Apps für mobile Endgeräte und andere digitale Tools verändern jeden Aspekt des alltäglichen Lebens. Selbstverständlich bleibt auch das Gesundheitswesen davon nicht unbeeinflusst. Immer mehr Menschen nutzen bereits Gesundheits-Apps, die einen medizinischen Nutzen versprechen und somit eine Ergänzung zu gewöhnlichen Heilmitteln darstellen sollen. Die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) soll sicherstellen, dass die versprochene Funktionstauglichkeit tatsächlich besteht. Zudem legt das Bundesgesundheitsministerium darin fest, welche Anforderungen an die Sicherheit und den Datenschutz erfüllt werden müssen. Ab April 2022 ist die „erste Verordnung zur Änderung der Digitalen-Gesundheitsanwendungen-Verordnung“ in Kraft getreten. Unter anderem werden seitdem ein Penetration-Test (Pentest) und die ISMS-Zertifizierung gefordert.
Änderungen der DiGA-Verordnung ab April dieses Jahres
Ab September 2020 ist die Verordnung von digitalen Gesundheitsanwendungen als Ergänzung zu herkömmlichen Arzneimitteln und Therapieangeboten möglich. Bei den Anwendungen handelt es sich zum Beispiel um Apps für Smartphones und Tablets, aber auch webbasierte Programme zählen zu diesen Medizinprodukten. Aufgrund der niedrigen Risikoklasse ist der Einsatz an keine besonderen Vorbedingungen gebunden. Da die Anwendungen jedoch den Heilprozess unterstützen, Krankheiten erkennen oder überwachen sollen, ist die Sammlung vieler sensibler Daten notwendig. Der Gesetzgeber hat daher mit der DiGA-Verordnung genaue Anforderungen formuliert, die Hersteller und Betreiber der Applikationen beachten müssen. Im April dieses Jahres traten erste Änderungen an der Verordnung in Kraft, die das Qualitätsniveau sicherstellen und den Datenschutz schrittweise verbessern sollen. Entwickler müssen nun den Nachweis über ein zertifizierbares Informations-Sicherheits-Managementsystem (ISMS) erbringen. Zudem wird die Durchführung von Pentests verpflichtend, um kritische Sicherheitslücken in den Anwendungen möglichst früh erkennen und schließen zu können. Nur wenn diese Kriterien erfüllt sind, ist die Aufnahme des Unternehmens ins DiGA-Verzeichnis möglich. Im nächsten Jahr folgt dann eine Datenschutzzertifizierung nach den Vorgaben der DSGVO.
Neue ISMS-Zertifizierung für digitale Gesundheitsanwendungen
Ab dem 1. April 2022 fordert das Bundesgesundheitsministerium von den Entwicklern digitaler Gesundheitsanwendungen eine ISMS-Zertifizierung entsprechend der ISO 27001-Norm bzw. auf Grundlage des BSI-IT-Grundschutzes. Der Nachweis erfolgt über die Akkreditierung eines Informationssicherheits-Managementsystems. Davon sind nicht nur neue DiGAs betroffen, sondern auch Anwendungen, die bereits genutzt werden. Die Bundesagentur für Arzneimittel und Medizinprodukte ist für die Kontrolle zuständig und kann die Vorlage des Zertifikats verlangen. Der Aufbau eines ISMS erfolgt nach den Grundsätzen einer kontrollierten und systematischen IT-Sicherheit. Im Vorfeld werden Sicherheitsziele formuliert und Strukturen zur Erfüllung der Anforderungen geschaffen. Ein entsprechendes Managementkonzept umfasst genaue Richtlinien für die Informationssicherheit, die immer mit konkreten Maßnahmen verknüpft sind.
Der Maßnahmenkatalog kann jedoch vom jeweiligen Unternehmen und Entwickler nicht willkürlich festgelegt werden. Stattdessen müssen sich die Verantwortlichen an den Vorgaben der ISO27001-Norm orientieren. In der praktischen Umsetzung gibt es dabei Unterschiede zwischen dem BSI-Standard und der ISO-Norm, weshalb die Maßnahmen individuell für das entsprechende Unternehmen oder Produkt auszuwählen sind. Da sich digitale Infrastrukturen ständigen Veränderungen und Anpassungen unterworfen sind, erfordert ein ISMS fortlaufende Kontrollen und Verbesserungen, die die Integrität des Unternehmensnetzwerks und vor allem die Daten der Verbraucher bestmöglich schützen sollen.
Pentests gehören nun zu den Basisanforderungen
Auch Pentests sind nun fester Bestandteil der Anforderungen an DiGA-Entwickler. Bisher galten diese nur im Zusammenhang mit Anwendungen als verpflichtend, die einen „erhöhten Schutzbedarf“ erforderten. Ab April gilt die Pentest-Pflicht für alle Unternehmen in diesem Bereich gleichermaßen. Unter einem Pentest verstehen Experten für Cybersicherheit die legale und kontrollierte Infiltration eines Netzwerks von außen. Der Prüfer simuliert dabei im Prinzip einen Hackerangriff. Das Ziel dieses Testverfahrens ist die gezielte Suche nach Schwachstellen im Sicherheitskonzept. Dabei können die Angriffsziele sowohl auf der technischen als auch auf der organisatorischen Ebene zu finden sein. Um die aufgezeigten Schwachpunkte zu beseitigen, sind neben Updates und der Nutzung besserer Authentifizierungsmethoden auch Schulungen der Mitarbeiter sinnvoll. Nicht selten stellt der Faktor Mensch nämlich das größte Risiko bei einem Cyberangriff dar.
Vorteile von Pentests
Zur Klärung wichtiger und konkreter Sicherheitsfragen ist ein Pentest oft das Mittel der Wahl. Diese Form des Sicherheitstests prüft nicht nur, ob eine Schwachstelle vorhanden ist, sondern auch, wie gefährlich sie tatsächlich ist. Aus dieser Vorgehensweise ergeben sich folgende Vorteile:
- Es bleibt nicht bei theoretischen Analysen. Stattdessen werden realistische Szenarien durchgespielt.
- Der Pentest erbringt einen Nachweis darüber, ob eine Sicherheitslücke tatsächlich für Angriffe nutzbar ist.
- Die Erweiterung und Ergänzung durch andere Testmodelle und Methoden ist problemlos möglich.
- Auch das Verhalten der Mitarbeiter und der IT-Verantwortlichen des Unternehmens können beim Pentest unter realistischen Bedingungen geprüft werden.
Fast-Track-Verfahren und kommendes Datenschutzzertifikat
Ziel des neuen Verfahrens ist die Aufnahme von qualifizierten Produkten der DiGA-Entwickler in das dafür geschaffene Verzeichnis für erstattungsfähige digitale Gesundheitsanwendungen. Das sogenannte „Fast-Track-Verfahren“ dauert insgesamt etwa drei Monate und soll alle wichtigen Fragen klären. Neben den bereits genannten Kriterien sind weitere Punkte von Bedeutung. So wird ein Nachweis über die positiven Effekte der Anwendung verlangt. Hierzu müssen die Anbieter der Anwendung aussagekräftige Ergebnisse einer entsprechenden Studie vorlegen. Auch die Erfüllung der rechtlichen Anforderungen für medizinische Produkte muss vor der Aufnahme in das Verzeichnis erbracht sein. Bei Feststellung eines besonders hohen Schutzbedarfs greifen zudem einige zusätzliche Vorgaben. Ab April 2023 kommt noch ein Zertifikat nach Artikel 42 der aktuellen und europaweit gültigen DSGVO hinzu.