Eine App für Patienten mit chronischer Tinnitusbelastung und eine Webanwendung für Personen mit Symptomen bestimmter Angststörungen sind die beiden ersten Anwendungen, die offiziell im DiGA-Verzeichnis gelistet sind und deren Nutzung damit zukünftig von der Krankenkasse übernommen wird. Gemäß Herstellereigenerklärung und anschließender Prüfung durch das BfArM erfüllen diese somit die notwendigen Anforderungen des DVG an den Datenschutz und die Datensicherheit einer digitalen Gesundheitsanwendung.
IT-Sicherheitsexperten stoßen auf Sicherheitslücken
IT-Sicherheitsexperten haben sich eine der beiden Apps jedoch genauer angesehen und dabei laut Handelsblatt und IT-Magazin Golem gleich mehrere Sicherheitslücken entdeckt. So konnten sie über die „Passwort vergessen“-Funktion beispielsweise ermitteln, ob eine bestimmte E-Mail-Adresse auf der Plattform für Patienten mit Angststörungen registriert war und dadurch Rückschlüsse auf entsprechende psychische Probleme ziehen. Hinzu kommt, dass der Code, der an die jeweilige Mail-Adresse zwecks Zurücksetzung geschickt wurde, nur 4 Zeichen lang und 24 Stunden gültig war. Durch das automatische Durchprobieren vieler verschiedener Codes wäre es dadurch möglich gewesen, das Passwort zu ändern und den Account zu übernehmen. Darüber hinaus konnten über eine Programmierschnittstelle sowohl die Nutzernamen als auch die E-Mail-Adressen der registrierten Personen abgefragt werden.
Die dargestellten Sicherheitsmängel wurden laut Golem mittlerweile durch den Hersteller behoben.
Kritik an Herstellereigenerklärung als Nachweis
Die Tatsache, dass eine Herstellereigenerklärung in Form eines Fragebogens ausreicht, um die Forderungen an Datenschutz und Datensicherheit nachzuweisen, wurde bereits vielfach kritisiert. Das aktuelle Beispiel zeigt, dass entsprechende Anträge auf Zulassung durch das BfArM zwar auf Plausibilität geprüft, auf Behördenseite allerdings keine IT-Security-Experten zu Rate gezogen werden. Das kann mitunter dazu führen, dass Sicherheitsmängel unentdeckt bleiben und das Vertrauen der Bevölkerung in digitale Gesundheitsanwendungen geschmälert wird. Denn Penetrationstests sind erst dann explizit gefordert, wenn eine Anwendung mit erhöhtem Schutzbedarf vorliegt.
Der sicherste Weg für DiGA-Hersteller
Für Hersteller ist es aber grundsätzlich sinnvoll nicht nur auf den geforderten Fragebogen zu setzen, sondern von Anfang an einen Experten für IT-Sicherheit hinzuzuziehen. Dieser kann mithilfe von Penetrationstests und Assessments zu Datenschutz und Datensicherheit mögliche Sicherheitslücken aufdecken und dabei unterstützen, diese zu schließen. „Gerade bei Gesundheitsdaten wie Befunden, Blutwerten oder Medikationsplänen handelt es sich um hoch sensible Daten, die selbstverständlich auch besonders geschützt werden müssen“, weiß Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik GmbH. „Die Bewertung der eigenen Anwendung durch einen unabhängigen Dritten sorgt für deutlich mehr Sicherheit und Vertrauen, da auch Schwachstellen ausfindig gemacht und korrigiert werden können, die dem Hersteller bis dato vielleicht gar nicht bewusst gewesen sind.“ Darüber hinaus kann auch die Einführung eines Informationssicherheits-Managementsystems (ISMS) dabei helfen, das Thema IT-Sicherheit und Datenschutz nicht nur in Bezug auf einzelne Anwendungen umzusetzen, sondern ganzheitlich im Unternehmen zu verankern. Vor allem im Hinblick auf eine eventuell kommende Zertifizierungspflicht sind Hersteller mit einer ISMS-Zertifizierung optimal aufgestellt.
Mögliche Zertifizierungspflicht ab 2022?
Aktuell müssen digitale Gesundheitsanwendungen noch nicht zertifiziert werden. Im DVG ist jedoch zu lesen, dass das BfArM spätestens ab dem 1. Januar 2022 einen Nachweis der Erfüllung der Anforderungen an die Informationssicherheit in Form von Zertifikaten verlangen kann. Damit behält sich die Behörde vor, ab dem Jahr 2022 gegebenenfalls eine Zertifizierungspflicht einzuführen.
Mit TÜViT zur sicheren Kassenleistung
Wir begleiten Betreiber und Hersteller digitaler Gesundheitsanwendungen auf ihrem Weg zu einer sicheren und nach DVG erstattungsfähigen Anwendung: Von der Unterstützung bei der Bewertung der Anforderungen zu Datenschutz und Datensicherheit über die Durchführung von Penetrationstests bis hin zu GAP-Analysen, internen Audits oder Supervising im Rahmen einer geplanten ISMS-Zertifizierung.