ehex geht voran: Freiwillige BSI-Zertifizierung für das KIM-Modul des easyTI hub
Berlin, 22. April 2026: Die eHealth Experts GmbH (ehex) hat als erstes Unternehmen eine Zertifizierung nach BSI TR-03161 erhalten. Dafür wurde das KIM-Modul des easyTI hub in Zusammenarbeit mit der SRC Security Research & Consulting GmbH einer strengen Prüfung unterzogen. Die erfolgreiche Zertifizierung erfolgte freiwillig – damit setzt ehex einen neuen Maßstab für die Sicherheit und Zuverlässigkeit von TI-Anwendungen. Die symbolische Zertifikatsübergabe fand heute am BSI-Stand auf der DMEA statt.
Sicherheitslücken in Primärsystemen: Eine Branche unter Beobachtung
Die IT-Sicherheit von Software im Gesundheitswesen steht unter Beobachtung. Im März 2026 hat das BSI in einer eigenen Untersuchung festgestellt, dass bei einer Mehrheit der überprüften Primärsysteme Schwachstellen erfolgreiche Angriffe aus dem Internet ermöglichen könnten. Verbindliche Sicherheitsprüfungen für Softwarekomponenten, die an die TI angebunden sind, gibt es bislang nicht.
TR-03161: Der Rahmen, der Orientierung gibt
Die BSI TR-03161 definiert genau solche Anforderungen: Sie legt fest, welches Sicherheits- und Datenschutzniveau TI-Anwendungen erfüllen müssen – mit dem Ziel, sensible Gesundheitsdaten zuverlässig zu schützen. ehex hat die erforderlichen Nachweise nun als erstes Unternehmen freiwillig erbracht – für das KIM-Modul des easyTI hub. Für Hersteller von Primärsystemen, die den easyTI hub einbinden, hat die Zertifizierung einen konkreten praktischen Nutzen: Ein wesentlicher Teil des sicherheitsrelevanten Risikos ist durch das BSI-Zertifikat bereits abgedeckt. Das vereinfacht spätere Sicherheitsprüfungen.
„Mit der freiwilligen Zertifizierung zeigen wir, dass ein höheres Sicherheitsniveau bei der TI-Anbindung nicht nur möglich, sondern heute schon umsetzbar ist“, erklärt Frédéric Naujokat, Geschäftsführer von ehex. „Wir hoffen, dass wir damit ein Vorbild sein können. Denn die TI braucht ein Qualitätsniveau, das maximales Vertrauen verdient.“
„Gesundheitsdaten haben den höchsten Schutzbedarf. Doch ausgerechnet Primärsysteme unterliegen kaum verbindlichen Sicherheitsanforderungen. Die freiwillige Zertifizierung durch ehex ist ein starkes Signal, dass Sicherheit nicht nur eine Frage der Regulierung, sondern auch eine Frage der Haltung ist. Wir sind froh, dass ehex diese Extrameile für mehr Sicherheit im Gesundheitswesen gemeinsam mit uns gegangen ist“, so Dr. Jens Putzka, der das Projekt auf Seiten von SRC begleitet hat.
SRC als Prüflabor: Ein Präzedenzfall für die TI
SRC ist ein beim BSI zugelassenes Prüflabor für die TR-03161 und begleitet Hersteller durch den gesamten Prüf- und Zertifizierungsprozess. Bisher wurden im Rahmen dieser Technischen Richtlinie vor allem Apps für Versicherte – zur Nutzung von eRezept und ePA – sowie DiGAs geprüft. Das Projekt mit ehex zeigt, dass der Prüfrahmen sich erfolgreich auf weitere Anwendungsarten im Gesundheitswesen übertragen lässt.
Das hat praktische Konsequenzen: Die in Kundengesprächen häufig gestellte Frage, ob eine Lösung „wirklich sicher“ sei, lässt sich nun mit Verweis auf eine fundierte, BSI-anerkannte Prüfung beantworten – ein Argument mit echtem Gewicht.
SRC hofft, dass dieses Beispiel Schule macht. Zertifizierte Sicherheit kann auch außerhalb regulierter Bereiche ein wirksamer Baustein einer überzeugenden Sicherheitsarchitektur sein – und ein echtes Differenzierungsmerkmal im Wettbewerb.
