PenetrationstestJan Kahmen3 min Lesezeit

Anforderungen an digitale Gesundheitsanwendungen

Eine kompromittierte digitale Anwendung kann zu Reputationsschäden führen, indem sie das digitale Leben des Nutzers ungewollt offenlegt.

Was beschreibt die BSI-Richtlinie?

Das Bundesministerium für Gesundheit (BMG) sieht das Gesundheitswesen der westlichen Welt vor großen Herausforderungen: die Versorgung älterer und chronisch kranker Menschen, die Finanzierung kostenintensiver medizinischer Innovationen sowie die Bereitstellung medizinischer Leistungen in strukturschwachen ländlichen Gebieten. Digitale Gesundheitsanwendungen (DiGA) können dazu beitragen, diese Herausforderungen zu bewältigen, indem sie die Behandlung und Betreuung von Patientinnen und Patienten unterstützen und die Möglichkeiten moderner Informations- und Kommunikationstechnologien (IKT) nutzen.

Um den Einsatz solcher Anwendungen zu erleichtern, hat das BSI eine Reihe von Technischen Richtlinien (TR) entwickelt, die sich an Entwickler von DiGA richten. Diese Richtlinien eignen sich darüber hinaus auch als Orientierung für alle Anwendungen, die mit sensiblen Daten arbeiten.

Ziel der BSI-Dokumente

Der Trend zum Self-Tracking mit neuen IoT-Geräten und der Wunsch nach einer effizienteren Nutzung medizinischer Daten sind auch im Gesundheitswesen angekommen. Dank orts- und zeitunabhängiger Zugriffsmöglichkeiten lassen sich sensible und persönliche Informationen wie Pulsfrequenz, Schlafrhythmus, Medikationspläne, ärztliche Verordnungen und Bescheinigungen digital speichern. Die zugehörigen Anwendungen verbinden Nutzerinnen und Nutzer mit entsprechenden Services und fungieren als zentrale Kommunikationsschnittstellen. Ein kompromittiertes Endgerät kann jedoch zu finanziellen Verlusten oder Reputationsschäden führen, wenn das digitale Leben der Betroffenen ungewollt offengelegt wird. Umso wichtiger ist es, dass Hersteller bereits in der Entwicklungsphase ihrer DiGA verantwortungsbewusst planen, wie Anwendungen personenbezogene und andere sensible Daten verarbeiten, speichern und schützen.

Prüfbereiche

Die Technischen Richtlinien decken mobile Anwendungen, Webanwendungen und Backend-Systeme ab. Sie definieren Mindestsicherheitsstandards und prüfen dabei die folgenden Bereiche:

  • Anwendungszweck
  • Architektur
  • Quellcode
  • Drittanbieter-Software
  • Kryptographische Umsetzung
  • Authentifizierung
  • Datensicherheit
  • Kostenpflichtige Ressourcen
  • Datenspeicherung und Datenschutz
  • Netzwerkkommunikation
  • Plattformspezifische Interaktionen
  • Resilienz

Fazit

Die Technischen Richtlinien des BSI sind ein wichtiges Instrument, um Sicherheit und Datenschutz bei der Entwicklung digitaler Gesundheitsanwendungen zu gewährleisten. Anhand der definierten Prüfbereiche können Entwickler sicherstellen, dass ihre Anwendungen sowohl sicher als auch datenschutzkonform sind. Davon profitieren nicht nur die Nutzerinnen und Nutzer, deren Privatsphäre geschützt wird, sondern das Gesundheitswesen insgesamt.

Quellen

Technische Richtlinien TR03161

Unsere Services

Penetrationstest