Aufzeichnungen der Puls- und Herzfrequenz, Schlafdaten oder Medikationspläne: Gesundheitsanwendungen speichern und verarbeiten eine Menge persönlicher sowie sensibler Daten – egal ob als Gesundheits-App auf dem Smartphone oder als browserbasierte Webanwendung oder Software. Gelangen diese in die Hände von Angreifer:innen, kann das mitunter schwerwiegende Folgen nach sich ziehen – sowohl für Nutzer:innen als auch für Hersteller. Umso wichtiger ist es, entsprechende Anwendungen vor Datendiebstahl oder -missbrauch bestmöglich zu schützen.
TÜV Informationstechnik (TÜVIT) ist die erste anerkannte Prüfstelle, die Herstellern von Anwendungen im Gesundheitswesen Prüfungen nach der Technischen Richtlinie BSI TR-03161 anbieten kann. Ziel dieser Technischen Richtlinie ist es, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten zu schützen, die durch Gesundheitsanwendungen erhoben werden. Daher enthält die BSI TR-03161 eine Reihe an Mindestanforderungen, die an die IT-Sicherheit von mobilen Anwendungen, Web-Anwendungen sowie Hintergrundsystemen im Gesundheitswesen gestellt werden. Darüber hinaus kann sie aber auch als Leitfaden sowie Prüf- und Zertifizierungsrahmen für alle Anwendungen verstanden werden, die sensible Daten speichern oder verarbeiten.
Die IT-Sicherheitsexpert:innen von TÜVIT überprüfen gemäß der TR-03161 unter anderem den Zweck, die Architektur, den Quellcode, die kryptographische Umsetzung sowie die Datensicherheit entsprechender Anwendungen. Hierbei betrachten sie beispielsweise, dass die Gesundheitsanwendung keine Daten erhebt und verarbeitet, die nicht ihrem rechtmäßigen Zweck dient, oder untersuchen, ob IT-Security als fester Bestandteil im Softwareentwicklungs- und Lebenszyklus berücksichtigt wird. Neben den Prüfaspekten umfasst die TR-03161 auch typische Bedrohungsszenarien. Um die Widerstandsfähigkeit von Anwendungen gegenüber diesen zu ermitteln, führen erfahrene Pentester:innen von TÜVIT gezielte Schwachstellenanalysen sowie Penetrationstests durch.
Erfüllt eine Gesundheitsanwendung die Anforderungen der BSI TR-03161, stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das angestrebte Zertifikat aus.
Über die TÜV NORD GROUP
Vor über 150 Jahren gegründet, stehen wir weltweit für Sicherheit und Vertrauen. Als Wissensunternehmen haben wir die digitale Zukunft fest im Blick. Ob Ingenieurinnen, IT-Security-Experten oder Fachleute für die Mobilität der Zukunft: Wir sorgen in mehr als 100 Ländern dafür, dass unsere Kundinnen und Kunden in der vernetzten Welt noch erfolgreicher werden.