DiGA/DiPA · BSI TR-03161 · SaMD · Cloud-native
Cybersicherheit für Health Tech & DiGA
DiGA-Hersteller, DiPA-Anbieter, Telemedizin-Plattformen und Health-SaaS-Unternehmen vereinen junge Tech-Architekturen mit besonders strengen regulatorischen Anforderungen. BfArM-Listing, BSI TR-03161, SaMD-Konformität, NIS2 und DSGVO gleichzeitig — bei Startup- und Scale-up-Geschwindigkeit. Wir liefern Awareness, Phishing-Simulation, Vulnerability Management und Managed SOC, die in Cloud-native, CI/CD-getriebene Entwicklungsrealitäten passen.
TYPISCHE ANGRIFFSSZENARIEN
Die Angriffsmuster, denen Digital-Health-Produkte wirklich ausgesetzt sind.
Cloud-native Architekturen, offene APIs und direkte Patient:innen-Zugänge schaffen Angriffsflächen, die klassische Healthcare-Security-Ansätze nicht adressieren. Die typischen Muster sind inzwischen gut dokumentiert — und verlangen Tech-native Gegenmaßnahmen.
UNSERE LÖSUNGEN
Security, die im Entwicklungs-Flow mitläuft.
Vier Services, die Engineering-Geschwindigkeit nicht bremsen, sondern absichern. Awareness für Entwicklung, Phishing für alle, Vulnerability Management für Cloud-Infra und Applikationen, SOC-Monitoring für Produktion.
KONTINUIERLICHES TRAINING
Phishing Simulation as a Service
Tech-native Köder: gefälschte GitHub-Security-Alerts, AWS-Billing-E-Mails, Investor-Due-Diligence-Anfragen, fingierte Bug-Bounty-Reports. Messbare Metriken pro Team, CSV-Export für Compliance-Reports. Kontinuierlicher Evidenznachweis für ISO 27001- und NIS2-Audits.
MITARBEITER-RESILIENZ
Security Awareness Training
Rollenbezogene Inhalte für Engineering, Produkt, QA, Customer Success, Compliance und Vertrieb. Developer-Module zu Secure Coding, Secrets-Management, Dependency-Hygiene und CI/CD-Security. Compliance-Nachweis für BfArM-Listung, NIS2 und ISO 27001.
ANGRIFFSFLÄCHE KENNEN
Schwachstellen-Management
Kontinuierliche Discovery für Cloud-Infrastruktur (AWS, Azure, GCP), Container-Images, Dependencies und externe Angriffsfläche. Priorisierung nach Exploit-Verfügbarkeit und Geschäftskritikalität — nicht nach CVSS-Score allein. Integration in Ihre Jira-, Linear- oder GitHub-Issue-Workflows.
24/7 MANAGED SOC
Incident Detection & Response
Detection für Cloud-Audit-Logs, API-Anomalien, Credential-Stuffing-Muster, ungewöhnliche Developer-Aktivität. Monitoring der gesamten AWS-/Azure-Plane, Anbindung an Office-365, Okta, GitHub. Fertige DSGVO-Art.-33-Meldungen, BfArM- und Benannte-Stellen-Vorlagen für den MDR-Fall.
WARUM ENTROPY CS
Der Security-Partner für Digital-Health, der die Tech-Sprache spricht.
Generische Healthcare-Security-Dienstleister verstehen keine Kubernetes-Cluster. Generische DevSecOps-Anbieter kennen keine DiGA-Anforderungen. Wir sind bewusst für die Schnittmenge gebaut.
Engineering-kompatibel
Wir integrieren uns in Ihre bestehenden Dev-Workflows — Jira, Linear, GitHub, Slack — statt parallele Tool-Landschaften aufzubauen. Findings werden priorisiert und automatisch gerouted; Ihr Team bleibt im Flow, statt zwischen Dashboards zu springen.
Regulatorik als Feature
BfArM-Listung, ISO 27001, MDR und NIS2 adressieren wir parallel. Die Evidenz aus unseren Services ist auditfest formatiert — statt kurz vor dem Re-Audit Wochen mit Aufbereitung zu verbrauchen.
Scale-up-ready
Wir starten schlank und wachsen mit Ihnen mit. Seed-Stage bekommt das, was Seed-Stage wirklich braucht; Series A und B bekommen erweiterten Scope ohne Anbieterwechsel. Skalierung als eingebautes Prinzip, nicht als Nachgedanke.
Die Fragen, die wir regelmäßig von CTOs, CISOs, VPs of Engineering und Compliance Officern in Digital-Health-Unternehmen hören.