Sicherheitsanforderungen an digitale Gesundheitsanwendungen
Die BSI TR-03161 definiert einen Leitfaden und soll Entwickler von mobilen Anwendungen im Gesundheitswesen bei der Erstellung sicherer mobiler Applikationen unterstützen. [Quelle: BSI]
Im Gegensatz zu einem Informationsmanagementsystem, welches auf das Management der Organisation zielt, fokussiert die TR-03161 die Trinität der Informationssicherheit aus Vertraulichkeit, Integrität und Verfügbarkeit für das Produkt.
Es werden potenzielle Bedrohungsszenarien formuliert und daraus Prüfaspekte für mobile Anwendungen (nicht nur DiGA) abgeleitet. Die Richtline hält sich wenig mit beschreibenden Elementen auf und formuliert elf Prüfaspekte:
- Prüfung des Anwendungszwecks
- Prüfung der Architektur
- Prüfung des Quellcodes
- Prüfung der Drittanbieter-Software
- Prüfung der kryptographischen Umsetzung
- Prüfung der Authentifizierung
- Prüfung der Datenspeicherung und des Datenschutzes
- Prüfung der kostenpflichtigen Ressourcen
- Prüfung der plattformspezifischen Interaktionen
- Prüfung der Netzwerkkommunikation
- Prüfung der Resilienz
Für jeden dieser Prüfaspekte werden Forderungen aufgestellt, die der Hersteller nachweisen können muss.
Bsp: Prüfaspekt Anwendungszweck, Forderung O.Zweck_4
Daten, deren Verwendung der Benutzer nicht ausdrücklich zugestimmt hat, DÜRFEN NICHT von der Applikation oder im Backend genutzt werden.
Solch eine Forderung führt in den meisten Fällen zur Nicht-Funktionalität der Anwendung.
Auch die Anforderungen zur Prüfung der Resilienz machen es für quelloffene Systeme schwierig, als Basis für DiGA dienen zu können.
Zusammenfassend kann man aber feststellen, dass die Forderungen konkret und deutlich gehalten sind. Leider kommen in Summe aktuell 145 Fragen zusammen, auf die die Hersteller reagieren müssen. Inwieweit diese TR im Rahmen des fortwährend durch das BSI neu festzustellenden Stands der Technik aktualisiert wird, bleibt abzuwarten.
Ansprechperson
Haben Sie Fragen oder Hinweise zum Thema DiGA? Wenden Sie sich gerne an Bozena Jakubowska.