Software as a Medical Device Pentest

Software as a Medical Device Pentest Software as a Medical Device Pentest

Software as a Medical Device verarbeitet sensible Gesundheitsdaten, unterstützt medizinische Entscheidungen oder steuert kritische Behandlungsprozesse. Damit wird medizinische Software schnell zu einem attraktiven Ziel für Angreifer. Mit einem SaMD-Penetrationstest prüfen wir, ob eure Anwendung gezielten Angriffen standhält – technisch, realistisch und mit Blick auf die tatsächlichen Risiken für Patienten, Daten und Betrieb.

Was wird getestet?

Wir testen SaMD-Lösungen entlang ihrer gesamten Angriffsfläche – von Web- und Mobile-Anwendungen über APIs und Backend-Systeme bis zu Cloud-Infrastruktur, Administrationsoberflächen und externen Schnittstellen. Unsere Prüfungen orientieren sich an etablierten Security-Standards und berücksichtigen die besonderen Anforderungen medizinischer Software. Dabei stehen nicht nur technische Schwachstellen im Fokus, sondern auch mögliche Auswirkungen auf Datenintegrität, Systemverfügbarkeit und Patientensicherheit.

Typischer Scope umfasst:

  • Webanwendungen und Patientenportale
  • Mobile Apps für Patienten und medizinisches Personal
  • Backend-Systeme und API-Endpunkte
  • Authentifizierungs- und Login-Mechanismen
  • Session-, Rollen- und Berechtigungsmodelle
  • Mandanten- und Patiententrennung
  • Schutz medizinischer und personenbezogener Daten
  • Integrität von Diagnose-, Mess- und Behandlungsdaten
  • Manipulation medizinischer Workflows und Geschäftslogik
  • Datei-Uploads, Befunde, Berichte und Bilddaten
  • Schnittstellen zu Kliniken, Laboren und Drittsystemen
  • Cloud-Dienste, Speicherlösungen und Fehlkonfigurationen
  • Administrations- und Support-Funktionen
  • Update-, Logging- und Fehlerbehandlungsmechanismen
  • Optionale Verfügbarkeits- und DoS-Tests im vereinbarten Rahmen

Wie testen wir?

Ein automatisierter Scan reicht bei medizinischer Software nicht aus. Deshalb testen wir überwiegend manuell und betrachten das Gesamtsystem aus Sicht eines echten Angreifers. Wir prüfen, ob Patientendaten unberechtigt eingesehen oder verändert werden können, ob sich Rollen, Accounts oder Mandantengrenzen umgehen lassen und ob medizinische Ergebnisse, Funktionen oder Workflows manipulierbar sind. Dabei kombinieren wir technische Schwachstellen mit logischen Angriffen und verfolgen mögliche Angriffsketten über mehrere Komponenten hinweg. Entscheidend ist nicht die Anzahl theoretischer Findings, sondern welche Schwachstellen praktisch ausnutzbar sind, welches Risiko daraus entsteht und wie sie sinnvoll behoben werden können.

Patientensicherheit & Datenschutz

Bei SaMD geht es um mehr als klassische IT-Sicherheit. Manipulierte Daten, ausgefallene Systeme oder kompromittierte Benutzerkonten können medizinische Prozesse und Entscheidungen direkt beeinflussen. Deshalb bewerten wir Findings nicht nur nach ihrer technischen Kritikalität, sondern auch nach möglichen Auswirkungen auf Vertraulichkeit, Integrität, Verfügbarkeit und Patientensicherheit.

Regulatorische Anforderungen & Validierung

Die Medical Device Regulation (MDR) fordert, dass Sicherheit und Leistungsfähigkeit von Medizinprodukten systematisch verifiziert und validiert werden. Das betrifft auch eigenständige medizinische Software und SaMD-Lösungen. Die Medical Device Coordination Group (MDCG) betont in ihren Leitlinien zur Cybersicherheit von Medizinprodukten, dass gezielte und nachvollziehbare Tests ein wesentlicher Bestandteil dieser Sicherheitsüberprüfung sind. Ein Penetrationstest unterstützt diesen Prozess, indem technische Schutzmaßnahmen, reale Angriffspfade und praktisch ausnutzbare Schwachstellen untersucht werden. Die Ergebnisse können als nachvollziehbarer Nachweis für Entwicklung, Risikomanagement und Validierung genutzt werden.

Ein festes Standardschema reicht bei SaMD jedoch selten aus. Medizinische Zweckbestimmung, vorgesehene Anwender, klinischer Nutzungskontext, Systemarchitektur und angebundene Komponenten unterscheiden sich von Produkt zu Produkt. Deshalb entwickeln wir für jedes Medizinprodukt ein individuelles Testvorgehen, das sich an der tatsächlichen Architektur, den sicherheitskritischen Funktionen, relevanten Bedrohungsszenarien und den möglichen Auswirkungen auf Patienten und Betreiber orientiert.

Dauer & Rahmen

Ein SaMD-Pentest dauert typischerweise zwischen fünf und fünfzehn Testtagen – abhängig von Architektur, Funktionsumfang, Anzahl der Benutzerrollen, Schnittstellen und medizinischen Workflows. Der Scope wird vorab klar definiert. Gemeinsam legen wir Testumgebung, Accounts, Rollen, APIs, kritische Funktionen und erlaubte Testszenarien fest. So testen wir gezielt und realistisch, ohne Patienten, Produktivdaten oder den laufenden Betrieb unnötig zu gefährden.

Qualifikationen

Die Tester von Hackeroo wissen, was sie tun und sie können es nachweisen. Unser Team besteht aus erfahrenen Ethical Hackern mit praxisorientierten Zertifizierungen wie dem OSCP (Offensive Security Certified Professional) oder dem BACPP (Binsec Academy Certified Pentest Professional). Beide stehen für reale Angriffe auf echte Systeme unter realistischen Bedingungen und nicht für Theorie oder Multiple Choice Prüfungen.

Für unsere Kunden heißt das manuelles Security Testing auf Augenhöhe mit echten Angreifern. Keine reinen Tool Scans und keine Checklisten Audits sondern tiefgehende Analysen mit technischer Tiefe Erfahrung und klaren Ergebnissen. Wir denken wie Angreifer und genau so testen wir auch.

Pentesting nach Standards. Best Practices. Und wo es wirklich gefordert ist.

Penetrationstests sind heute kein „nice to have“ mehr. Viele Standards und regulatorische Rahmenwerke erwarten klar, dass Sicherheitsmaßnahmen nicht nur dokumentiert, sondern technisch validiert werden. Internationale Normen fordern regelmäßige Wirksamkeitsprüfungen und nachvollziehbare Sicherheitsbewertungen und nicht nur gut formulierte Richtlinien, sondern den Nachweis, dass Schutzmaßnahmen tatsächlich funktionieren.

Darüber hinaus verlangen zahlreiche Sicherheitsstandards und Best-Practice-Veröffentlichungen entweder ausdrücklich Penetrationstests, definieren konkrete Sicherheitsziele oder geben methodische Leitlinien für die Umsetzung vor. Wer Compliance ernst nimmt, muss belegen können, dass Sicherheitskontrollen einem realen Angriff standhalten und und nicht nur einem Auditgespräch.

Ein strukturierter Penetrationstest verbindet diese normativen Anforderungen mit realer Angriffssimulation. Er zeigt nicht nur, ob eine Maßnahme existiert, sondern ob sie einem gezielten technischen Angriff tatsächlich standhält.

Dein Anbieter für SaMD Pentest

Hackeroo ist ein junges, dynamisches Team aus Ethical Hackern mit klarem Fokus auf professionelle Pentest. Unser Anspruch: technisch tiefgehende, manuelle Tests – ohne unnötigen Overhead, ohne Buzzword-Bingo und ohne überzogene Tagessätze. Hackeroo ist der spezialisierte Anbieter in Deutschland für professionelle und gleichzeitig preislich attraktive SaMD Penetrationstest. Durch schlanke Prozesse und eine effiziente Projektstruktur können wir SaMD Pentests zu einem besonders starken Preis-Leistungs-Verhältnis anbieten. Ideal für Startups, SaaS-Anbieter und Unternehmen vor Release oder Audit. Gerne erstellen wir ein individuelles Angebot für professionelle SaMD Pentest. Wenn Sie einen Pentest beauftragen möchten, erhalten Sie bei Hackeroo direkte Kommunikation mit erfahrenen Testern und eine transparente Projektkalkulation. Gerne erstellen wir ein individuelles Angebot für ihren professionellen Pentest.

Unser Tagessatz beginnt bei 1.160€ pro Tag. Die Gesamtkosten eines Projekts hängen vom tatsächlichen zeitlichen Aufwand sowie vom Umfang und der Komplexität der zu prüfenden Systeme ab. Damit positioniert sich Hackeroo bewusst als preislich attraktiver Anbieter für professionelle Penetrationstests in Deutschland. Trotz des wettbewerbsfähigen Tagessatzes führen wir ausschließlich manuelle und technisch fundierte Tests durch und liefern klar priorisierte sowie verständliche Ergebnisse. Günstiger bedeutet bei Hackeroo nicht weniger Qualität, sondern effizientere Prozesse und volle Konzentration auf das Wesentliche: echte Sicherheit.

Typische Fragen

Das Hackeroo Team besteht aus jungen, engagierten Ethical Hackern mit einem starken technischen Hintergrund und hohem persönlichem Anspruch. Uns treibt der Ehrgeiz an, Sicherheitslücken zu finden, die andere übersehen, und reale Angriffswege nachvollziehbar aufzuzeigen.

Das Hackeroo Team ist Teil des Pentest Collective und arbeitet innerhalb dieses Netzwerks nach gemeinsamen Qualitätsstandards und bewährten Methoden. Gleichzeitig agieren wir als eigenständiges, fokussiertes Team mit kurzen Entscheidungswegen und direkter Umsetzung.

Wir arbeiten hands on, technisch tief und mit einem hohen Anteil manueller Analyse. Statt uns auf reine Tool Ausgaben zu verlassen, analysieren wir Anwendungen, Infrastrukturen und Prozesse im Detail und hinterfragen Annahmen wie ein echter Angreifer.

Durch klare Strukturen, effiziente Arbeitsweise und den gezielten Einsatz von PTDoc können wir fokussiert testen und gleichzeitig einen attraktiven Tagessatz anbieten.

Hackeroo führt manuelle Penetrationstests für moderne Anwendungen, Infrastrukturen und Cloud-Umgebungen durch. Ziel ist es, reale Angriffspfade zu identifizieren und technische Schwachstellen aus der Perspektive eines Angreifers sichtbar zu machen.

Web

Webanwendungen gehören zu den häufigsten Angriffsflächen moderner IT-Systeme. Hackeroo analysiert Anwendungen und APIs auf typische Schwachstellen wie fehlerhafte Zugriffskontrollen, Injection-Angriffe oder unsichere Authentifizierungsmechanismen.

Mobile Apps

Mobile Anwendungen auf Android und iOS verarbeiten häufig sensible Daten und kommunizieren mit Backend-APIs. Hackeroo prüft mobile Apps auf unsichere Datenspeicherung, fehlerhafte Authentifizierung sowie Schwachstellen in der Kommunikation mit Backend-Systemen.

Infrastructure

Infrastruktur-Pentests untersuchen Netzwerke, Systeme und zentrale Dienste eines Unternehmens. Dazu gehören interne Tests, bei denen ein Angreifer innerhalb des Netzwerks simuliert wird, sowie externe Tests, bei denen öffentlich erreichbare Systeme analysiert werden. Ziel ist es zu prüfen, ob ein Angreifer Privilegien erweitern, Systeme kompromittieren oder sich innerhalb der Umgebung weiter ausbreiten kann.

Cloud

Viele Unternehmen betreiben kritische Systeme in Cloud-Plattformen. Fehlkonfigurationen bei Berechtigungen, Netzwerken oder Storage-Diensten können dazu führen, dass Angreifer auf sensible Ressourcen zugreifen. Hackeroo prüft Cloud-Umgebungen systematisch auf solche Risiken.

Unser Tagessatz liegt bei 1.160€ netto.

Auf dieser Basis vereinbaren wir vorab einen festen Pauschalpreis, der sich aus dem gemeinsam definierten Scope ergibt. Keine Überraschungen auf der Rechnung. Kein Nachverhandeln.

Die Gesamtkosten hängen davon ab, was wir testen und wie tief wir gehen. Eine schlanke Web-App ist etwas anderes als eine komplexe Plattform mit APIs, Authentifizierungs-Flows, Rollenmodellen und Cloud-Setup. Blackbox oder Greybox, ein Ziel oder zehn, wenige Tage oder mehrere Wochen – das bestimmt den Aufwand.

Wir rechnen nach Zeit, nicht nach Schwachstellen. Automatisierte Tools sind der Einstieg, nicht das Ergebnis. Die relevanten Findings entstehen durch manuelle Analyse, Erfahrung und das Denken wie ein echter Angreifer.

Unterm Strich: Klarer Scope, transparenter Aufwand, fester Preis und Ergebnisse, die mehr sind als nur ein Compliance-Häkchen.

Das Pentest Collective ist ein Zusammenschluss erfahrener Ethical Hacker und Penetrationstester, die nach gemeinsamen Qualitätsstandards arbeiten und ihr Know how teilen. Statt auf starre Teams oder klassische Beratungsstrukturen zu setzen, bündelt das Pentest Collective spezialisierte Expertise genau dort, wo sie gebraucht wird.

Hackeroo ist das junge Team innerhalb des Pentest Collective. Mit viel Ehrgeiz und technischem Anspruch verfolgen wir das Ziel, auch solche Schwachstellen zu finden, die in klassischen Tests oft unentdeckt bleiben. Unser Antrieb ist es, reale Angriffswege sichtbar zu machen und messbaren Sicherheitsgewinn zu liefern.

Hackeroo arbeitet gezielt für preissensible Kunden wie Startups und öffentliche Auftraggeber. Durch eine schlanke Struktur, fokussierte Testansätze und den Einsatz strukturierter Prozesse und Werkzeuge wie PTDoc der binsec systems GmbH, dem Pentesting-Systemhaus in Deutschland, ermöglichen wir einen attraktiven Tagessatz bei gleichzeitig hoher technischer Tiefe.

Die Ergebnisse sind mit denen deutlich teurerer Anbieter vergleichbar, da Methodik, Prüftiefe und Reporting Standards identisch sind. Der Unterschied liegt nicht in der Qualität der Tests, sondern im Verzicht auf unnötigen Overhead. Unsere Zeit fließt in Analyse, manuelles Testen und saubere Dokumentation statt in interne Abstimmungsrunden oder Vertriebsprozesse.

Ja. Hackeroo nutzt ausgewählte Werkzeuge und Plattformen der binsec systems GmbH als technischen Dienstleister. Dazu gehören insbesondere strukturierte Prozesse und Systeme wie PTDoc, die eine effiziente, konsistente und nachvollziehbare Durchführung von Penetrationstests ermöglichen.

Die operative Durchführung der Penetrationstests erfolgt vollständig durch das Hackeroo Team. Planung, Testdurchführung, Analyse und Bewertung der Ergebnisse liegen bei Hackeroo. Die Zusammenarbeit mit der binsec systems GmbH dient ausschließlich der technischen Unterstützung sowie der Nutzung erprobter Systeme und Werkzeuge.

Durch diese klare Aufgabenteilung und den Einsatz effizienter, erprobter Plattformen kann Hackeroo mit schlanken Prozessen arbeiten und einen attraktiven Tagessatz anbieten. Kunden profitieren davon, dass der überwiegende Teil des Aufwands direkt in Analyse, manuelles Testen und aussagekräftige Ergebnisse fließt.

PTDoc ist eine strukturierte Plattform für die Dokumentation und das Reporting von Penetrationstests. Sie wurde aus der Praxis heraus entwickelt, um den gesamten Pentest Prozess effizient, nachvollziehbar und konsistent abzubilden.

Mit PTDoc werden Tests methodisch geplant, Ergebnisse sauber erfasst und Findings einheitlich bewertet. Das sorgt für klare Strukturen, reproduzierbare Qualität und verständliche Berichte für technische Teams ebenso wie für Management und Entscheider.

Für Kunden bedeutet der Einsatz von PTDoc weniger Overhead und mehr Fokus auf das Wesentliche. Statt Zeit in manuelle Dokumentation oder nachträgliche Aufbereitung zu investieren, fließt der Aufwand direkt in Analyse, manuelles Testen und die Identifikation realer Angriffswege. So entstehen hochwertige Ergebnisse, die mit denen deutlich teurerer Anbieter vergleichbar sind, bei gleichzeitig attraktiven Konditionen.

Der PenPI steht für Pentesting Physical Interface. Er ist ein dediziertes Pentesting-System, das für interne Penetrationstests direkt im Netzwerk des Kunden eingesetzt wird. Er dient als kontrollierter Angriffspunkt und ermöglicht realistische Tests aus der Perspektive eines internen Angreifers. Der Einsatz des PenPI ermöglicht es Hackeroo, interne Tests remote durchzuführen. Dadurch entfallen Vor-Ort-Termine und Reisekosten, ohne dass Abstriche bei der Testtiefe oder Realitätsnähe gemacht werden müssen.

Mit dem PenPI können interne Netzwerke, Active-Directory-Umgebungen und angebundene Systeme effizient und nachvollziehbar geprüft werden. Im Gegensatz zu klassischen VPN-Zugängen befindet sich der PenPI direkt im internen Netzwerk. Tests über VPN sind technisch eingeschränkt, da sie z.B. keine Man-in-the-Middle-Angriffe erlauben. Mit dem PenPI können interne Netzwerke, Active-Directory-Umgebungen und angebundene Systeme effizient und nachvollziehbar geprüft werden.

Wir führen Penetrationstests in der gesamten DACH-Region durch – Deutschland, Österreich und Schweiz.

© Hackeroo: Operative Führung durch die Pentest Collective GmbH, eine Tochtergesellschaft der binsec group GmbH.