Mobile Gesundheitsanwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu eine Technische Richtlinie (TR) entwickelt, die bei Anwendung den Zugriff Unbefugter auf diese Daten erschweren kann.
Die TR „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03161/tr03161_node.html ) ist unabhängig von und bereits im Vorfeld der gegenwärtigen Corona-Pandemie für Gesundheits-Apps entwickelt worden. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.
Dazu der Präsident des BSI, Arne Schönbohm:
„Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter müssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder Medikationspläne, lässt sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurückgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur Verfügung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.“
Die TR verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Sie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden. Die TR wird in einem „trial use“-Status veröffentlicht. In zukünftigen Versionen werden auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen. Bereits jetzt kann die TR herangezogen werden, um – im Rahmen einer Selbsterklärung der Entwickler – den entsprechenden Anforderungen des Zulassungsverfahrens des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) genüge zu tun.
Fachartikel
Ohne Sichtbarkeit keine Sicherheit: So erhöhen Unternehmen die Wirksamkeit ihrer NDR-Tools
Microsoft kündigt neue E-Mail-Anforderungen für Massenversender an
Was ist eine automatisierte Sicherheitsvalidierung?
Google Chrome stopft Verlaufslücke: Violette Linkanzeige wird überarbeitet
Chinesische Hackergruppe nutzt Schwachstellen in Ivanti-VPNs für gezielte Angriffe auf Netzwerke
Studien
Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details
Studie zu Cyberangriffen auf Versorgungsunternehmen
Intelligente Datenverwaltung: Warum IT-Entscheidungsträger die Kontrolle über ihre Daten übernehmen sollten
Blockchain und Cybersicherheit
BSI veröffentlicht Studie zu Krankenhausinformationssystemen (KIS) und medizinischen Austauschformaten
Whitepaper
IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation
Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus
PQC – Wie Sie Ihre PKI in vier Schritten bereit für das Quantenzeitalter machen
WatchGuard Internet Security Report: 94 Prozent mehr Netzwerk-Malware
Hamsterrad-Rebell
Anmeldeinformationen und credential-basierte Angriffe
Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen
Data Security Posture Management – Warum ist DSPM wichtig?
Verborgene Cloud-Risiken? Bedrohungen in M365, Azure & Co. erkennen
