DiGA-Prüfung auf Technische Richtlinie 03161

Autor: Lukas Schmidt Software Engineer bei BAYOOMED Co-Autorin: Alexandra Heuel Project Manager bei BAYOOMED

Mit der TR-03161 setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine umfassende Leitlinie zur Erhöhung der Sicherheitsstandards sowie der Datenintegrität von Digitalen Gesundheitsanwendungen (DiGA) und Digitalen Pflegeanwendungen (DiPA) um.

Damit soll langfristig das Vertrauen von Nutzer:innen in digitale Gesundheitsanwendungen erhöht werden. Seit dem 1. Januar 2025 ist die Zertifizierung nach TR-03161 verpflichtend für alle DiGA und DiPA gemäß § 139e SGB V. Aktuell werden Zertifikate von allen DiGA benötigt, die eine neue Aufnahme in das Register bestreben. Zur formalen Vollständigkeit muss so auch ein gültiges BSI-Zertifikat vorgelegt werden.

Bereits im Register befindliche DiGA haben keine feste Übergangsfrist, sollen aber möglichst schnell das Verfahren abschließen und dem BfArM berichten.

Zeitkritische Umsetzung

Der durchschnittliche Zertifizierungsprozess dauert 8-12 Wochen, wobei die Vorbereitungszeit stark von der Ausgangslage abhängt. Darüber hinaus besteht aufgrund der Vielzahl der DiGA im BfArM Portal und im Antragsverfahren ein Rückstau bei den akkreditierten Prüfstellen (derzeit TÜV IT, Secuvera und PWC).

Die Prüfstelle erörtert in Einklang mit den Richtlinien die Konformität des Produkts zur TR 03161 und liefert einen Prüfbericht an das BSI. Das BSI wiederum räumt sich durchschnittlich 3 Wochen Prüfungszeit ein – eine Prüfung sollte entsprechend geplant sein und mit genügend Zeit budgetiert werden.

BAYOOMED - DiGA-Prüfung auf TR-03161

Die dreiteilige Struktur der Richtlinie

Die Richtlinie gliedert sich in die drei Dokumente:

  • Mobile Anwendungen: Fokussiert auf Sicherheitsanforderungen für Smartphone- und Tablet-Apps
  • Web-Anwendungen: Behandelt webbasierte Schnittstellen und Portale
  • Hintergrundsysteme: Deckt Backend-Infrastrukturen, Server und Cloud-Services ab

In diesen Dokumenten werden teils tiefgreifende Anforderungen an Quellcode, Architektur, Sicherheit und Infrastruktur gelistet. Sie beinhalten eine Vielzahl von Prüfaspekten, die den Anforderungen zugeordnet sind und von den DiGA-Herstellern umgesetzt werden müssen.

Die TR-03161 integriert dabei internationale Standards wie OWASP ASVS, MASVS und WSTG, um ein hohes Sicherheitsniveau zu gewährleisten.

Prüfaspekte und Prüfverfahren im Detail

Die TR-03161 strukturiert ihre Sicherheitsvorgaben in technische Anforderungen und zugehörige Prüfaspekte. Während die Anforderungen konkrete technische Vorgaben für die Implementierung darstellen, definieren die Prüfaspekte spezifische Kriterien zur Überprüfung der Anforderungserfüllung.

Die zentralen Prüfaspekte-Kategorien umfassen:

  • Architektur und Design der Anwendung
  • Kryptographische Implementierung und Schlüsselverwaltung
  • Sichere Netzwerkkommunikation
  • Authentifizierung und Autorisierung
  • Datenschutz, Datensicherheit und Datenintegrität
  • Systemverfügbarkeit und Ausfallsicherheit

Geprüft wird die technische Umsetzung dieser Anforderungen unter anderem durch folgende Prüfverfahren:

  • Penetrationstests: Simulierte Angriffe zur Identifikation von Schwachstellen
  • Quellcode-Analysen: Statische und dynamische Codeprüfungen
  • Dokumentenprüfungen: Bewertung von Sicherheitskonzepten und Risikomanagement
  • Schwachstellenanalysen: Systematische Identifikation potenzieller Sicherheitsrisiken
BAYOOMED - Best Practices für Post-Market Cybersecurity

Der Zertifizierungsprozess erfolgt durch akkreditierte Prüfstellen wie dem TÜV IT und resultiert in einem 5 Jahre gültigen BSI-Zertifikat. Dennoch muss zum derzeitigen Stand jede Änderung am Produkt ans BSI gemeldet werden, welches prüft, ob es hierdurch zu Sicherheitsänderungen kommen könnte, woraufhin eine Gap oder Rezertifizierung notwendig werden könnte.

Herstellerverbände kritisieren dieses Vorgehen bereits aufgrund der mangelnden Flexibilität im agilen Softwareentwicklungsprozess– eine finale Stellungnahme des BSI gibt es bisher noch nicht. Darüber hinaus wird für Cloud-Hosting ein C5 Typ 2 Zertifikat benötigt.

Ganzheitlicher Ansatz für maximale Sicherheit

Die TR-03161 verfolgt einen ganzheitlichen Prüfansatz, der alle Komponenten der DiGA umfasst. Je nach Architektur Ihrer Anwendung müssen unterschiedliche Teile der Richtlinie umgesetzt werden:

  • Mobile Apps mit Backend benötigen Teil 1 und Teil 3
  • Hybride Lösungen mit Web-Komponenten erfordern alle drei Teile
  • Reine Web-Anwendungen implementieren Teil 2 und Teil 3

Durch unsere Expertise in allen drei Bereichen bieten wir eine End-to-End-Begleitung von der initialen Analyse bis zur erfolgreichen Zertifizierung – damit Deine DiGA nicht nur compliant, sondern auch nachhaltig sicher ist.

Unsere Unterstützung für Ihre DiGA-Konformität

Wir verfügen über praktische Erfahrung mit TR-03161-konformen Anwendungen und haben bereits ein DiGA-Projekt vollständig nach diesen Standards entwickelt. Diese Expertise ermöglicht es uns, Dich mit fundiertem Know-how zu unterstützen und typische Herausforderungen bereits im Vorfeld zu identifizieren.

Um die Konformität Deiner DiGA zu gewährleisten, unterstützen wir nach einer Einführung in die TR-03161 (falls erforderlich) im Bereich des Anforderungsmanagements, in der Erstellung einer Gap-Analyse, in der Projektplanung sowie in der Umsetzung und Schließung vorhandener Lücken zur TR-03161.

Gap-Analyse

DiGA-Hersteller müssen frühzeitig erkennen, welche dieser Anforderungen bereits erfüllt sind und wo noch Handlungsbedarf besteht. Mit einer systematischen und detaillierten Analyse bestehender Sicherheitsmaßnahmen, Datenverarbeitungsprozesse und Nutzerinteraktionen stellen wir die Basis einer effektiven und effizienten Anpassung an TR-03161 bereit.

Gaps schließen

Um identifizierte Schwachstellen zu schließen und den Prüfkriterien gerecht zu werden, greifen wir auf unsere Erfahrung in der Umsetzung der TR-03161 zurück. Unser strukturierter Ansatz zur Lückenschließung umfasst:

  • Anforderungsmanagement: Ein effektives und agiles Anforderungsmanagement ist entscheidend für die erfolgreiche Umsetzung der TR-03161. Dies sollte die strukturierte Erfassung und Dokumentation, die Integration in den Entwicklungszyklus sowie ein Konzept zur Nachverfolgbarkeit der Anforderungen beinhalten. Wir unterstützen bei der Etablierung eines TR-03161-konformen Anforderungsmanagements, das sich nahtlos in Ihre bestehenden Prozesse integriert und gleichzeitig die Compliance-Anforderungen erfüllt. Weiterhin erleichtert das aktive Anforderungsmanagement sowohl den Herstellern als auch den Prüfern die Beurteilung der Umsetzung.
  • Technische Implementierung: Wir unterstützen bei der konkreten Umsetzung fehlender Sicherheitsmaßnahmen, von der Implementierung sicherer Authentifizierungsverfahren über die Etablierung kryptographischer Standards bis hin zur Absicherung der Cloud-Infrastruktur gemäß C5-Anforderungen. Unsere Erfahrung aus der Entwicklung eines bereits konformen Systems ermöglicht es uns, bewährte Implementierungsansätze und Architekturmuster direkt zu übertragen.
  • Dokumentation und Nachweisführung: Eine lückenlose Dokumentation ist essenziell für die erfolgreiche Zertifizierung. Wir erstellen mit Dir die erforderlichen Sicherheitskonzepte, Risikoanalysen und technischen Dokumentationen, die den BSI-Anforderungen entsprechen. Durch unsere praktische Erfahrung bei der Vorbereitung zur Zertifizierung können wir erprobte Dokumentationsansätze und strukturierte Vorgehensweisen zur Verfügung stellen.