hero-mobile-v3

Sicherheit steht im Mittelpunkt unseres Handelns.
hero-mobile-v3

Produktsicherheit ist nicht nur ein Teil, sondern ein zentraler Aspekt, um unsere Lösungen zu schützen.
X

Produktsicherheit | Stryker

Produktsicherheit

Bei Stryker liegt uns die Sicherheit unserer Produkte sehr am Herzen, weil wir wissen, wie wichtig dies ist. Unser engagiertes Produktsicherheitsteam arbeitet unermüdlich an der Implementierung robuster Sicherheitsmaßnahmen und auch mit Branchenpartnern zusammen, um unsere Sicherheitspraktiken kontinuierlich zu verbessern. Wir verfolgen einen proaktiven Sicherheitsansatz, um neuen Bedrohungen immer einen Schritt voraus zu sein und geeignete Maßnahmen zur Behebung von Schwachstellen zu ergreifen. Ihr Vertrauen hat für uns oberste Priorität und wir verpflichten uns, die Produkte und Daten, auf die Sie angewiesen sind, zu schützen.

Informationen zum Produkte-Support

Cybersicherheit für Unternehmen

  

Unsere Selbstverpflichtung

Wir führen während des gesamten Lebenszyklus unserer Produkte gründliche Sicherheitsbewertungen durch, um potenzielle Schwachstellen zu identifizieren und zu beheben. Sicherheit ist in jede Phase unseres Produktentwicklungsprozesses integriert, vom Entwurf bis zur Bereitstellung. Dadurch machen wir die Sicherheit zu einem grundlegenden Bestandsteil bei allem, was wir tun.

 

 

Unser Fokus

  

Ideensymbol

Geräte-Konzeption und Entwicklung

  • Während der Entwurfs- und Entwicklungsphasen neuer medizinischer Geräte implementieren wir Sicherheitsmaßnahmen, die Bedrohungsmodellierung, Risikobewertungen und die Einbettung von Sicherheitskontrollen in die Produktarchitektur umfassen.
  • Die Zusammenarbeit zwischen den Teams für Entwicklung, Cybersicherheit, Datenschutz und Regulierung ermöglicht einen ganzheitlichen Ansatz zur Implementierung bewährter Sicherheitspraktiken bei Produktinnovationen.
  • Wir stellen sicher, dass die Sicherheit bereits in den ersten Entwurfsphasen berücksichtigt wird, um potenzielle Schwachstellen und Bedrohungen zu minimieren, die die Patientensicherheit beeinträchtigen oder vertrauliche Daten gefährden könnten.

  

Schlosssymbol

Lieferkette
 

  • Bei der Lieferkettensicherheit geht es darum, die mit der Beschaffung, Herstellung, Verteilung und Wartung medizinischer Geräte verbundenen Risiken zu minimieren.
  • Wir arbeiten eng mit Lieferanten und Partnern zusammen, um Sicherheitsanforderungen festzulegen, gründliche Bewertungen durchzuführen und die Integrität der in ihre Produkte integrierten Komponenten und Software zu schützen.
  • Maßnahmen wie sichere Codierungspraktiken, Firmware-Validierung und sichere Vertriebskanäle tragen dazu bei, Manipulationen, Fälschungen oder unbefugte Änderungen in der gesamten Lieferkette zu verhindern.

  

Support-Symbol

Reaktion auf Zwischenfälle und Schwachstellenmanagement

  • Stryker hat robuste Prozesse zur Reaktion auf Zwischenfälle und zum Schwachstellenmanagement implementiert, um Sicherheitsprobleme umgehend zu erkennen, zu bewerten und zu beheben. Hierzu gehört die Einrichtung von Kommunikationsprotokollen, die Koordinierung der Reaktionen auf Kundenprobleme und Aufsichtsbehörden, die rechtzeitige Bereitstellung von Patches oder Updates und die Überprüfung nach Vorfällen.
  • Trotz proaktiver Sicherheitsmaßnahmen können während des Lebenszyklus medizinischer Geräte immer noch Schwachstellen und Vorfälle auftreten.

  

Genehmigungssymbol

Partnerschaften im Gesundheitswesen
 

  • Unsere Fachexperten arbeiten mit verschiedenen Branchen zusammen, um die Grundsätze der Cybersicherheit und bewährte Verfahren der Branche voranzubringen.
  • Wir fördern eine Kultur der Transparenz und Zusammenarbeit mit Kunden, Branchenakteuren und Lieferanten, um die Sicherheit zu stärken.
  • Wir unterstützen die Entwicklung von Rahmenbedingungen für die Branche, technischen Dokumenten und proaktiven Dialogen mit Regulierungsbehörden, um die Gesundheitsversorgung zu verbessern.

  

Aktuelle Sicherheitsmeldungen

Stryker Vocera Report Server- und Voice Server-Schwachstellen

Mehr lesen

Sicherheitsanfälligkeiten im Microsoft-Druckspooler (CVE-2021-34527 und CVE-2021-36958)

Mehr lesen

Apache "Log4j" Open-Source-Logging-Bibliothek

Mehr lesen

"SweynTooth" BLE-Schwachstellen (ICSA-20-063-01)

Mehr lesen
ALLE ARTIKEL ANZEIGEN

 

 

Koordinierte Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD)

Bei der Identifizierung von Schwachstellen und Bedenken hinsichtlich der Cybersicherheit spielen auch Sicherheitsforscher eine Rolle . Stryker verfügt über einen koordinierten Prozess zur Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD), um die Zusammenarbeit und die effektive Meldung von Sicherheitslücken bei medizinischen Geräten von Stryker zu fördern.

 

  

Wichtig!

  

Wichtige Informationen zu unserem CVD-Verfahren

Wir arbeiten in gutem Glauben mit Forschern und Parteien zusammen, die unsere Produkte testen, und werden keine rechtlichen Schritte gegen Personen einleiten, die im Rahmen unseres CVD-Prozesses Berichte einreichen. Ihre Nutzung dieses Prozesses gilt als rechtliche Vereinbarung mit Stryker.

Wir sind bereit, mit Einzelpersonen zusammenzuarbeiten, die:

  • Systeme testen bzw. sich an der Forschung beteiligen, ohne Stryker oder dessen Kunden zu schaden
  • Tests an Produkten durchführen, ohne dass dabei Kunden betroffen sind, oder die Berechtigungen/Einwilligungen von Kunden einholen, bevor sie Tests auf Schwachstellen an ihren Geräten oder ihrer Software durchführen
  • Bei der Durchführung von Tests auf Schwachstellen innerhalb des Umfangs unseres Programms zur Offenlegung von Schwachstellen die Bedingungen aller Vereinbarungen einhalten, die zwischen Stryker und den betreffenden Einzelpersonen getroffen wurden
  • Die an ihrem Standort und dem Standort von Stryker geltenden Gesetze einhalten.
  • Details zu Schwachstellen dürfen erst dann offengelegt werden, wenn der im gegenseitigen Einvernehmen vereinbarte Zeitraum vorüber ist.

Wenn Sie sich dazu entscheiden, Informationen mit Stryker zu teilen, erklären Sie sich damit einverstanden, dass die von Ihnen eingereichten Informationen als nicht urheberrechtlich geschützt und nicht vertraulich angesehen werden und dass Stryker diese Informationen auf jede Art, ganz oder teilweise und ohne Einschränkung verwenden darf. Außerdem stimmen Sie zu, dass durch das Einreichen der Informationen weder Rechte für Sie noch Verpflichtungen für Stryker geschaffen werden.

  

Das können Sie von uns erwarten:

  

Das können Sie von uns erwarten:

  • Eine zeitnahe Antwort auf Ihre E-Mail (innerhalb von zehn Werktagen)
  • Wir leiten die potenziellen Erkenntnisse an die entsprechenden Produktteams weiter, die diese dann überprüfen und reproduzieren. Sie werden in dieser Phase möglicherweise um zusätzliche Informationen gebeten.
  • Nach der Untersuchung eines Berichts bestätigen wir die Existenz der Schwachstelle und die potenziellen Auswirkungen. Wirkt sich die ermittelte Schwachstelle auf die Patientensicherheit aus, erarbeiten wir umgehend eine Lösung und ergreifen entsprechende Maßnahmen. Alle anderen Schwachstellen werden ausgewertet und dem damit verbundenen Risiko entsprechend behandelt.
  • Einen offenen Dialog für die Besprechung von Problemen
  • Eine Benachrichtigung, sobald die Schwachstellenanalyse die einzelnen Stadien unserer Prüfung durchlaufen hat
  • Eine anerkennende Erwähnung, sobald die Schwachstelle überprüft und behoben wurde, wenn dies gewünscht ist

Wir versuchen, hinsichtlich des Zeitrahmens für die Behebung der Schwachstelle und möglicher Probleme oder Herausforderungen so transparent wie möglich zu sein.

Wenn wir Kommunikationsprobleme oder sonstige Probleme nicht selbst beheben können, beziehen wir möglicherweise eine neutrale dritte Partei mit ein (beispielsweise CERT/CC, ICS-CERT oder eine entsprechende Regulierungseinrichtung), damit sie uns beim Umgang mit der Schwachstelle unterstützt.

Alle Aspekte des CVD-Prozesses von Stryker können ohne Vorankündigung und nach alleinigem Ermessen von Stryker geändert werden. Es wird keine bestimmte Reaktionsstufe garantiert.

Schwachstellenmanagementprozess

Unser koordinierter Prozess zur Offenlegung von Sicherheitslücken (CVD) umfasst regulierte Medizinprodukte und Gesundheitssoftwareprodukte, darunter Medizingeräte, Software als Medizinprodukt (SaMD) und mobile medizinische Anwendungen. Er ist nicht dazu gedacht, technische Supportinformationen zu unseren Produkten zu liefern, unerwünschte Ereignisse zu melden oder Beschwerden bezüglich der Produktqualität anzuführen.

 

So melden Sie Schwachstellen, die nichts mit Produkten zu tun haben

Um nicht produktbezogene Schwachstellen in der Unternehmensinfrastruktur von Stryker zu melden, kontaktieren Sie uns bitte über das Stryker Enterprise IT Vulnerability Disclosure Program unter bugcrowd.com/stryker-vdp.

 

So melden Sie eine Schwachstelle

Wenn Sie eine potenzielle Schwachstelle bei einem unserer Medizingeräte, unserer Software als Medizinprodukt (SaMD) oder unserer mobilen medizinischen Anwendungen festgestellt haben, verwenden Sie bitte das unten stehende Formular, um einen Schwachstellenbericht an das Produktsicherheitsteam von Stryker zu senden.

Wenn Sie ein unerwünschtes Ereignis melden oder eine Beschwerde zur Produktqualität über ein Produkt von Stryker einreichen möchten, kontaktieren Sie uns bitte unter 
stryker.com/productexperience.

Formular zum Hinweis auf Sicherheitslücken

Diese Voraussetzungen sollten dabei erfüllt sein:

  • Berichte müssen auf Englisch verfasst sein.
  • Berichte mit dem Proof-of-Concept-Code, damit bessere Sichtungsvoraussetzungen gegeben sind.
  • Informationen dazu, wie Sie die Schwachstelle entdeckt haben, sowie zu den Auswirkungen und allen potenziellen Abhilfemaßnahmen.
  • Informationen über Ihre Pläne oder Absichten bezüglich einer öffentlichen Bekanntgabe.
  • Hinweis: Berichten, die nur Absturzabbilder oder sonstige Datenausgaben von automatisierten Tools enthalten, wird unter Umständen eine niedrigere Priorität zugewiesen.