Wir haben uns dazu verpflichtet, die Sicherheit und Effektivität unserer Produkte zu gewährleisten. Die Cybersicherheit unserer Produkte und der Infrastruktur unserer Kunden ist einer der Schwerpunkte unserer Arbeit.

Sicherheitsforscher spielen eine Rolle bei der Ermittlung von Schwachstellen und Bedenken hinsichtlich der Cybersicherheit. Unser Ziel besteht darin, effektiv mit der Forschungscommunity zusammenzuarbeiten, um deren Erkenntnisse zu verstehen. Wir führen gerade unseren ersten Offenlegungsprozess für koordinierte Schwachstellen ein, um die Zusammenarbeit und Berichterstellung zu Schwachstellen bei Medizinprodukten zu fördern. Dies wird auch nachfolgend noch beschrieben.

Der Umfang unseres Berichterstellungsprogramms für Schwachstellen bezieht sich auf Medizinprodukte, Software, die als Medizinprodukt gilt, und medizinische Apps für Mobilgeräte. Wir möchten damit keine technischen Supportinformationen zu unseren Produkten oder für die Berichterstellung zu unerwünschten Ereignissen oder Beschwerden zur Produktqualität bereitstellen.

Wenn Sie ein unerwünschtes Ereignis melden oder eine Beschwerde zur Produktqualität einreichen möchten, kontaktieren Sie uns bitte unter stryker.com/productexperience.

So melden Sie eine Schwachstelle

Wenn Sie eine potenzielle Sicherheitsschwachstelle bei einem unserer Medizinprodukte, einer Software, die als Medizinprodukt gilt, oder einer unserer medizinischen Apps für Mobilgeräte ermittelt haben, können Sie einen Schwachstellenbericht an das Produktsicherheitsteam von Stryker übermitteln, indem Sie das folgende Formular ausfüllen und das ausgefüllte Dokument per E-Mail an ProductSecurity@stryker.com senden.

Wichtige Informationen:
 

Wir leiten keine rechtlichen Schritte gegen Einzelpersonen ein, die Meldungen im Rahmen unseres Berichterstellungsprozesses zu Schwachstellen einreichen und eine rechtliche Vereinbarung mit uns schließen. Wir sind bereit, mit Einzelpersonen zusammenzuarbeiten, die:    

• Systeme testen bzw. sich an der Forschung beteiligen, ohne Stryker oder dessen Kunden zu schaden    
• Tests an Produkten durchführen, ohne dabei Kunden zu beeinträchtigen, oder die Berechtigungen/Einwilligungen von Kunden einholen, bevor sie Tests auf Schwachstellen an ihren Geräten oder ihrer Software durchführen  
• Bei der Durchführung von Tests auf Schwachstellen innerhalb des Umfangs unseres Programms zur Offenlegung von Schwachstellen die Bedingungen aller Vereinbarungen einhalten, die zwischen Stryker und den betreffenden Einzelpersonen getroffen wurden
• Die an ihrem Standort und dem Standort von Stryker geltenden Gesetze einhalten. Gesetzesverstöße, die nur zu einer Klage von Stryker (und nicht zu einer strafrechtlichen Klage) führen würden, sind beispielsweise unter Umständen akzeptabel, wenn Stryker die Aktivität zur Verbesserung seines Systems autorisiert (Reverse-Engineering-Technologie oder die Umgehung von Schutzmaßnahmen).
• Details zu Schwachstellen dürfen erst dann offengelegt werden, wenn der im gegenseitigen Einvernehmen vereinbarte Zeitraum vorüber ist.
  

Präferenzen, Priorisierung und Annahmekriterien
Wir wenden die folgenden Kriterien für die Priorisierung und Sichtung von Einreichungen an.   

Diese Voraussetzungen sollten erfüllt sein:

• Berichte müssen auf Englisch verfasst sein.  
• Berichte müssen den Proof-of-Concept-Code enthalten, damit bessere Sichtungsvoraussetzungen gegeben sind.   
• Informationen dazu, wie Sie die Schwachstelle entdeckt haben, sowie zu den Auswirkungen und allen potenziellen Abhilfemaßnahmen.   
• Informationen über Ihre Pläne oder Absichten bezüglich einer öffentlichen Bekanntgabe.   

Hinweis: Berichten, die nur Absturzabbilder oder sonstige Datenausgaben von automatisierten Tools enthalten, wird unter Umständen eine niedrigere Priorität zugewiesen.

Das können Sie von uns erwarten:   

• Eine zeitnahe Antwort auf Ihre E-Mail (innerhalb von fünf Werktagen)
• Wir leiten die potenziellen Erkenntnisse an die entsprechenden Produktteams weiter, die diese dann überprüfen und reproduzieren. Sie werden in dieser Phase möglicherweise um zusätzliche Informationen gebeten.  
• Nach der Untersuchung eines Berichts bestätigen wir die Existenz der Schwachstelle und die potenziellen Auswirkungen.  Wirkt sich die ermittelte Schwachstelle auf die Patientensicherheit aus, erarbeiten wir umgehend eine Lösung und ergreifen entsprechende Maßnahmen. Alle anderen Schwachstellen werden ausgewertet und dem damit verbundenen Risiko entsprechend behandelt.
• Einen offenen Dialog für die Besprechung von Problemen   
• Eine Benachrichtigung, sobald die Schwachstellenanalyse die einzelnen Stadien unserer Prüfung durchlaufen hat   
• Eine Danksagung, sobald die Schwachstelle überprüft und behoben wurde, wenn dies gewünscht ist   
• Wir versuchen, hinsichtlich des Zeitrahmens für die Behebung der Schwachstelle und möglicher Probleme oder Herausforderungen so transparent wie möglich zu sein.  
• Wenn wir Kommunikationsprobleme oder sonstige Probleme nicht selbst beheben können, beziehen wir möglicherweise eine neutrale dritte Partei mit ein (beispielsweise CERT/CC, ICS-CERT oder eine entsprechende Regulierungseinrichtung), damit sie uns beim Umgang mit der Schwachstelle unterstützt.   

Alle Aspekte dieses Prozesses können jederzeit ohne Ankündigung geändert werden. Dies gilt auch für entsprechende Ausnahmen. Es wird keine bestimmte Reaktionsstufe garantiert.

Hinweis

Wenn Sie sich dazu entscheiden, Informationen mit Stryker zu teilen, erklären Sie sich damit einverstanden, dass die von Ihnen eingereichten Informationen als nicht urheberrechtlich geschützt und nicht vertraulich angesehen werden und dass Stryker diese Informationen auf jede Art, ganz oder teilweise und ohne Einschränkung verwenden darf. Außerdem stimmen Sie zu, dass durch das Einreichen der Informationen weder Rechte für Sie noch Verpflichtungen für Stryker geschaffen werden.

Im Rahmen unseres Engagements für die Produktsicherheit und den Kundenservice stellen wir unseren Kunden Informationen bereit, mit denen sie die Schwachstellen und Risiken bewerten und angehen können.

Wir verwenden insbesondere die Offenlegungserklärung des Herstellers für die Sicherheit von Medizinprodukten (Manufacturer Disclosure Statement for Medical Device Security (MDS²)), um Sicherheitsinformationen über unsere Produkte zur Verfügung zu stellen.

Die Offenlegungserklärung des Herstellers für die Sicherheit von Medizinprodukten (MDS²) enthält spezifische Sicherheitsinformationen im Zusammenhang mit den Funktionen der Geräte, u. a.:

• Pflege, Speicherung und Übertragung von elektronisch geschützten Gesundheitsdaten (ePHI) 
• Datensicherung und Wechseldatenträger
• Installation von Sicherheitspatches und Antivirensoftware
• Fernwartungszugriff
• Auditprotokoll für den ePHI-Zugriff, darunter: die Anzeige; das Erstellen, Bearbeiten und Löschen von Datensätzen; das Importieren/Exportieren

Die Offenlegungserklärung des Herstellers für die Sicherheit von Medizinprodukten (MDS²), ein universelles Berichtsformular, mit dem wir unseren Kunden modellspezifische Informationen zur Verfügung stellen können, wird von dem American College of Clinical Engineering (ACCE), dem ECRI (vorher Emergency Care Research Institute), der National Electrical Manufacturers Association (NEMA) und der Healthcare Information and Management Systems Society (HIMSS) empfohlen.

Das Formular enthält auch Empfehlungen zu Sicherheitspraktiken und Erläuterungen des Herstellers.