Die Digitalisierung des Gesundheitssektors entwickelt sich dynamisch: Digitale Produkte erobern den Markt; Künstliche Intelligenz hält Einzug, Innovationen in Bereichen wie Pflege, Medizin, Gentherapie oder Nanotechnologie sind weitere Treiber. Gleichzeitig ist die Markteinführung neuer Healthcare-Produkte an strenge IT-Sicherheitsbestimmungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beeinflussen. IT-Sicherheit wird umso wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken.
Kritische Infrastrukturen: Die KRITIS-Verordnung
Besondere Anforderungen an die IT-Sicherheit gelten bereits für bestehende Einrichtungen des Gesundheitswesens, sofern sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Kritische Infrastrukturen klassifiziert sind. Im Gesundheitssektor betrifft das nicht nur die stationäre medizinische Versorgung, sondern auch die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, verschreibungspflichtigen Arzneimitteln, Blut- und Plasmakonzentraten sowie die Laboratoriumsdiagnostik ab einer bestimmten Größe. Die jeweiligen Schwellenwerte sind in der BSI-Kritisverordnung definiert. Als Richtgröße gilt hier der Regelschwellenwert von 500.000 von der Einrichtung versorgten Personen.
Laut BSI-Gesetz (§ 8a) müssen die jeweiligen Betreiber nach Stand der Technik angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer maßgeblichen informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Zusätzlich kann das BSI auch selbst Sicherheitsüberprüfungen durchführen oder durchführen lassen. Bei Nichteinhaltung der gesetzlichen Vorgaben drohen empfindliche Geldstrafen.
Ausweitung der Verordnung auf alle Krankenhäuser: KRITIS „light“
Seit Januar 2022 gelten diese IT-Sicherheitsvorgaben nicht nur für stationäre medizinische Einrichtungen im Sinne der KRITIS-Verordnung, sondern für alle Krankenhäuser. Auch wenn die Nachweispflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadensersatzforderungen und Haftungsrisiken rechnen. Daher sollten die im Sozialgesetzbuch V (§ 75) hinterlegten Anforderungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orientierung bieten dabei die branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus.
Wann immer also in Krankenhäusern und Einrichtungen der Kritischen Infrastruktur neue Systeme oder Komponenten innerhalb der Kernfunktionen eingesetzt werden, sind diese auch unter KRITIS-Sicherheitsaspekten zu bewerten und in die Prüfprozesse einzubeziehen.
Datensicherheit: Ein Ziel – unterschiedliche Verfahren
Der Schutz der für das Gemeinwesen wichtigen Kritischen Infrastrukturen ist aber nur ein Aspekt der IT-Sicherheit im Gesundheitswesen. Da die Sicherheit der sensiblen Daten auch im Alltagsbetrieb jederzeit gegeben sein muss, sind in allen betroffenen Bereichen Cybersecurity-Anforderungen, Zulassungsvoraussetzungen und Prüfprozesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetzlichen Rahmenbedingungen dafür sind im Sozialgesetzbuch zusammengefasst. Als nationale Behörde für Cybersicherheitszertifizierung ist das BSI die zentrale Instanz. Allerdings – und das macht es für Antragsteller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zertifizierungsprozess für die IT-Sicherheit von Gesundheitsprodukten.
Die IT-Sicherheitsprüfungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jeweiligen Zulassungsprozesse der verschiedenen Services eingegliedert. Zuständig sind jeweils unterschiedliche Institutionen: Etwa die Gesellschaft für Telematik für Anwendungen in der Telematikinfrastruktur oder das Bundesinstitut für Arzneimittel und Medizinprodukte für digitale Gesundheitsanwendungen, netzwerkfähige Medizinprodukte und Pflegegeräte – dazu im Folgenden einige Erläuterungen.
Telematikinfrastruktur: Mehrstufige Prüfprozesse
Zu den Herausforderungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungserbringern, Kostenträgern und Versicherten. Die Digitalisierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommunikation und Abläufe dadurch erheblich zu beschleunigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telematikinfrastruktur (§ 306 SGB). Dienste wie die elektronische Patientenakte oder der E‑Medikationsplan setzen auf dieser interoperablen Kommunikations- und Sicherheitsarchitektur auf. Für Aufbau und Weiterentwicklung der Telematikinfrastruktur (TI) ist die Gesellschaft für Telematik, gematik, verantwortlich, zu deren Aufgaben auch die Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen gehört.
Bei der IT-Sicherheitsbewertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Komponenten und Dienste in einem mehrstufigen Prüfungsverfahren gemeinsam mit den Anbietern umfangreichen Tests unterzogen, bevor Sicherheitsevaluationen oder genaue Sicherheitsgutachten erstellt werden. Die einzelnen Anforderungen sind in sogenannten Produktsteckbriefen für die Zulassung der Anbieter in Anbietersteckbriefen hinterlegt.
Auch nach der Zulassung wird der sichere und störungsfreie Betrieb überwacht. Eine unberechtigte Nutzung der Telematikinfrastruktur wie auch die Nichtmeldung von Störungen oder Sicherheitsmängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.
Videosprechstunde – Anbieter von Videodiensten
Während neue TI-Dienste wie die die elektronische Patientenakte (ePA) sicher noch etwas Zeit benötigen, um auch beim Versicherten anzukommen, sind mit Beginn der Pandemie die Nutzerzahlen für andere digitalen Dienstleistung förmlich explodiert: 1,4 Millionen Videosprechstunden wurden allein im ersten Halbjahr 2020 durchgeführt. Im Jahr 2019 waren es dagegen erst knapp 3.000.
Voraussetzung für eine Teilnahme als Videodienstanbieter ist die Erfüllung aller Anforderungen an die technischen Verfahren. Die Anforderungen an Anbieter, Teilnehmer und Vertragsärzte wurden in einer entsprechenden Vereinbarung der Kassenärztlichen Bundesvereinigung und des Spitzenverbandes Bund der Krankenkassen festgelegt.
Unter anderem muss die Kommunikation zwischen Patient und Arzt bzw. Pflegekraft durch eine Ende-zu-Ende-Verschlüsselung gesichert sein und der Videodienst darf keine schwerwiegenden Sicherheitsrisiken aufweisen. Die nötigen Nachweise und Zertifikate zur IT-Sicherheit sind in der Vereinbarung im Einzelnen aufgeführt, Vorlagen für die Bescheinigungen und der Fragebogen mit Prüfkriterien in der Anlage hinterlegt.
Digitale Gesundheitsanwendungen: Die App auf Rezept
Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesundheitsanwendungen (DiGA) sind definiert als Medizinprodukte niedriger Risikoklassen zur Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder zur Erkennung, Behandlung, Linderung oder Kompensierung von Behinderungen und Verletzungen. Die Hauptfunktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraussetzung für eine Kostenübernahme durch die Krankenkassen ist die Aufnahme im Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM).
Für diese Beantragungen wurde ein dreimonatiges Fast-Track-Verfahren aufgesetzt, die entsprechenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grundsätzliche Vorgaben zur Datensicherheit sind in der Digitalen Gesundheitsanwendungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Informationssicherheitsmanagement-System auf Basis des BSI-Standard 200–2: IT-Grundschutz-Methodik. Hilfestellung bietet zudem die Technische Richtlinie des BSI zu Sicherheitsanforderungen an digitale Gesundheitsanwendungen.
Regulierungsbedarf bei vernetzten Medizinprodukten
Regulierungsbedarf besteht derzeit noch bei netzwerkfähigen Medizinprodukten. Anders als bei den rein digitalen Gesundheitsanwendungen sind Digitalfunktionen hier meist als Ergänzungen zur bestehenden medizinischen Grundfunktion integriert. Daraus ergibt sich ein äußerst breites und heterogenes Anwendungsspektrum. Zum Teil sind die IT-Sicherheitsanforderungen auch schwieriger zu adressieren, denn diese Netzwerkfunktionen werden häufig über Drittanbieter zugekauft und sind noch nicht bei allen Unternehmen auch in die Qualitätssicherungsprozesse eingebunden. Gleichwohl sind sie als Anbieter haftbar.
Grundlegende Anforderungen an Cyber-Sicherheitseigenschaften von Medizinprodukten wurden erstmals in der EU-Verordnung 2017/745 über Medizinprodukte definiert, die in Deutschland durch das Medizinprodukterecht-Durchführungsgesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehaltenen – Vorgaben zur IT-Sicherheit helfen Richtlinien und Verfahrensanleitungen wie:
- Guideline der Medical Device Coordination Group
– Leitfaden zur Nutzung des MDS2 (Manufacturer Disclosure Statement)
– Herstellerempfehlung zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte.
Das BSI hat die Cybersicherheit vernetzter Medizinprodukte untersucht und in seinem Abschlussbericht dazu auch die anstehenden Aufgaben formuliert. Die Weiterentwicklung der Regulatorik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innovationen zum Durchbruch zu verhelfen und ihre schnelle und sichere Markteinführung zu fördern.
Autor: Randolf Skerka, SRC GmbH
Teilgutachten zur Betriebsumgebung von fiskaly signCloud-TSE Instanzen
Seit 2020 ist der Einsatz von zertifizierten Technischen Sicherheitseinrichtungen (TSE) zur Absicherung von Aufzeichnungen in Registrierkassen in Deutschland gesetzlich vorgeschrieben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Technischen Sicherheitseinrichtungen veröffentlicht und prüft die Einhaltung dieser zertifizierungsrelevanten Aspekte und Vorgaben durch die TSE-Hersteller. Die Einhaltung der Sicherheitsanforderungen werden durch anerkannte Prüfstellen des BSI bewertet. Bei positivem Prüfungsergebnis zertifiziert das BSI auf Grundlage des Prüfberichts die TSE eines Herstellers.
Nach erteilter Zertifizierung der TSE, muss für die Finanzbehörden zusätzlich nachgewiesen werden, dass der Betrieb einer TSE beim Steuerpflichtigen so erfolgt, dass der zertifizierte Zustand erhalten bleibt.
SRC hat als eine beim BSI anerkannte Prüfstelle das Produkt fiskaly sign Cloud TSE (Version 1.2.0 – 1.0.5) der fiskaly untersucht und das BSI hat hierfür die entsprechenden Zertifikate erteilt. Darüber hinaus hat SRC den Betrieb der fiskaly TSE näher beleuchtet. Die Anforderungen an den Betrieb wurden in intensiver gemeinsamer Zusammenarbeit mit fiskaly analysiert und geprüft. Die Überprüfung der Einhaltung zur Aufrechterhaltung des zertifizierten Zustands konnte für alle von fiskaly im Markt befindlichen o.g. TSE-Versionen durchgeführt werden.
Die Ergebnisse der Prüfung lassen sich in den nachfolgenden Punkten zusammenfassen:
Details sind dem ausführlichen Untersuchungsbericht der SRC zu entnehmen.
Über fiskaly
fiskaly entwickelt innovative SaaS-Infrastruktur und bietet sichere Cloud-Lösungen rund um den Kassenbeleg für Kassenanbieter- und händler in Österreich und Deutschland. Im Bereich der Fiskalisierung betreibt das Unternehmen ein marktführendes Produkt im deutschen Markt, unsere zertifizierte TSE wird bundesweit in einer halben Million Registrierkassen eingesetzt. Mit dem digitalen Kassenbon wurde vor Kurzem ein neues Geschäftssegment eröffnet, die Erschließung neuer europäischer Märkte ist für Ende dieses Jahres geplant.
Gegründet wurde fiskaly 2019 in Wien. Mehr als 50 MitarbeiterInnen in den Büros in Wien, Frankfurt und Berlin tragen zum Erfolg des Unternehmens bei.
fiskaly.com
SRC wird Teil des GEAR (Global Executive Assessor Roundtable)!
PCI SSC und SRC
Das Payment Card Industry Security Standards Council (PCI SSC) ist ein globales Forum, welches Informationssicherheitsstandards für sichere Zahlungen entwickelt und deren Anwendung vorantreibt. Es ist verantwortlich für 15 weltweit anerkannte und verbreitete Standards zur Absicherung von elektronischen Zahlverfahren – von der Zahlkartenproduktion und ‑herausgabe über die Zahlung am Point of Interest oder in Web & App bis hin zur Abwicklung der Zahlungen im Hintergrund. SRC prüft die Nutzung der Informationssicherheitsstandards seit Gründung des PCI SSC im Rahmen entsprechender Audits und Produktprüfungen.
Das PCI SSC legt Wert auf den Austausch zwischen verschiedenen Stakeholdern und nutzt dafür verschiedene Gremien und Aktivitäten. SRC hat sich bisher im Rahmen von Special Interest Groups und Task Forces sowie durch die Teilnahme an Community Meetings und Request for Comment-Phasen beteiligt.
Global Executive Assessor Roundtable
Das PCI SSC gibt seit 2018 im Global Executive Assessor Roundtable (GEAR) erfahrenen Audit-Unternehmen die Möglichkeit, seine obere Führungsebene zu beraten.
Wir freuen uns, dass unser Unternehmen dieses Jahr mit ausgewählt wurde, im Rahmen dieser verantwortungsvollen Mitgliedschaft eine der Schnittstellen zwischen der Führung des PCI SSC selbst und der Führung der Auditierungsgesellschaften zu bekleiden. Hierdurch können wir unsere jahrelange Erfahrung zukünftig auf direktem Wege einbringen.
Die Ernennung gilt für die kommenden zwei Jahre und gibt uns die Möglichkeit, an der Weiterentwicklung von Vorgaben für Audit-Verfahren, neue Schulungsprogramme und Qualifikationsanforderungen zukünftiger Auditierender einflussgebend mitzuwirken. Weitere Aufgabenbereiche der GEAR sind unter anderem, Möglichkeiten zu finden, das Engagement von Auditierenden in aufstrebenden und neuen Märkten zu fördern, und die Fähigkeiten und Fertigkeiten von Auditierenden im Sinne eines Mehrwerts für Zahlungsverkehrs-Unternehmen zu optimieren.
Wir sind stolz, in diesen Kreis aufgenommen worden zu sein, und sehen darin eine Anerkennung unserer bisherigen Leistung und Relevanz auf dem Markt der Zahlungsverkehrssicherheit. Zugleich sind wir uns unserer Verantwortung bewusst, die Stellvertretung für eine große Gemeinschaft an Auditierungsgesellschaften wahrzunehmen, und nehmen dies als zusätzlichen Ansporn für die Zukunft.
Link zum GEAR: https://www.pcisecuritystandards.org/about_us/global_executive_assessor_roundtable/
8‑stellige BINs und PCI DSS
Am 1. April 2022 werden die Kartenorganisationen Visa und Mastercard die BIN (Bank Identification Number) ihrer Karten weltweit von 6 auf 8 Stellen ausdehnen. Von einer 16-stelligen Kreditkartennummer (Primary Account Number, PAN) dienen dann in Zukunft die ersten 8 Stellen zur Identifikation des Kartenherausgebers. Die BIN wird an vielen Stellen genutzt, wo die Verwendung der vollständigen PAN nicht nötig ist – z.B. für das Routing von Transaktionen oder für Reportings.
BINs und PCI DSS
Überall dort, wo eine vollständige PAN genutzt wird, müssen die Systeme, Umgebungen, Prozesse und Personen die Anforderungen des Datensicherheitsstandards PCI DSS (Payment Card Industry Data Security Standard) erfüllen. So sinnvoll der Schutz der PAN durch den PCI DSS ist – für die BIN ist er nicht notwendig.
Im PCI DSS ist daher beschrieben, unter welchen Bedingungen für Teile der PAN nicht der gleiche Schutz wie für die volle PAN notwendig ist. Wird nicht die volle PAN gespeichert, verarbeitet oder übertragen, sondern nur einige Stellen davon, spricht man im PCI DSS von „Trunkierung“. Ist zwar die volle PAN im Hintergrund gespeichert, aber in einer Applikation werden nicht alle Stellen angezeigt, spricht man im PCI DSS bei der Anzeige von „Maskierung“. Im Alltag wird für beide unterschiedlichen Maßnahmen auch der Begriff „ausgeixt“ verwendet; aus Sicht des PCI DSS muss man diese aber unterscheiden.
Für Trunkierung und Maskierung galten bisher folgende Regeln:
Änderung der Regeln für Trunkierung und Maskierung
Aufgrund der Umstellung auf 8‑stellige BINs und der Notwendigkeit vieler Unternehmen, diese zu verarbeiten, haben die Zahlkarten-Organisationen ihre Vorgaben nun aber geändert. In der aktuellen Zusammenfassung im FAQ-Eintrag des PCI SSC ist nun definiert, dass für 16-stellige PANs bei der Trunkierung „first 8, any other 4“ zulässig ist.
Die (Test)Kartennummer 4012888888881881 dürfte dann in Zukunft z.B. in der Form 40128888xxxx1881 gespeichert und verarbeitet werden – es reicht aus, wenn beliebige vier Stellen hinter der BIN ausgeixt sind.
Lediglich für kürzere PANs bleibt es bei den bestehenden Regeln „first 6, any other 4“ (Discover) bzw. „first 6, last 4“ (American Express). Bei der Maskierung wird eine entsprechende Anpassung der PCI DSS-Anforderung mit der Umstellung auf PCI DSS v4.0 erwartet.
Aus Sicherheitssicht ist das Ausixen so weniger Stellen keine Verbesserung – aus der Business-Perspektive ist die Änderung aber wohl notwendig. Es bleibt zu hoffen, dass dies in der Gesamtsicht durch andere Sicherheitsmaßnahmen ausgeglichen wird.
Auf jeden Fall stehen in Zukunft die Anforderungen des PCI DSS der Verwendung einer 8‑stelligen BIN nicht im Wege.
Vorsicht bei der Kombination verschiedener Formate
Händler und Dienstleister, die mit trunkierten Kartendaten arbeiten, sollten – unabhängig von der Länge der BIN – darauf achten, den Schutz der Kartendaten nicht durch die Vermischung verschiedener Formate zu schwächen.
Dies gilt genauso, wenn für Maskierung und Trunkierung unterschiedliche Formate verwendet werden.
IT-Sicherheitsregulierung im Gesundheitswesen: Welche Regeln für die Cybersecurity gelten
Die Digitalisierung des Gesundheitssektors entwickelt sich dynamisch: Digitale Produkte erobern den Markt; Künstliche Intelligenz hält Einzug, Innovationen in Bereichen wie Pflege, Medizin, Gentherapie oder Nanotechnologie sind weitere Treiber. Gleichzeitig ist die Markteinführung neuer Healthcare-Produkte an strenge IT-Sicherheitsbestimmungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beeinflussen. IT-Sicherheit wird umso wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken.
Kritische Infrastrukturen: Die KRITIS-Verordnung
Besondere Anforderungen an die IT-Sicherheit gelten bereits für bestehende Einrichtungen des Gesundheitswesens, sofern sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Kritische Infrastrukturen klassifiziert sind. Im Gesundheitssektor betrifft das nicht nur die stationäre medizinische Versorgung, sondern auch die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, verschreibungspflichtigen Arzneimitteln, Blut- und Plasmakonzentraten sowie die Laboratoriumsdiagnostik ab einer bestimmten Größe. Die jeweiligen Schwellenwerte sind in der BSI-Kritisverordnung definiert. Als Richtgröße gilt hier der Regelschwellenwert von 500.000 von der Einrichtung versorgten Personen.
Laut BSI-Gesetz (§ 8a) müssen die jeweiligen Betreiber nach Stand der Technik angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer maßgeblichen informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Zusätzlich kann das BSI auch selbst Sicherheitsüberprüfungen durchführen oder durchführen lassen. Bei Nichteinhaltung der gesetzlichen Vorgaben drohen empfindliche Geldstrafen.
Ausweitung der Verordnung auf alle Krankenhäuser: KRITIS „light“
Seit Januar 2022 gelten diese IT-Sicherheitsvorgaben nicht nur für stationäre medizinische Einrichtungen im Sinne der KRITIS-Verordnung, sondern für alle Krankenhäuser. Auch wenn die Nachweispflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadensersatzforderungen und Haftungsrisiken rechnen. Daher sollten die im Sozialgesetzbuch V (§ 75) hinterlegten Anforderungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orientierung bieten dabei die branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus.
Wann immer also in Krankenhäusern und Einrichtungen der Kritischen Infrastruktur neue Systeme oder Komponenten innerhalb der Kernfunktionen eingesetzt werden, sind diese auch unter KRITIS-Sicherheitsaspekten zu bewerten und in die Prüfprozesse einzubeziehen.
Datensicherheit: Ein Ziel – unterschiedliche Verfahren
Der Schutz der für das Gemeinwesen wichtigen Kritischen Infrastrukturen ist aber nur ein Aspekt der IT-Sicherheit im Gesundheitswesen. Da die Sicherheit der sensiblen Daten auch im Alltagsbetrieb jederzeit gegeben sein muss, sind in allen betroffenen Bereichen Cybersecurity-Anforderungen, Zulassungsvoraussetzungen und Prüfprozesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetzlichen Rahmenbedingungen dafür sind im Sozialgesetzbuch zusammengefasst. Als nationale Behörde für Cybersicherheitszertifizierung ist das BSI die zentrale Instanz. Allerdings – und das macht es für Antragsteller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zertifizierungsprozess für die IT-Sicherheit von Gesundheitsprodukten.
Die IT-Sicherheitsprüfungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jeweiligen Zulassungsprozesse der verschiedenen Services eingegliedert. Zuständig sind jeweils unterschiedliche Institutionen: Etwa die Gesellschaft für Telematik für Anwendungen in der Telematikinfrastruktur oder das Bundesinstitut für Arzneimittel und Medizinprodukte für digitale Gesundheitsanwendungen, netzwerkfähige Medizinprodukte und Pflegegeräte – dazu im Folgenden einige Erläuterungen.
Telematikinfrastruktur: Mehrstufige Prüfprozesse
Zu den Herausforderungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungserbringern, Kostenträgern und Versicherten. Die Digitalisierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommunikation und Abläufe dadurch erheblich zu beschleunigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telematikinfrastruktur (§ 306 SGB). Dienste wie die elektronische Patientenakte oder der E‑Medikationsplan setzen auf dieser interoperablen Kommunikations- und Sicherheitsarchitektur auf. Für Aufbau und Weiterentwicklung der Telematikinfrastruktur (TI) ist die Gesellschaft für Telematik, gematik, verantwortlich, zu deren Aufgaben auch die Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen gehört.
Bei der IT-Sicherheitsbewertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Komponenten und Dienste in einem mehrstufigen Prüfungsverfahren gemeinsam mit den Anbietern umfangreichen Tests unterzogen, bevor Sicherheitsevaluationen oder genaue Sicherheitsgutachten erstellt werden. Die einzelnen Anforderungen sind in sogenannten Produktsteckbriefen für die Zulassung der Anbieter in Anbietersteckbriefen hinterlegt.
Auch nach der Zulassung wird der sichere und störungsfreie Betrieb überwacht. Eine unberechtigte Nutzung der Telematikinfrastruktur wie auch die Nichtmeldung von Störungen oder Sicherheitsmängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.
Videosprechstunde – Anbieter von Videodiensten
Während neue TI-Dienste wie die die elektronische Patientenakte (ePA) sicher noch etwas Zeit benötigen, um auch beim Versicherten anzukommen, sind mit Beginn der Pandemie die Nutzerzahlen für andere digitalen Dienstleistung förmlich explodiert: 1,4 Millionen Videosprechstunden wurden allein im ersten Halbjahr 2020 durchgeführt. Im Jahr 2019 waren es dagegen erst knapp 3.000.
Voraussetzung für eine Teilnahme als Videodienstanbieter ist die Erfüllung aller Anforderungen an die technischen Verfahren. Die Anforderungen an Anbieter, Teilnehmer und Vertragsärzte wurden in einer entsprechenden Vereinbarung der Kassenärztlichen Bundesvereinigung und des Spitzenverbandes Bund der Krankenkassen festgelegt.
Unter anderem muss die Kommunikation zwischen Patient und Arzt bzw. Pflegekraft durch eine Ende-zu-Ende-Verschlüsselung gesichert sein und der Videodienst darf keine schwerwiegenden Sicherheitsrisiken aufweisen. Die nötigen Nachweise und Zertifikate zur IT-Sicherheit sind in der Vereinbarung im Einzelnen aufgeführt, Vorlagen für die Bescheinigungen und der Fragebogen mit Prüfkriterien in der Anlage hinterlegt.
Digitale Gesundheitsanwendungen: Die App auf Rezept
Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesundheitsanwendungen (DiGA) sind definiert als Medizinprodukte niedriger Risikoklassen zur Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder zur Erkennung, Behandlung, Linderung oder Kompensierung von Behinderungen und Verletzungen. Die Hauptfunktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraussetzung für eine Kostenübernahme durch die Krankenkassen ist die Aufnahme im Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM).
Für diese Beantragungen wurde ein dreimonatiges Fast-Track-Verfahren aufgesetzt, die entsprechenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grundsätzliche Vorgaben zur Datensicherheit sind in der Digitalen Gesundheitsanwendungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Informationssicherheitsmanagement-System auf Basis des BSI-Standard 200–2: IT-Grundschutz-Methodik. Hilfestellung bietet zudem die Technische Richtlinie des BSI zu Sicherheitsanforderungen an digitale Gesundheitsanwendungen.
Regulierungsbedarf bei vernetzten Medizinprodukten
Regulierungsbedarf besteht derzeit noch bei netzwerkfähigen Medizinprodukten. Anders als bei den rein digitalen Gesundheitsanwendungen sind Digitalfunktionen hier meist als Ergänzungen zur bestehenden medizinischen Grundfunktion integriert. Daraus ergibt sich ein äußerst breites und heterogenes Anwendungsspektrum. Zum Teil sind die IT-Sicherheitsanforderungen auch schwieriger zu adressieren, denn diese Netzwerkfunktionen werden häufig über Drittanbieter zugekauft und sind noch nicht bei allen Unternehmen auch in die Qualitätssicherungsprozesse eingebunden. Gleichwohl sind sie als Anbieter haftbar.
Grundlegende Anforderungen an Cyber-Sicherheitseigenschaften von Medizinprodukten wurden erstmals in der EU-Verordnung 2017/745 über Medizinprodukte definiert, die in Deutschland durch das Medizinprodukterecht-Durchführungsgesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehaltenen – Vorgaben zur IT-Sicherheit helfen Richtlinien und Verfahrensanleitungen wie:
- Guideline der Medical Device Coordination Group
– Leitfaden zur Nutzung des MDS2 (Manufacturer Disclosure Statement)
– Herstellerempfehlung zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte.
Das BSI hat die Cybersicherheit vernetzter Medizinprodukte untersucht und in seinem Abschlussbericht dazu auch die anstehenden Aufgaben formuliert. Die Weiterentwicklung der Regulatorik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innovationen zum Durchbruch zu verhelfen und ihre schnelle und sichere Markteinführung zu fördern.
Autor: Randolf Skerka, SRC GmbH
PCI DSS v4.0 kommt – Ein Überblick
Der PCI DSS (Payment Card Industry Data Security Standard) ist als umfassender Datensicherheitsstandard für Zahlkartendaten der internationalen Zahlsysteme bekannt. Das Payment Card Industry Security Standards Council (PCI SSC) entwickelt den Standard im Laufe der Zeit weiter, damit er mit fortschreitenden Risiken und Bedrohungen, der sich ständig verändernden IT- und Zahlungsverkehrslandschaft und geänderten Sicherheitsanforderungen Schritt hält.
Das PCI SSC arbeitet seit langem an der neuen, grundlegend überarbeiteten Version 4.0 des Standards. Nach drei RFC-Phasen in den zurückliegenden Jahren wird die neue Version nun im März 2022 offiziell auf der PCI SSC-Website veröffentlicht.
Einige Änderungen wurden bereits angekündigt und werden im Folgenden vorgestellt.
Neue Validierungsoptionen
Das PCI SSC plant, den Standard flexibler zu gestalten. Traditionell besteht der vorgesehene Weg zur Erfüllung einer PCI DSS-Anforderung darin, ihr Wort für Wort zu folgen. Jetzt plant das PCI SSC, eine Wahlmöglichkeit anzubieten: Für fast jede Anforderung kann ein Unternehmen entweder die traditionelle Variante wählen, sie Wort für Wort zu erfüllen, oder sie kann eine individuelle, „customized“ Validierung nutzen.
Zu jeder Anforderung im Standard wird das Ziel angegeben, das mit der Anforderung erreicht werden soll. Wenn ein Unternehmen der Meinung ist, dass sie dieses Ziel auf andere Weise erreichen möchte, als durch wortwörtliche Befolgung der Anforderung, kann sie ihren Weg dahin dokumentieren. Hierzu gehört auch eine Risikobewertung, um die Angemessenheit des gewählten „customized“ Weges zu überprüfen. Diese Dokumentation, inklusive der Risikobewertung, wird dann dem Assessor zur Verfügung gestellt. Der Assessor identifiziert auf dieser Grundlage geeignete Testverfahren zur Überprüfung der Umsetzung der „customized“ Maßnahmen.
Änderungen an Anforderungen
Um sicherzustellen, dass die PCI DSS-Konformität das ganze Jahr über aufrechterhalten wird, wurden zusätzliche Anforderungen vom PCI SSC angekündigt, z.B. die Notwendigkeit für
Darüber hinaus werden bestehende Anforderungen an veränderte Bedrohungslagen und Sicherheitsanforderungen angepasst. Unter anderem zu den folgenden Themen wurden Änderungen angekündigt:
Auch die Verwendung von 8‑stelligen BINs wird berücksichtigt werden müssen (vgl. unseren Blog-Eintrag).
Die genauen Details zu Änderungen stehen natürlich erst nach der endgültigen Veröffentlichung fest.
Übergangsprozess
Das PCI SSC hat eine Übergangsfrist von zwei Jahren angekündigt, plus eine zusätzliche Übergangszeit für grundlegend neue Anforderungen. Nehmen Sie sich also nach der Veröffentlichung im März 2022 die Zeit, die neue PCI-DSS-Version zu lesen, die Änderungen zu identifizieren und die Auswirkungen auf Ihre Umgebung zu verstehen. Nutzen Sie dieses Jahr, um die Umstellung auf PCI DSS v4.0 zu planen und zu entscheiden, wann der richtige Zeitpunkt für Ihr Unternehmen ist, von Version 3.2.1 auf 4.0 umzusteigen.
Ihr PCI DSS-Berater oder ‑Auditor kann Ihnen helfen, die Intention hinter den Änderungen, Ihren Anpassungsbedarf und die Validierungsanforderungen zu verstehen. Bitte zögern Sie nicht, sie zu kontaktieren. Wenn Sie noch keinen Ansprechpartner zu PCI DSS haben, wenden Sie sich gerne an SRCs Themenverantwortliche.
Um sich einen ersten Überblick über die Änderungen des Standards zu verschaffen, können Sie auch an unserem kostenlosen PCI DSS v4.0‑Webinar am 21./22. April teilnehmen: Hier gehts zur Anmeldung.
SRC-Experte Dr. Botermann – Smart Contracts in der Finanzwelt
Viele administrative Vorgänge, wie Versicherungs- und Entschädigungszahlungen, könnten mittels Smart Contracts automatisiert und effizient abgebildet werden. Unter Smart Contracts versteht man sogenannte „selbsterfüllende Verträge“, die auf der Distributed-Ledger-Technologie (DLT) basieren. Die Transaktionen werden dann dezentral für alle Teilnehmer manipulationssicher und kryptographisch abgesichert gespeichert.
Bereits 2016 gab es Studien, die dieses Potential erkannten und mit einem flächendeckenden Einsatz bereits im Jahr 2021 rechneten. Doch der Durchbruch lässt trotz guter Voraussetzungen auf sich warten. Auch die Regulatorik – immer wieder ein Hemmnis für innovative Technologien – birgt nur noch wenig Unsicherheiten.
In seinem Beitrag Finanzbranche im Umbruch: Wer schneller lernt, gewinnt, der bei experten Report erschienen ist, gibt der SRC-Experte Dr. Benjamin Botermann einen Ein- und Überblick über Herausforderungen und Chancen bei der Nutzung von Smart Contracts.
Zusammengefasst kann festgestellt werden, dass Smart Contracts es besonders in der Finanzbranche ermöglichen, die Digitalisierung von Geschäftsprozessen voranzutreiben. Klassische Finanzinstitute, die von den neuen dezentralen Modellen profitieren wollen, müssen sich jetzt ins Spiel bringen und nicht mehr nur vom Rande zuschauen. Institute, die jetzt den Aufbruch in die Welt des Kryptoverwahrgeschäfts wagen, erweitern ihre Kompetenzen , die für den Digitalisierungsfortschritt von hohem Wert sind.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der DLT, Smart Contracts, Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
SRC-Experte Oberender | 5G Security High Assurance
Im Rahmen des CAST-Forums hot topic: 5G-Security hält SRC-Experte Oberender einen Beitrag zu 5G Security High Assurance. Der CAST-Workshop wird vom BSI Referat SZ32 veranstaltet und findet am 11. November 2021 online statt.
5G wird zukünftig das digitale Leben in Deutschland bestimmen und damit schützen dessen Sicherheitseigenschaften direkt die Integrität der Gesellschaft und seiner Bürger. Das derzeit vom BSI entwickelte Prüfverfahren soll aus drei Teilen bestehen: einer Prüfung die auf der 3GPP definierte SECAM Evaluation Methodologie TS 33.916 basiert und beim BSI als Technische Richtlinie NESAS CCS-GI verfeinert wird. Möglichere weitere Prüfungen nutzen die Beschleunigte Sicherheitszertifizierung (BSZ) sowie das Common Criteria (CC) Zertifzierungsschema. Die Perspektive des Sicherheitsgutachters ist hier eine ganz besondere. Die SRC hat zu allen Prüfverfahren weitreichende Erfahrungen und gibt in diesem Vortrag Einblick in die Vor- und Nachteile der Prüfmethoden hinsichtlicht der Prüfung der 5G bzw. 6G Kommunikationsplattformen. Dr. Jens Oberender stellt die verschiedenen Prüfmethoden SECAM, BSZ und CC für die Zulassung von 5G Sicherheit vor und diskutiert deren Zielsetzung und Schwerpunkte.
Die Mobilfunknetze in Deutschland gehen derzeit mit 5G-Technologie in ihre nächste Evolutionsstufe. Dieser Prozess wird durch Sicherheitsvorgaben und damit verbundene Zertifizierungsaktivitäten begleitet. Deutschland benötigt sichere und souveräne Infrastrukturen für die Kommunikation. Sicherheitsmerkmale, wie Zuverlässigkeit und Verfügbarkeit sind dabei wesentliche Faktoren für die wirtschaftliche Entwicklung Deutschland. Der CAST-Workshop hot topic: 5G-Security erlaubt gleichzeitig Überblick und Ausblick über den aktuellen Status der 5G-Security und deren zukünftige Entwicklung.
SRC als Prüfstelle für Beschleunigte Sicherheitszertifizierung (BSZ) anerkannt
Am 01. Oktober ist die „Beschleunigte Sicherheitszertifizierung (BSZ)“, das neue Zertifizierungsverfahren des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gestartet. Bereits am 28. September wurde SRC vom BSI als Prüfstelle für dieses neue Verfahren anerkannt. Sandro Amendola leitet beim BSI die Abteilung Standardisierung, Zertifizierung und Sicherheit von Telekommunikationsnetzen. Stellvertretend für das BSI überreichte er die Anerkennungsurkunde an Peter Jung, der bei SRC für die BSZ verantwortlich ist.
Die Beschleunigte Sicherheitszertifizierung ist das neue leichtgewichtige Verfahren des BSI zur Zertifizierung der Sicherheit von IT-Produkten. Im Gegensatz zu einer CC-Zertifizierung hat eine Zertifizierung nach BSZ einige Vorteile: einen erheblich gerigeren Dokumentationaufwand, eine deutlich verkürzte Durchführung und dadurch einen geringeren Kostenaufwand.
Das Zertifizierungsschema verfolgt einen risikobasierten Ansatz. Die Sicherheitsleistungen des IT-Produkts werden dabei von einer anerkannten Prüfstelle wie SRC innerhalb eines festen Zeitrahmens mittels Konformitäts- und Penetrationstests auf ihre Sicherheitsleistungen und ihre Widerstandsfähigkeit gegen Angriffe geprüft.
Auch für den Anwender entsteht Nutzen. Er erhält eine verständliche Dokumentation der Sicherheitsleistung und das Versprechen, dass auftretende Schwachstellen innerhalb des Gültigkeitszeitraums des Zertifikats garantiert behoben werden.
„Nachdem SRC bereits die erste erfolgreiche Evaluierung nach BSZ durchgeführt hat, freuen wir uns sehr über die nun erfolgte Anerkennung als Prüfstelle für dieses innovative Zertifizierungsschema“ sagt Peter Jung als Vertreter der Prüfstelle und Themenverantwortlicher für die Beschleunigte Sicherheitszertifizierung BSZ bei SRC.
Das elektronische Wertpapier: Ein zukunftsweisender Schritt in Richtung digitaler Kapitalanlagen
Bislang konnten Wertpapiere ausschließlich als physische Urkunde erworben werden. Seit Anfang Juni 2021 bietet sich nun mit Inkrafttreten des Gesetzes zur Einführung von elektronischen Wertpapieren (eWpG) eine papierlose, digitale Alternative für Anleger und Emittenten.
Das Gesetz zur Einführung von elektronischen Wertpapieren (eWpG)
Das kürzlich in Kraft getretene Gesetz zur Einführung elektronischer Wertpapiere (eWpG) soll insbesondere das deutsche Recht für elektronische Wertpapiere öffnen. Anleger und Emittenten können nun frei zwischen der klassischen Papierurkunde oder der digitalisierten Form wählen. Das Gesetz sieht darüber hinaus ein zentrales elektronisches Wertpapierregister für die Eintragung der digitalisierten Wertpapiere vor. Das derzeit stark in den Vordergrund tretende Kryptoverwahrgeschäft blieb im eWpG keineswegs unberücksichtigt. Dieses sieht die gesetzliche Einführung von Kryptowertpapieren, etwa z.B. auf Blockchain- oder allgemein auf DLT-Basis, ausdrücklich vor. Dafür wird ein eigenes Kryptowertpapierregister geschaffen, dessen Führung nun als weitere Finanzdienstleistung unter Aufsicht der BaFin im Sinne des Kreditwesengesetzes (KWG) reguliert ist. Zur Schaffung von Rechtssicherheit soll das eWpG durch eine „Verordnung über Anforderungen an elektronische Wertpapierregister (eWpRV)“ konkretisiert werden. Ein Referentenentwurf der eWpRV des Bundesministeriums der Finanzen und des Bundesministeriums der Justiz und für Verbraucherschutz liegt bereits vor.
Neue Chancen durch das Zusammenspiel innovativer Technologien
Kryptowährungen und insbesondere Kryptoverwahrgeschäfte gehören nach wie vor zu den brandheißen Digitalisierungsthemen. Durch das Gesetz zur Umsetzung der Änderungsrichtlinie zur vierten EU-Geldwäscherichtlinie wurde das Kryptoverwahrgeschäft Anfang 2020 als neue Finanzdienstleistung in das KWG aufgenommen. Damit wurden neue Marktchancen im Bereich der Dienstleistungen rund um Kryptowährungen für Banken und Finanzdienstleister geschaffen. Die Emission von elektronischen Wertpapieren kann durch das neue eWpG auch durch Nutzung der Blockchain- oder DLT-Technologie erfolgen (Kryptowertpapiere). Damit verbunden sind neue (Finanz-)Dienstleistungen, für die einschlägige Fintechs schon bereitstehen. Allerdings bieten DLT-Anwendungen insbesondere IT-Dienstleistern im Bankenumfeld neue Chancen, zukunftsweisende Geschäftsfelder zu erschließen. Des Weiteren fiel im Sommer 2021 auch endgültig der Startschuss für den Digitalen Euro, dessen Einführung als Ergänzung zu etablierten Zahlverfahren dienen soll. Der Trend in Richtung einer weiteren Digitalisierung der Finanzwirtschaft wird durch die Einführung elektronischer Wertpapiere nun fortgesetzt.
Darüber hinaus hat die EU-Kommission kürzlich ein digitales Finanzpaket auf den Weg gebracht, zu dessen Inhalt unter anderem ein eigener Regulierungsvorschlag für Krypto-Assets oder auch ein Pilot-Projekt für DLT-basierte Wertpapiere gehört.
Marktchancen erschließen und Herausforderungen gemeinsam meistern
Nicht nur Anleger sollten sich schon jetzt intensiv mit dieser neuen Thematik befassen. Insbesondere bietet sich Banken und Finanzdienstleister nun erneut die Chance, dieses zukunftsträchtige Marktsegment zu besetzen. Diese neuen Chancen führen jedoch auch zu neuen Herausforderungen. Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der elektronischen Wertpapiere, Kryptowährungen und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihrer Dienstleistungen. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen und die neuen Herausforderungen gemeinsam zu meistern.
SRC-Experte Botermann | DLT für IT-Dienstleiter im Bankenumfeld
Kryptowerte auf der Basis von Blockchains bewegen viele Staaten, Unternehmen und die Welt der Banken und deren IT-Dienstleister.
Als Distributed Ledger Technologie (kurz: DLT) bezeichnet man die Technik der „verteilten Kassenbücher“. Der wichtigste Unterschied: Transaktionen werden dezentral legitimiert und bei den Teilnehmern gespeichert. Als disruptive Technologie macht DLT zahlreiche Vermittlungs- und Clearingpunkte überflüssig. Banken droht der Verlust ihrer Stellung als Anker für vertrauenswürdige Transaktionen.
Genau darin liegt aber auch die Perspektive für zukünftige Geschäftsmodelle, sind es doch gerade die Banken, die traditionell über Expertise bei der sicheren Verwahrung vertraulicher Informationen verfügen. Der entscheidende technische Vertrauensanker jeder Transaktion über DLT ist nämlich der private Schlüssel des Kunden. Die vertrauenswürdige Verwaltung dieses privaten Schlüssels kann sich als Perspektive für die Evolution der Geschäftsmodelle der Banken erweisen.
Zusammengefasst: DLT Anwendungen bieten IT-Dienstleistern im Bankenumfeld gute Chancen, die eigenen Geschäftsmodelle anzupassen und sich auch für die Zukunft zu positionieren. Als geeigneter Einstiegspunkt sind Dienstleistungen im Rahmen des Kryptoverwahrgeschäfts zu sehen, die künftig erweitert und ergänzt werden können.
Wie können Geschäftsmodelle im Bankenumfeld an diese Entwicklungen angepasst werden? Welche Chancen bietet das Kryptoverwahrgeschäft? Welche technischen und regulatorischen Voraussetzungen müssen erfüllt sein?
In den in der gi GELDINSTITUTE, auf cash.online und auf it-daily.net erschienenen Beiträgen DLT für IT-Dienstleiter im Bankenumfeld, Kryptoverwahrgeschäft: Startpunkt für die Geschäftsfelderweiterung und Kryptoverwahrgeschäft als Geschäftsfelderweiterung für Banken gibt der SRC-Experte Dr. Benjamin Botermann Ein- und Überblick über Herausforderungen, Chancen und Stolpersteine des Kryptoverwahrgeschäfts mit der Distributed Ledger Technologie (DLT).
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.