DiGA (Digitale Gesundheitsanwendungen) – auch bekannt als „Apps auf Rezept“ – sind CE-gekennzeichnete Medizinprodukte, die Patienten bei der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten, Verletzungen oder Behinderungen unterstützen. Sie können mobile Apps, Webanwendungen oder andere Geräte sein, deren Hauptfunktion auf digitaler Technologie basiert.
Im November 2019 ermöglichte der Bundestag Ärzten in Deutschland, digitale Gesundheitsanwendungen ihren Patienten zu verschreiben. Alle Patienten, die in der gesetzlichen Krankenversicherung versichert sind, haben Anspruch auf die Verschreibung von Gesundheits-Apps. Im Januar 2024 waren 59 DiGA im Verzeichnis des BfArM aufgeführt. Einige Beispiele für DiGA-Apps sind: Deprexis, verfügbar als Web-App zur Unterstützung bei der Behandlung von Depressionen, Endo App für Patienten mit Endometriose oder Elevida – eine Web-App für Menschen mit Multipler Sklerose.
Im Oktober 2022 veröffentlichte das BfArM eine Verordnung, die Anforderungen für die Erstattung digitaler Pflegeanwendungen (DiPA – Digitale Pflegeandwendungen) festlegt, die darauf abzielen, die alltägliche Pflege von Patienten zu unterstützen. DiPA sind für die Nutzung durch Pflegeempfänger und deren Pfleger und Betreuer, einschließlich Familienangehöriger, bestimmt – sie werden nicht als Gesundheitsgeräte, sondern als „Pflegeassistenten“ angesehen. Hersteller solcher Apps und Geräte können nun beantragen, dass ihre Produkte im DiPA-Verzeichnis gelistet werden.
Die Bedeutung der Sicherheit von Patientendaten
Warum DiGA- und DiPA-Hersteller Sicherheit priorisieren sollten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont in seiner Richtlinie BSI TR-03161 die potenziell schwerwiegenden Konsequenzen, die ein Verlust solcher Daten nach sich ziehen kann. Anders als im Finanzsektor, wo etwa bei Betrug Rückerstattungen möglich sind, ist ein Verlust von Gesundheitsdaten irreversibel und kann direkte Auswirkungen auf das Wohl der Patienten haben.
Vor diesem Hintergrund unterliegen DiGA und DiPA strengen Sicherheitsvorschriften, die stetig verschärft werden. Die Anforderungen an den Datenschutz und die Sicherheit digitaler Pflegeanwendungen werden sich voraussichtlich an den hohen Standards für DiGA orientieren.
Sicherheitsanforderungen für Digitale Gesundheitsanwendungen (DiGA)
Um als DiGA eingestuft zu werden und eine Erstattung durch die deutschen Krankenkassen zu erhalten – und somit für über 73 Millionen gesetzlich versicherte Patienten verfügbar zu sein – muss das digitale Gesundheitsprodukt eine Fast-Track-Bewertung durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) durchlaufen.
Dieser dreimonatige Bewertungsprozess untersucht umfassend die Benutzerfreundlichkeit, Interoperabilität und die allgemeine Funktionalität der Anwendung, wobei besonderes Augenmerk auf die Sicherheit der Patientendaten und die Einhaltung von Datenschutzvorschriften gelegt wird.
Um den Anforderungen der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) zu entsprechen, müssen DiGA-Hersteller umfassende Maßnahmen zum Schutz der Datensicherheit implementieren. Die Verordnung legt fest, dass DiGA die folgenden sicherheitsrelevanten Anforderungen erfüllen müssen:
- Implementierung von ISMS-Systemen, wie ISO 27001
- Verhinderung von Datenlecks
- Authentifizierung
- Zugriffskontrolle
- Integration von Daten und Funktionen
- Protokollierung
- Regelmäßige und sichere Updates
- Sicheres Deinstallieren
- Härtung
- Nutzung von Sensoren und externen Geräten
- Nutzung von Software von Drittanbietern
- Penetrationstests
Gemäß Abschnitt 32a der DiGAV-Anlage 1 müssen alle digitalen Gesundheitsanwendungen, die eine Zulassung anstreben, unabhängig von ihrer Schutzstufe, einen umfassenden Penetrationstest durchlaufen. Dieser Test muss sämtliche Back-End-Komponenten umfassen und nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durchgeführt werden. Dabei sollten – wenn relevant – auch die aktuellen OWASP-Top-10-Sicherheitsrisiken berücksichtigt werden. Der Hersteller ist verpflichtet, auf Anfrage Nachweise über die Durchführung der Penetrationstests sowie über die Beseitigung identifizierter Schwachstellen vorzulegen.
Digitale Gesundheitsanwendungen, die besonders hohen Schutzanforderungen unterliegen, müssen darüber hinaus zusätzliche Sicherheitsmaßnahmen umsetzen. Dazu zählen:
- Zwei-Faktor-Authentifizierung (2FA)
- Verschlüsselung gespeicherter Daten
- Maßnahmen gegen DoS- und DDoS-Angriffe
- Eingebettete Webdienste
Besonderheiten eines DiGA Penetrationstests
Anforderungen an DiGA Penetrationstests
Penetrationstests sind unverzichtbar, um potenzielle Sicherheitslücken in digitalen Gesundheitsanwendungen (DiGA) zu erkennen. Diese Tests simulieren verschiedene Angriffsmuster, um Schwachstellen frühzeitig aufzudecken und zu beheben. Um in das DiGA-Verzeichnis aufgenommen zu werden, muss jede Anwendung einen umfassenden Penetrationstest durchlaufen, der alle Komponenten, insbesondere die Backend-Systeme, abdeckt.
Ab dem 1. Februar 2024 wird zusätzlich gefordert, dass ein DiGA pentest auch eine manuelle Code-Überprüfung sowie einen White-Box-Test umfasst. Diese Tests müssen regelmäßig wiederholt werden, beispielsweise wenn neue Schnittstellen zum Internet hinzugefügt oder sicherheitsrelevante Bibliotheken aktualisiert werden. Penetrationstests sollten auf den Standards des BSI und den aktuellen OWASP-Top-10-Frameworks basieren. Es wird empfohlen, diese Tests von BSI-zertifizierten Zentren durchführen zu lassen, obwohl dies keine zwingende Anforderung ist.
Das BfArM behält sich das Recht vor, Nachweise über die Durchführung der Penetrationstests anzufordern sowie zu überprüfen, ob gefundene Schwachstellen wirksam behoben wurden.
Penetrationstests für DiGA- und DiPA-Anwendungen sind oft komplexer als alltägliche Tests. Sicherheitsingenieure müssen einen besonderen Fokus auf Schwachstellen legen, die Patientendaten gefährden könnten, wie etwa Insecure Direct Object Reference (IDORs) und Probleme bei der Durchsetzung der Zugriffskontrolle. Zudem sollten sie mit branchenspezifischen Standards wie HL7, DICOM und FHIR sowie proprietären Protokollen vertraut sein.
Die Wahl von Penetrationstests basierend auf Methodologien wie OWASP Top 10, OWASP MASVS, OSSTMM, PTES und den BSI-Standards (verpflichtend für DiGA/DiPA) gewährleistet eine umfassende Prüfung der Sicherheitskontrollen der Plattformen und Systeme, die in Ihrem Audit einbezogen sind.
Penetrationstestanforderungen für DiGA: Digitale Gesundheitsanwendungen
Nachweis der Durchführung eines Pentests und der Behebung aller Schwachstellen
Für die Zertifizierung von DiGA im Fast-Track-Verfahren ist es unerlässlich, einen umfassenden Penetrationstest durchzuführen. Dieser Test muss exakt auf der Version der digitalen Gesundheitsanwendung basieren, die im Antragsverfahren eingereicht wird. Es ist dabei entscheidend, dass alle Komponenten der Anwendung – sowohl Front-End als auch Back-End – umfassend geprüft werden. Die Penetrationstests müssen strikt den IT-Grundschutz-Methodologien des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie den Vorgaben des aktuellen OWASP Mobile Security Testing Guide folgen. Dazu zählen auch Whitebox-Tests und eine manuelle Code-Überprüfung.
Zertifizierungsanforderungen für DiGA
Seit dem 1. April 2022 ist der Nachweis eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 verpflichtend, um die IT-Sicherheit bei digitalen Gesundheitsanwendungen (DiGA) zu gewährleisten. Darüber hinaus muss seit dem 1. Januar 2023 ein Zertifikat des BSI vorgelegt werden, das bestätigt, dass die Anforderungen an die Datensicherheit gemäß den DIGA-Richtlinien erfüllt sind. Ab dem 1. April 2023 gelten zudem strengere Datenschutzanforderungen, die sowohl für bereits im Verzeichnis gelistete DiGA als auch für neue Anträge von Herstellern gelten. Diese verschärften Richtlinien stellen sicher, dass alle digitalen Gesundheitsanwendungen kontinuierlich den höchsten Standards in Bezug auf Sicherheit und Datenschutz entsprechen.
DiGA und Datenverarbeitung außerhalb der EU
Im Juli 2023 verabschiedete die Europäische Kommission das EU-US-Datenschutzrahmenwerk, wodurch die Übertragung personenbezogener Daten aus der Europäischen Union in die USA wieder möglich wurde. US-Unternehmen können jedoch nur dann an diesem Datentransfer teilnehmen, wenn sie sich dem EU-US-Rahmen anschließen und sich zur Einhaltung strenger Datenschutzanforderungen verpflichten.
Im Oktober 2023 veröffentlichte das BfArM seine aktualisierte Position zur Datenverarbeitung außerhalb Deutschlands. Laut dem DiGA-Leitfaden waren zuvor strikte Regeln in Kraft, die genau festlegten, wo Gesundheitsdaten und personenbezogene Daten verarbeitet werden dürfen. Dies schloss bisher US-basierte Cloud-Anbieter weitgehend aus. Nun stellt das BfArM klar:
„Die Datenschutz-Grundverordnung (DSGVO) erlaubt die Verarbeitung personenbezogener Daten grundsätzlich innerhalb der Europäischen Union (EU). Eine Verarbeitung außerhalb der EU in einem sogenannten Drittland ist zulässig, wenn in diesem Drittland ein vergleichbares Schutzniveau besteht (Angemessenheitsbeschluss gemäß Artikel 45 DSGVO). Die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) beschränkt den Standort der Datenverarbeitung für gemäß § 4 Absatz 2 DiGAV verarbeitete Daten auf Deutschland, die EU-Mitgliedstaaten, die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) und die Schweiz.“
Das BfArM ergänzt: „Dienstleister mit Sitz in den USA dürfen zur Speicherung und Verarbeitung personenbezogener Daten herangezogen werden, sofern sie dem EU-US-Datenschutzrahmen beitreten und die detaillierten Datenschutzverpflichtungen erfüllen.“
Da Datenschutz sich kontinuierlich weiterentwickelt, empfiehlt es sich, regelmäßig Rücksprache mit einem erfahrenen Compliance-Beauftragten zu halten, um stets auf dem neuesten Stand der Vorschriften zu bleiben.
Wie bleibt die IT Sicherheit bei digitalen Gesundheits-Apps langfristig gewährleistet?
Ein einmaliger Penetrationstest und das Erlangen der entsprechenden Zertifizierung sind nicht ausreichend, um eine digitale Gesundheitsanwendung dauerhaft sicher zu halten. Das BfArM betont im DiGA-Leitfaden, dass IT-Sicherheit ein kontinuierlicher Prozess sein muss, der fest in die Unternehmensstruktur integriert wird. Regelmäßige Penetrationstests sind besonders wichtig, wenn neue Schnittstellen zum Internet hinzugefügt oder Software-Updates implementiert werden.
Angesichts der Rekordzahlen an Cyberangriffen, die Deutschland im vergangenen Jahr verzeichnete – einschließlich Attacken auf den Gesundheitssektor – müssen DiGA und DiPA höchste IT-Sicherheitsstandards gemäß IT-Grundschutz gewährleisten. Dies ist unerlässlich, um das Vertrauen einer Gesellschaft zu gewinnen, die bisher stark auf analoge Systeme vertraut hat.
Warum sind Pentests für die Sicherheit von DiGA und DiPA unerlässlich?
Das deutsche Hacker-Kollektiv Zervorschung hat kürzlich das Augenmerk auf DiGA gerichtet, nachdem es Sicherheitslücken in zwei bereits verifizierten und im BfArM-Verzeichnis gelisteten Gesundheitsanwendungen aufgedeckt hatte. Zu den kritischen Schwachstellen zählten unter anderem fehlerhafte Zugriffskontrollen, durch die fremde Patientendaten wie Benutzernamen, E-Mail-Adressen und Gesundheitsinformationen heruntergeladen werden konnten. Erschwerend kam hinzu, dass es sogar möglich war, sich als Arzt einzuloggen und Zugang zu sensiblen Daten wie Passwörtern und medizinischen Berichten zu erhalten.
Zwar haben die betroffenen Hersteller nach der Kontaktaufnahme durch Zervorschung die Schwachstellen behoben, doch bleibt die entscheidende Frage: Sollten Patienten wirklich darauf vertrauen müssen, dass ethische Hacker die Sicherheit ihrer Apps sicherstellen? Die klare Antwort lautet: Nein. Solche gravierenden Mängel in der Zugriffskontrolle (Broken Access Control) hätten bereits während der obligatorischen Pentests gemäß IT-Grundschutz-Standards und dem aktuellen OWASP Mobile Security Testing Guide entdeckt werden müssen. Die neuen Zertifizierungsanforderungen sollen künftig verhindern, dass Anwendungen mit solchen Sicherheitslücken überhaupt in den Patientenalltag gelangen.
Fazit
Die Digitalisierung des deutschen Gesundheitssystems, zu der auch DiGA (Digitale Gesundheitsanwendungen) und DiPA (Digitale Pflegeanwendungen) gehören, ist eine der umfangreichsten IT-Initiativen in Europa. Dabei stehen IT-Sicherheit und der Schutz von Patientendaten im Zentrum der Bemühungen. Das Vertrauen in diese digitalen Gesundheitsanwendungen wächst zwar allmählich, doch im Jahr 2022 verschrieben bereits über ein Drittel der Ärzte DiGA, und weitere 13,9 Prozent planen dies in naher Zukunft. Allerdings lehnen noch immer 34,7 % der Ärzte die Nutzung von DiGA ab.
In diesem Zusammenhang ist die Einhaltung strenger Sicherheitsstandards nicht nur eine Voraussetzung für die Erstattung durch die Krankenkassen, sondern auch entscheidend, um das Vertrauen derjenigen Ärzte und Patienten zu stärken, die gegenüber digitalen Gesundheitslösungen noch skeptisch sind. Die Sicherstellung eines hohen Sicherheitsniveaus ist daher ein zentraler Schritt, um das volle Potenzial dieser innovativen Anwendungen zu erschließen und eine breitere Akzeptanz zu fördern.