeitnahe Updates und Patches vorlegen. Auch anspruchsvolle Penetrationstests werden zur Pflicht.

Angriffsfläche verdoppelt sich

Der Schritt der Behörde kommt zu einer Zeit, in der das Gesundheitswesen eine beispiellose Cyberkrise durchlebt. Die Vernetzung von Geräten hat die potenzielle Angriffsfläche massiv vergrößert. Prognosen zufolge werden intelligente Krankenhäuser 2026 über sieben Millionen IoMT-Geräte einsetzen – mehr als doppelt so viele wie noch 2021.

Die Daten sind alarmierend: Ransomware-Angriffe auf den Gesundheitssektor nahmen 2025 deutlich zu. 22 Prozent der Gesundheitseinrichtungen berichten von mindestens einem Angriff, der gezielt Medizingeräte ins Visier nahm. Ein großes Problem sind veraltete Geräte mit nicht mehr gepatchten Betriebssystemen. Ein FBI-Bericht stellte fest, dass über die Hälfte der vernetzten Medizinprodukte mindestens eine kritische, ungeschlossene Sicherheitslücke aufweist.

Wenn der digitale Angriff den Körper trifft

Die Risiken unsicherer Geräte gehen weit über Datendiebstahl hinaus. Cyberangriffe können klinische Abläufe direkt stören und so die Patientensicherheit gefährden. Bekannte Vorfälle führten bereits zu verschobenen Operationen und der Verlegung von Patienten in andere Kliniken.

Da Hacker zunehmend psychologische Schwachstellen ausnutzen, um in sensible Netzwerke von Gesundheitseinrichtungen einzudringen, ist eine gezielte Prävention entscheidend. Erfahren Sie in diesem Experten-Guide, wie Sie Ihr Unternehmen in vier Schritten wirksam vor Phishing und anderen Cyber-Gefahren schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Zwar gibt es keinen öffentlich bestätigten Fall, bei dem ein Patient durch einen solchen Angriff direkt zu Schaden kam. Sicherheitsforscher haben jedoch demonstriert, dass die Fernmanipulation von Insulinpumpen oder Herzschrittmachern theoretisch möglich ist. Ein Angreifer könnte so Dosierungen verändern oder Batterien leeren. Diese Bedrohungslage macht Cybersicherheit zu einer zentralen Frage der Patientensicherheit – und zu einem erheblichen Geschäftsrisiko für jedes Krankenhaus.

Internationaler Trend zu mehr Haftung

Die neuen FDA-Vorgaben bedeuten einen philosophischen Wandel: Aus freiwilligen Empfehlungen werden durchsetzbare Pflichten, die den gesamten Lebenszyklus eines Produkts abdecken. Indem die FDA die Cybersicherheit direkt an die Marktzulassung knüpft, macht sie Hersteller bereits vor der Auslieferung haftbar. Dieser Ansatz spiegelt einen internationalen Trend wider. Auch europäische Aufseher verschärfen unter der Medical Device Regulation (MDR) die Sicherheitsanforderungen.

Für die Industrie bedeutet das die verbindliche Einführung eines Secure Product Development Framework (SPDF). Krankenhäuser werden Sicherheit künftig stärker in ihre Einkaufsentscheidungen einbeziehen und von Herstellern mehr Transparenz fordern. Der Fokus liegt nun auf langfristigem Sicherheitsmanagement, damit Geräte auch Jahre nach ihrer Installation gegen neue Bedrohungen gewappnet sind.