16.04.2020
Mobile Gesundheitsanwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten. Das BSI hat dazu eine sogenannte Technische Richtlinie (TR) entwickelt, die bei Anwendung den Zugriff Unbefugter auf diese Daten erschweren kann. Die TR „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) ist unabhängig von der gegenwärtigen Corona-Pandemie bereits im Vorfeld für Digitale Gesundheitsanwendungen (DIGA, „Gesundheits-Apps“) allgemein entwickelt worden. Sie kann grundsätzlich aber für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Das BSI fordert, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.
Zielsetzung
Die TR verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Sie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden. Die TR wird in einem „Trial-Use“-Status veröffentlicht. In zukünftigen Versionen sollen auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie Erweiterungen vorgenommen werden, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen. Bereits jetzt kann die TR herangezogen werden, um – im Rahmen einer Selbsterklärung der Entwickler – den entsprechenden Anforderungen des Zulassungsverfahrens des BfArM genüge zu tun.
Weiterführende Informationen
Pressemitteilung des BSI vom 15.04.2020
Informationen zur Technischen Richtlinie BSI TR-03161 des BSI