Höhere Anforderungen an Penetrationstests & neue Fristen
Die Revision des DiGA-Leitfadens fordert, dass Penetrationstest künftig vorrangig von BSI-zertifizierten Teststellen durchgeführt werden. Zudem sollen sie verpflichtend Code Reviews sowie Whitebox-Tests enthalten. Waren Pentests nach der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) bisher nur für DiGA mit erhöhtem Schutzbedarf vorgeschrieben, sind diese mit Inkrafttreten des Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) für alle DiGA obligatorisch. Damit gehört die Durchführung von Penetrationstests ab sofort zu den „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten“ (Anlage 1). Daraus ergeben sich für DiGA-Hersteller – abhängig vom Stand des Antragsverfahrens – zwei relevante Fristen:
- 01.2024: Der 31.01.2024 ist für DiGA-Hersteller relevant, die sich entweder vor dem 01.02.2024 bereits im Antragsverfahren befinden oder schon im DiGA-Verzeichnis gelistet sind. Diese müssen belegen, dass die durchgeführten Pentests die neuen Anforderungen bereits erfüllen. Dafür sind Nachweise des entsprechenden IT-Sicherheitsdienstleisters notwendig. Erfüllt der Penetrationstest die neuen Anforderungen nicht, muss der DiGA-Hersteller einen Zeitplan vorlegen, bis wann dieser gemäß den aktualisierten Forderungen abgeschlossen sein wird. Vorliegen muss der Nachweis über die Durchführung des Penetrationstests (inklusive der Behebung von möglicherweis gefundenen Schwachstellen) spätestens bis zum 31.01.2024.
- 02.2024: Ab dem 01.02.2024 ist ein Pentest nach den neuen Anforderungen Voraussetzung für die formale Vollständigkeit des Antrages. Hierzu zählen unter anderem manuelle Code Reviews, Whitebox-Tests sowie die vorrangige Durchführung des Pentests durch eine BSI-zertifizierte Teststelle.
Daher sind diese ab sofort für alle DiGA verpflichtend. Das bedeutet, dass für die Produktversion, deren Aufnahme in das DiGA-Verzeichnis beantragt wird, für alle Komponenten (einschließlich aller Backend-Komponenten) ein Penetrationstest durchgeführt worden sein muss. Grundlage für die Testkonzeption bilden einerseits das Durchführungskonzept für Penetrationstests des BSI sowie andererseits die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken.
Sollten über die Zeit beispielsweise neue Schnittstellen in das Internet hinzukommen oder für externe Verbindungen relevante Bibliotheken aktualisiert werden, ist der Pentest anwendungsbezogen zu wiederholen.
Mit TÜVIT zum anforderungskonformen Pentest
Personenbezogene Daten sind besonders schützenswert. Das gilt allgemein, aber vor allem dann, wenn Gesundheitsdaten, wie beispielsweise Diagnosen über körperliche und psychische Erkrankungen oder Medikation, im Spiel sind. Mithilfe von Pentests unterstützen wir Sie dabei, zum einen mögliche Schwachstellen innerhalb Ihrer DiGA frühzeitig zu identifizieren und zum anderen den erforderlichen Nachweis gegenüber dem BfArM zu erbringen.
Als nach ISO 17025 BSI-zertifizierte Teststelle blicken wir auf jahrzehntelange Erfahrung bei der Durchführung von Penetrationstest zurück und haben bereits viele Gesundheitsanwendungen erfolgreich geprüft. Dabei nehmen wir sowohl mobile Apps als auch Webanwendungen unter die Lupe. Zum Einsatz kommt eine Kombination aus automatisierten und manuellen Whitebox-Tests, um aussagekräftige und qualitativ hochwertige Ergebnisse zu erzielen. Als Prüfgrundlage dienen das Durchführungskonzept für Penetrationstests des BSI sowie die OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps.
Möchten auch Sie für Ihre Digitale Gesundheitsanwendung einen Antrag auf Zulassung beim BfArM stellen oder müssen Sie Ihre DiGA anforderungsbezogen neu testen lassen? Dann nehmen Sie gerne Kontakt zu uns auf!