Damit die von Gesundheits-Apps verarbeiteten Daten künftig verlässlich geschützt sind, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt entsprechende Anforderungen und Richtlinien festgelegt.
Mobile Gesundheitsanwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten. Das BSI hat dazu eine Technische Richtlinie (TR) entwickelt, die bei Anwendung den Zugriff Unbefugter auf diese Daten erschweren kann.
Die Richtlinie „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) für Gesundheits-Apps wurde bereits im Vorfeld der Corona-Pandemie entwickelt. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Generell fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.
BSI-Präsident des BSI Arne Schönbohm erläutert die Grundgedanken: „Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter müssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder Medikationspläne, lässt sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurückgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur Verfügung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.“
Vertraulichkeit, Integrität und Verfügbarkeit
Die Technische Richtlinie verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Sie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden. Die Richtlinie wird aktuell in einem „trial use“-Status veröffentlicht. In künftigen Versionen werden auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen. Bereits jetzt kann die TR herangezogen werden, um – im Rahmen einer Selbsterklärung der Entwickler – den entsprechenden Anforderungen des Zulassungsverfahrens des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) genüge zu tun.