Where is patient data hosted?

Exclusively in EU data centres in Vienna and Frankfurt with cloud providers certified to BSI C5. 100% GDPR-compliant. The full technical architecture — including the confidential-computing layer and trusted execution environments — is shared with qualified prospects under NDA.

Is there an MDR classification?

No. None of the MiraNext modules is certified as a medical device under MDR (EU 2017/745) or intended for medical use within the meaning of the MDR. No MDR conformity assessment is initiated. Components such as the web viewer are expressly labelled as a reference and preview implementation for non-diagnostic purposes. Diagnostic image reading is performed on separately certified reading workstations by the physician.

How is AI billing calculated?

Per study — transparently itemised. You pay exactly for what MiraScribe or MiraNext AI processes for you. The Professional plan includes a monthly volume bundle; beyond that we bill per report. No flat rates by design. Concrete rates are set in the intro call.

Can we migrate from a legacy RIS?

Yes. We migrate structured data, DICOM studies and reports from the common RIS and PACS systems. Migration is part of onboarding and contractually backed by success criteria.

How long does roll-out take?

Typically 4–8 weeks per module. RIS+PACS first, then AI automation, then patient/referrer portal. Stoppable after each step.

MiraNext · Newsroom

Confidential Computing in der Cloud — die fünf Fragen, die jede Praxis 2026 stellen sollte

Trusted Execution Environments sind 2026 erstmals praxisreif. Was bedeutet das für radiologische Cloud-Setups — und welche Fragen sollten Sie Ihren Anbietern stellen?

Live-Demo (20 Min.) Mehr erfahren

Worum es geht. Confidential Computing schützt Daten *während sie verarbeitet werden*. Bisher kannte die Informationssicherheit zwei Zustände: Daten ruhend (verschlüsselt auf Disk) und Daten in Übertragung (verschlüsselt über das Netz). Beim eigentlichen Verarbeiten — wenn die CPU rechnet — lagen die Daten im Klartext im Arbeitsspeicher. Genau das ändert sich jetzt: Intel TDX und AMD SEV-SNP verschlüsseln den Speicher und die CPU-Register kryptografisch gegen den Hoster. Das heißt: auch der Betreiber kann nicht in die Daten schauen.

Für eine Radiologie-Praxis ist das relevant, weil ein nicht zu kleiner Teil der Cloud-Setup-Skepsis genau hier verankert ist: "Kann ich dem Cloud-Anbieter wirklich trauen?" Mit Confidential Computing wird die Antwort unabhängig vom Vertrauen — sie wird kryptografisch garantiert.

Frage 1: Läuft sensitive Verarbeitung tatsächlich in TEE — oder nur theoretisch verfügbar? Etablierte Cloud-Anbieter stellen TEE-fähige VM-Klassen mit hardware-basierten Trusted Execution Environments bereit; viele Software-Anbieter bewerben "Confidential Computing" allein deshalb, weil die Infrastruktur es unterstützt. Das ist nicht dasselbe wie es zu nutzen. Lassen Sie sich konkret zeigen: Welche Workloads laufen in TEE-Boundaries? KI-Inferenz? Datenbank-Reads? Beides? Bei MiraNext laufen KI-Inferenz für Sprache (MiraScribe, MiraPhone) und Bildkontext-Modelle in TEE — die Anwendungs-Schicht selbst noch nicht (das ist die Roadmap für 2027).

Frage 2: Gibt es Remote Attestation? TEEs sind nur so vertrauenswürdig wie ihr Attestierungs-Pfad. Remote Attestation ist der kryptografische Beweis, dass eine bestimmte Code-Version tatsächlich in einem genuinen TEE läuft — und nicht in einer Software-Simulation. Jeder Anbieter, der Confidential Computing ernst meint, kann Ihnen einen Attestation-Report zeigen. Wer nicht kann, läuft mit hoher Wahrscheinlichkeit ein Marketing-Setup.

Frage 3: Was passiert mit dem Schlüsselmaterial? TEEs schützen Daten gegen den Hoster. Wenn der Anbieter die Verschlüsselungs-Schlüssel selbst hält, hilft Confidential Computing dem Endkunden nur teilweise. Die saubere Variante: Customer-Managed Keys (BYOK), idealerweise im HSM des Kunden. Bei MiraNext ist BYOK optional verfügbar — die Mehrheit der Pilotpraxen wählt es, einige nutzen MiraNext-Managed Keys.

Frage 4: Wie wird Performance-Verlust gehandhabt? TEE-Workloads sind langsamer als normale. Realistisch: 10–20 % Performance-Verlust für KI-Inferenz, mehr für Datenbank-Workloads. Wer Confidential Computing für jede Operation einsetzt, baut ein langsames System. Die ehrliche Antwort: TEE für sensible Inferenz, normale Verarbeitung für administrative Workflows. Welcher Anbieter das nicht differenziert, übertreibt.

Frage 5: Wie verlässlich ist der Hardware-Hersteller? Confidential Computing basiert auf Hardware-Garantien von Intel (TDX) und AMD (SEV-SNP). Beide haben in den letzten 3 Jahren mehrere Sicherheitslücken in ihren TEE-Implementierungen gepatcht. Das ist normal und nicht bedrohlich — entscheidend ist: Wie schnell rollt Ihr Cloud-Anbieter Patches aus? Bei BSI-C5-zertifizierten Anbietern ist das vertraglich definiert (maximale Patch-Latenz für kritische CVEs liegt typischerweise bei 7 Tagen).

Was Sie aus dem Whitepaper mitnehmen sollten. Confidential Computing ist 2026 keine Marketing-Phrase mehr — sondern produktionsfähige Technologie. Aber: Fragen Sie konkret nach. Lassen Sie sich Attestation-Reports zeigen. Verlangen Sie BYOK. Differenzieren Sie zwischen "verfügbar" und "produktiv genutzt". Und lassen Sie sich die genauen Workloads benennen, die im TEE laufen.

Bei MiraNext finden Sie die vollständige Konfiguration im Trust Center. Kontaktieren Sie uns unter `[email protected]`, wenn Sie tiefer einsteigen wollen — wir senden auf Wunsch Attestation-Beispiele und die genauen TEE-Boundaries pro Modul.