Neuerungen im Fast-Track-Verfahren für digitale Gesund­heits­an­wen­dungen (DiGA)

Am 4. September wurde eine aktua­li­sierte Version des Fast-Track-Verfahrens für digitale Gesund­heits­an­wen­dungen (DiGA) gemäß § 139e SGB V veröf­fent­licht. Diese Aktua­li­sierung bringt einige bedeu­tende Neuerungen mit sich, die sowohl für Hersteller, Leistungs­er­bringer als auch Anwender von DiGAs von Interesse sind.

Wir haben die wichtigsten Änderungen für Sie zusammengefasst:

Daten­ver­ar­beitung außerhalb Deutsch­lands (3.3.3)

Ein wichtiger Punkt betrifft die Daten­ver­ar­beitung außerhalb Deutsch­lands. Die aktua­li­sierte Version des Leitfadens enthält klare Richt­linien und Anfor­de­rungen für den Umgang mit Gesund­heits­daten, die außerhalb Deutsch­lands verar­beitet werden. Dies ist entscheidend, um die Integrität und Sicherheit sensibler Patien­ten­daten zu gewährleisten.

Sicherheit als Prozess (3.4.2)

Ein weiterer bemer­kens­werter Aspekt der Aktua­li­sierung ist die Betonung der Sicherheit als konti­nu­ier­licher Prozess. Die neuen Leitlinien legen großen Wert darauf, dass Sicher­heits­maß­nahmen nicht statisch sein dürfen, sondern sich im Laufe der Zeit weiter­ent­wi­ckeln müssen, um den ständig wachsenden Bedro­hungen in der digitalen Gesund­heits­land­schaft gerecht zu werden.

Inter­ope­rable E‑Health-Infra­struktur (3.5.1.1) 

Eine weitere spannende Neuerung bezieht sich auf „vesta“ und „MIOs“ als Basis einer inter­ope­rablen E‑Health-Infra­struktur. Dies weist auf die verstärkten Bemühungen hin, Gesund­heits­an­wen­dungen und ‑systeme mitein­ander zu verknüpfen, um einen reibungs­losen Daten­aus­tausch und eine bessere Patien­ten­ver­sorgung zu ermög­lichen.  Verschärfte Anfor­de­rungen an Penetrationstests

Schließlich, und vielleicht am bemer­kens­wer­testen, sind die verschärften Anfor­de­rungen an Penetra­ti­ons­tests. Laut der aktua­li­sierten Version des Fast-Track-Verfahrens müssen diese Tests vorrangig von BSI-zerti­fi­zierten Teststellen durch­ge­führt werden. Darüber hinaus sind Code Reviews und Whitebox-Tests verpflichtend. Diese Maßnahmen zielen darauf ab, die Sicherheit von DiGAs weiter zu stärken und poten­zielle Sicher­heits­lücken aufzudecken.

Insgesamt verdeut­licht die Aktua­li­sierung des Fast-Track-Verfahrens das Engagement für die Sicherheit und Qualität von digitalen Gesund­heits­an­wen­dungen. Die neuen Richt­linien und Anfor­de­rungen sollen dazu beitragen, die Gesund­heits­ver­sorgung in der digitalen Ära zu verbessern und gleich­zeitig die Sicherheit der Patien­ten­daten zu gewährleisten.

Skerka IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

Schutz der Sozial­daten bei Kranken­kassen: Einblick in die aktuellen Entwick­lungen für 2024

In den letzten Jahren ist der Schutz von Sozial­daten in Deutschland zu einem immer wichti­geren Thema geworden. Dies ist vor allem auf die zuneh­mende Digita­li­sierung und die damit verbun­denen neuen Bedro­hungen zurückzuführen.

Schutz­maß­nahmen seit 2018: Gesetz­liche Verpflichtung für Krankenkassen

Bereits im Jahr 2018 hat der Gesetz­geber gesetz­liche Kranken­kassen dazu verpflichtet, spezi­fische Maßnahmen zum Schutz von Sozial­daten der Versi­cherten vor unbefugter Kennt­nis­nahme zu imple­men­tieren. Diese Maßnahmen haben das Ziel, sicher­zu­stellen, dass persön­liche und vertrau­liche Infor­ma­tionen in sicheren Händen bleiben.

Verschärfte Anfor­de­rungen ab 2024: Einbindung unabhän­giger Gutachter

Ab dem Jahr 2024 werden die gesetz­lichen Anfor­de­rungen an den Schutz von Sozial­daten nochmals erhöht. In diesem Zusam­menhang werden nicht nur die Kranken­kassen selbst, sondern auch unabhängige Gutachter in den Prozess des Daten­si­cherheit einbe­zogen. Diese unabhän­gigen Gutachter sind verant­wortlich für die Bewertung der imple­men­tierten Schutz­maß­nahmen und die Gewähr­leistung ihrer Konfor­mität mit den strikten gesetz­lichen Standards.

SRC: Ein wichtiger Akteur im Gesundheitswesen

SRC ist ein führender Anbieter von IT-Sicher­heits­leis­tungen im Gesund­heits­wesen. Unsere Tätig­keiten erstrecken sich auf verschiedene Funktionen in denen unsere Kollegen als Gutachter, Auditor und Prüfer zum Einsatz kommen. Besonders hervor­zu­heben ist die Position von SRC als Sicher­heits­gut­achter für die Telema­tik­in­fra­struktur im Gesund­heits­wesen. Darüber hinaus überwacht SRC die Umsetzung von Sicher­heits­maß­nahmen durch Prüfungen gemäß §8a BSIG bei Versicherungen.

Die Rolle des GKV-Spitzen­ver­bands: Leitlinien für die Datensicherheit

Der GKV-Spitzen­verband trägt eine zentrale Verant­wortung in Bezug auf den Daten­schutz von Sozial­daten. Gemäß § 217f Abs. 4b SGB V hat der Verband die Aufgabe, Leitlinien für die sichere Kommu­ni­kation zwischen Kranken­kassen und Versi­cherten zu entwi­ckeln. Diese Leitlinien beinhalten Maßnahmen zum Schutz von Sozial­daten der Versi­cherten vor unbefugter Kennt­nis­nahme. Die Abstimmung mit der BfDI und dem BSI ist ein integraler Bestandteil dieses Prozesses, bevor die finale Geneh­migung durch das BMG erfolgt.

Zukunfts­si­cherheit durch techno­lo­gie­neu­trale Richtlinien

Um zukünftige techno­lo­gische Entwick­lungen zu berück­sich­tigen, sind die Richt­linien des GKV-Spitzen­ver­bands größten­teils neutral in Bezug auf Techno­logien formu­liert. Dadurch bleibt die Relevanz der Schutz­maß­nahmen auch bei techni­schem Fortschritt gewährleistet.

Praktische Umsetzung und Zertifizierungsmöglichkeiten

Konkrete Umset­zungs­mög­lich­keiten der Richt­linien werden im beglei­tenden Umset­zungs­leit­faden erläutert. Dieser berück­sichtigt jedoch nur den Stand der Technik zum Zeitpunkt der Erstellung und kann zukünftige techno­lo­gische Entwick­lungen nicht vollständig vorweg­nehmen. Zerti­fi­zie­rungs­mög­lich­keiten bieten eine Option, die Einhaltung der Richt­li­ni­en­um­setzung nachzuweisen.

Fazit: Stärkung des Vertrauens in den Sozialdatenschutz

Der Schutz von Sozial­daten bei Kranken­kassen nimmt einen immer höheren Stellenwert ein. Durch die enge Koope­ration mit unabhän­gigen Gutachtern wie SRC wird sicher­ge­stellt, dass die Imple­men­tierung der Schutz­maß­nahmen trans­parent, effektiv und geset­zes­konform erfolgt. Dies trägt dazu bei, das Vertrauen der Versi­cherten in die Sicherheit ihrer sensiblen Daten zu stärken.

Wie sicher ist die elektro­nische Patientenakte?

Nach der Digita­li­sie­rungs­stra­tegie des Bundes­mi­nis­te­riums für Gesundheit erhalten zukünftig alle gesetzlich Versi­cherten, die nicht aktiv wider­sprechen, eine elektro­nische Patien­tenakte. Wer kann dann auf die persön­lichen Patien­ten­daten zugreifen und wie gut sind die Daten gegen unberech­tigten Zugriff geschützt?

Anfang März 2023 hat Bundes­ge­sund­heits­mi­nister Prof. Karl Lauterbach in einer Presse­kon­ferenz die neue Digita­li­sie­rungs­stra­tegie des Bundes­mi­nis­te­riums für Gesundheit (BMG) vorge­stellt. Ein zentrales Thema der Digita­li­sie­rungs­stra­tegie ist die elektro­nische Patien­tenakte (ePA). Diese wird den 73 Millionen gesetzlich Versi­cherten seit Januar 2021 auf Wunsch (Opt-In) durch die Kranken­kassen bereit­ge­stellt. Laut Karl Lauterbach haben bis heute aller­dings weniger als ein Prozent der gesetzlich Versi­cherten eine ePA beantragt. Dies hat sich offenbar schon länger angedeutet, denn bereits im Koali­ti­ons­vertrag von November 2021 wurde vereinbart, die Einführung der ePA zu beschleu­nigen und allen Versi­cherten, die nicht aktiv wider­sprechen, eine ePA zur Verfügung zu stellen (Opt-Out). Im Rahmen der Digita­li­sie­rungs­stra­tegie erfolgt nun die Umsetzung. Das BMG hat bereits zwei neue Gesetze angekündigt: das Digital­gesetz und das Gesund­heits­da­ten­nut­zungs­gesetz (GDNG). Damit sollen bis zum Jahr 2025 80 Prozent der gesetzlich Versi­cherten über eine ePA verfügen und die Patien­ten­daten pseud­ony­mi­siert für die Forschung nutzbar werden.

Für die Versi­cherten bedeutet dies, eine Entscheidung treffen zu müssen. Keine ePA zu beantragen war einfach und bequem, aber sollte der Einrichtung jetzt wider­sprochen werden? Wie sind die persön­lichen Patien­ten­daten in einer ePA geschützt? Wer kann auf die Patien­ten­daten zugreifen? Dieser Artikel vermittelt Hinter­grund­in­for­ma­tionen zur Funkti­ons­weise der ePA und über den Schutz der in der ePA gespei­cherten Patientendaten.

Die elektro­nische Patientenakte

Die elektro­nische Patien­tenakte ist im Wesent­lichen ein sicherer cloud­ba­sierter Dokumen­ten­speicher mit einem komplexen Berech­ti­gungs­system. Versi­cherte können ihre Patien­ten­daten jederzeit einsehen und die Berech­tigung für den Zugriff durch Ärzte oder andere Personen selber steuern. Dies wird durch das Zusam­men­spiel verschie­dener Kompo­nenten erreicht:

  • Das ePA-Akten­system (ePA-AS) ist die zentrale Backend-Kompo­nente, in der die Patien­ten­daten gespei­chert werden. Hier erfolgen außerdem die Nutzer­au­then­ti­fi­zierung und die Durch­setzung der Zugriffsrechte.
  • Das ePA-Frontend des Versi­cherten (ePA-FdV) ist der dezen­trale Zugangs­punkt für die Versi­cherten. Das ePA-FdV gibt es als mobile App wie auch als Desktop­an­wendung. Über das ePA-FdV können Versi­cherte die eigene Akte verwalten sowie Inhalte hochladen, einsehen, herun­ter­laden oder löschen.
  • Über das Fachmodul ePA auf den Konnek­toren greifen Ärzte und andere Leistungs­er­bringer auf die ePA der Patienten zu.
  • Zwei unabhängige Schlüs­sel­ge­nerie­rungs­dienste (SGD) stellen nutzer­indi­vi­duelle Schlüssel für die Verschlüs­selung der Akten­in­halte bereit.

Verschlüs­selung der Akteninhalte

Die in der ePA gespei­cherten Patien­ten­daten sind perso­nen­be­zogene Gesund­heits­daten gemäß Artikel 9 Daten­schutz­grund­ver­ordnung (DSGVO) und somit besonders schüt­zenswert. Der Schutz wird durch zahlreiche Maßnahmen umgesetzt. Besondere Relevanz hat die Verschlüs­selung der Akten­in­halte. Beim poten­zi­ellen Zugriff auf Akten­in­halte durch eine unberech­tigte Person erhält diese nur verschlüs­selte Daten. Das Gesamt-Verschlüs­se­lungs­ver­fahren setzt sich aus mehreren Verschlüs­se­lungen mit unter­schied­lichen Schlüsseln zusammen:

  • Der Dokumen­ten­schlüssel wird zur Verschlüs­selung eines bestimmten Akten­in­halts verwendet. Im Weiteren wird verein­facht angenommen, dass es sich bei Akten­in­halten um Dokumente (zum Beispiel PDF-Dokumente) handelt. Jedes in der ePA gespei­cherte Dokument wird mit einem indivi­du­ellen Schlüssel verschlüsselt.
  • Der Kontext­schlüssel wird zur Verschlüs­selung der Meta- und Proto­koll­daten verwendet. Die Metadaten enthalten Klartext­in­for­ma­tionen und erlauben, trotz der verschlüs­selten Ablage der medizi­ni­schen Dokumente, einen Überblick der Akten­in­halte und eine server­seitige Suche in der Akte.
  • Der Akten­schlüssel wird für die Verschlüs­selung der Akten­in­halte verwendet. Dazu gehören die bereits genannten Dokumen­ten­schlüssel wie die Dokumente selbst.
  • Die Berech­tig­ten­schlüssel 1 und 2 werden für die Verschlüs­selung des Kontext- und des Akten­schlüssels verwendet. Sie sind nutzerindividuell.

Der Zugriff auf und die Entschlüs­selung von Patien­ten­daten aus der ePA läuft wie folgt ab: eine berech­tigte Person, zum Beispiel der oder die Versi­cherte, authen­ti­siert sich über das ePA-FdV gegenüber dem ePA-Akten­system und den Schlüs­sel­ge­nerie­rungs­diensten. Von den Schlüs­sel­ge­nerie­rungs­diensten erhält das ePA-FdV die indivi­du­ellen Berech­tig­ten­schlüssel 1 und 2, vom ePA Akten­system erhält das ePA-FdV den Akten- und Kontext­schlüssel in verschlüs­selter Form. Mithilfe der Berech­tig­ten­schlüssel werden Akten- und Kontext­schlüssel im Zwiebel­scha­len­prinzip entschlüsselt. Der Kontext­schlüssel wird im Klartext über ein speziell gesichertes Protokoll an das ePA-Akten­system übertragen. Im ePA-Akten­system gibt es eine sogenannte Vertrau­ens­würdige Ausfüh­rungs­um­gebung, die technisch Zugriffe des Betreibers verhindert und damit sicher­stellt, dass der Betreiber keine Akten­in­halte einsehen kann. In dieser Vertrau­ens­wür­digen Ausfüh­rungs­um­gebung wird der sogenannte Akten­kontext mit dem Kontext­schlüssel entschlüsselt. Es handelt sich um Metadaten, die zum Beispiel eine Inhalts­angabe der in der ePA gespei­cherten Dokumente enthält. Über den Akten­kontext kann am ePA-FdV das gewünschte Dokument ausge­wählt und auf das Endgerät geladen werden. Dort wird das Dokument zunächst mit dem Akten­schlüssel entschlüsselt. Das Ergebnis ist ein Dokumen­ten­schlüssel und das damit verschlüs­selte Dokument. Mit dem Dokumen­ten­schlüssel wird das Dokument entschlüsselt und liegt letztlich im Klartext vor. Wird das Dokument außerhalb des ePA-FdV gespei­chert, kann die Sicherheit nicht mehr durch die ePA gewähr­leistet werden.

Berech­ti­gungs­ma­nagement

Gibt eine versi­cherte Person einer anderen Person (zum Beispiel einem Arzt) die Berech­tigung, auf Akten­in­halte zuzugreifen, werden der Akten- und Kontext­schlüssel mit Berech­tig­ten­schlüsseln dieser anderen Person verschlüsselt und im Akten­system für den Abruf durch diese gespei­chert. Nicht berech­tigte Personen, wie der Betreiber des ePA-Akten­systems, sind somit krypto­gra­fisch vom Akten­zu­griff ausge­schlossen. Ist eine Person generell berechtigt und es liegen die notwen­digen Schlüssel vor, kann der Zugriff weiterhin auf Dokumenten-Ebene einge­schränkt werden. So können Versi­cherte für jedes Dokument einzeln festlegen, wer darauf zugreifen darf.

Fazit

Die ePA setzt verschiedene Sicher­heits­me­cha­nismen für den Schutz der Patien­ten­daten um. Für den Zugriff müssen sich Versi­cherte grund­sätzlich authen­ti­sieren. Für die Entschlüs­selung der Inhalte müssen weiterhin verschiedene Schlüssel zusam­men­ge­bracht werden. Die Sicherheit der Verschlüs­selung liegt maßgeblich in den Berech­tig­ten­schlüsseln. Aus diesem Grund gibt es hiervon zwei, die von unabhän­gigen Schlüs­sel­ge­nerie­rungs­diensten bereit­ge­stellt werden. So ist sicher­ge­stellt, dass immer verschiedene Instanzen bei der Entschlüs­selung invol­viert sind. Weder der Betreiber des Akten­systems, noch die Betreiber der Schlüs­sel­ge­nerie­rungs­dienste sind technisch dazu in der Lage, Akten­in­halte zu entschlüsseln. Die Berech­tigung zum Zugriff auf Akten­in­halte wird durch die Versi­cherten selbst gesteuert. Nur berech­tigte Personen können die notwen­digen krypto­gra­fi­schen Schlüssel entschlüsseln, alle anderen sind krypto­gra­fisch ausge­schlossen. Die Berech­tigung zum Zugriff kann feingra­nular für jedes Dokument einzeln vergeben werden.

Vor einem unberech­tigten Zugriff sind die Patien­ten­daten in der ePA gut geschützt. Für die Berech­ti­gungs­steuerung und die Sicherheit herun­ter­ge­la­dener Patien­ten­daten sind die Versi­cherten selbst verant­wortlich. Daten­sou­ve­rä­nität erfordert Eigenverantwortung.

Autor:  Nico Martens, Berater SRC Security Research & Consulting GmbH

IT-Sicher­heits­re­gu­lierung im Gesund­heits­wesen: Welche Regeln für die Cyber­se­curity gelten

Die Digita­li­sierung des Gesund­heits­sektors entwi­ckelt sich dynamisch: Digitale Produkte erobern den Markt; Künst­liche Intel­ligenz hält Einzug, Innova­tionen in Bereichen wie Pflege, Medizin, Genthe­rapie oder Nanotech­no­logie sind weitere Treiber. Gleich­zeitig ist die Markt­ein­führung neuer Healthcare-Produkte an strenge IT-Sicher­heits­be­stim­mungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beein­flussen. IT-Sicherheit wird umso wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken.

Kritische Infra­struk­turen: Die KRITIS-Verordnung

Besondere Anfor­de­rungen an die IT-Sicherheit gelten bereits für bestehende Einrich­tungen des Gesund­heits­wesens, sofern sie vom Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) als Kritische Infra­struk­turen klassi­fi­ziert sind. Im Gesund­heits­sektor betrifft das nicht nur die stationäre medizi­nische Versorgung, sondern auch die Versorgung mit unmit­telbar lebens­er­hal­tenden Medizin­pro­dukten, verschrei­bungs­pflich­tigen Arznei­mitteln, Blut- und Plasma­kon­zen­traten sowie die Labora­to­ri­ums­dia­gnostik ab einer bestimmten Größe. Die jewei­ligen Schwel­len­werte sind in der BSI-Kritis­ver­ordnung definiert. Als Richt­größe gilt hier der Regel­schwel­lenwert von 500.000 von der Einrichtung versorgten Personen.

Laut BSI-Gesetz (§ 8a) müssen die jewei­ligen Betreiber nach Stand der Technik angemessene organi­sa­to­rische und technische Vorkeh­rungen treffen, um Störungen der Verfüg­barkeit, Integrität, Authen­ti­zität und Vertrau­lichkeit ihrer maßgeb­lichen infor­ma­ti­ons­tech­ni­schen Systeme, Kompo­nenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicher­heits­audits, Prüfungen oder Zerti­fi­zie­rungen nachzu­weisen. Zusätzlich kann das BSI auch selbst Sicher­heits­über­prü­fungen durch­führen oder durch­führen lassen. Bei Nicht­ein­haltung der gesetz­lichen Vorgaben drohen empfind­liche Geldstrafen.

Ausweitung der Verordnung auf alle Kranken­häuser: KRITIS „light“

Seit Januar 2022 gelten diese IT-Sicher­heits­vor­gaben nicht nur für stationäre medizi­nische Einrich­tungen im Sinne der KRITIS-Verordnung, sondern für alle Kranken­häuser. Auch wenn die Nachweis­pflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadens­er­satz­for­de­rungen und Haftungs­ri­siken rechnen. Daher sollten die im Sozial­ge­setzbuch V (§ 75) hinter­legten Anfor­de­rungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orien­tierung bieten dabei die branchen­spe­zi­fi­schen Sicher­heits­stan­dards für die infor­ma­ti­ons­tech­nische Sicherheit der Gesund­heits­ver­sorgung im Krankenhaus.

Wann immer also in Kranken­häusern und Einrich­tungen der Kriti­schen Infra­struktur neue Systeme oder Kompo­nenten innerhalb der Kernfunk­tionen einge­setzt werden, sind diese auch unter KRITIS-Sicher­heits­aspekten zu bewerten und in die Prüfpro­zesse einzubeziehen.

Daten­si­cherheit: Ein Ziel – unter­schied­liche Verfahren

Der Schutz der für das Gemein­wesen wichtigen Kriti­schen Infra­struk­turen ist aber nur ein Aspekt der IT-Sicherheit im Gesund­heits­wesen. Da die Sicherheit der sensiblen Daten auch im Alltags­be­trieb jederzeit gegeben sein muss, sind in allen betrof­fenen Bereichen Cyber­se­curity-Anfor­de­rungen, Zulas­sungs­vor­aus­set­zungen und Prüfpro­zesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetz­lichen Rahmen­be­din­gungen dafür sind im Sozial­ge­setzbuch zusam­men­ge­fasst. Als nationale Behörde für Cyber­si­cher­heits­zer­ti­fi­zierung ist das BSI die zentrale Instanz. Aller­dings – und das macht es für Antrag­steller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zerti­fi­zie­rungs­prozess für die IT-Sicherheit von Gesundheitsprodukten.

Die IT-Sicher­heits­prü­fungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jewei­ligen Zulas­sungs­pro­zesse der verschie­denen Services einge­gliedert. Zuständig sind jeweils unter­schied­liche Insti­tu­tionen: Etwa die Gesell­schaft für Telematik für Anwen­dungen in der Telema­tik­in­fra­struktur oder das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte für digitale Gesund­heits­an­wen­dungen, netzwerk­fähige Medizin­pro­dukte und Pflege­geräte – dazu im Folgenden einige Erläuterungen.

Telema­tik­in­fra­struktur: Mehrstufige Prüfprozesse

Zu den Heraus­for­de­rungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungs­er­bringern, Kosten­trägern und Versi­cherten. Die Digita­li­sierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommu­ni­kation und Abläufe dadurch erheblich zu beschleu­nigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telema­tik­in­fra­struktur (§ 306 SGB). Dienste wie die elektro­nische Patien­tenakte oder der E‑Medikationsplan setzen auf dieser inter­ope­rablen Kommu­ni­ka­tions- und Sicher­heits­ar­chi­tektur auf. Für Aufbau und Weiter­ent­wicklung der Telema­tik­in­fra­struktur (TI) ist die Gesell­schaft für Telematik, gematik, verant­wortlich, zu deren Aufgaben auch die Definition und Durch­setzung verbind­licher Standards für Dienste, Kompo­nenten und Anwen­dungen gehört.

Bei der IT-Sicher­heits­be­wertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Kompo­nenten und Dienste in einem mehrstu­figen Prüfungs­ver­fahren gemeinsam mit den Anbietern umfang­reichen Tests unter­zogen, bevor Sicher­heits­eva­lua­tionen oder genaue Sicher­heits­gut­achten erstellt werden. Die einzelnen Anfor­de­rungen sind in sogenannten Produkt­steck­briefen für die Zulassung der Anbieter in Anbie­ter­steck­briefen hinterlegt.

Auch nach der Zulassung wird der sichere und störungs­freie Betrieb überwacht. Eine unberech­tigte Nutzung der Telema­tik­in­fra­struktur wie auch die Nicht­meldung von Störungen oder Sicher­heits­mängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.

Video­sprech­stunde – Anbieter von Videodiensten

Während neue TI-Dienste wie die die elektro­nische Patien­tenakte (ePA) sicher noch etwas Zeit benötigen, um auch beim Versi­cherten anzukommen, sind mit Beginn der Pandemie die Nutzer­zahlen für andere digitalen Dienst­leistung förmlich explo­diert: 1,4 Millionen Video­sprech­stunden wurden allein im ersten Halbjahr 2020 durch­ge­führt. Im Jahr 2019 waren es dagegen erst knapp 3.000.

Voraus­setzung für eine Teilnahme als Video­di­enst­an­bieter ist die Erfüllung aller Anfor­de­rungen an die techni­schen Verfahren. Die Anfor­de­rungen an Anbieter, Teilnehmer und Vertrags­ärzte wurden in einer entspre­chenden Verein­barung der Kassen­ärzt­lichen Bundes­ver­ei­nigung und des Spitzen­ver­bandes Bund der Kranken­kassen festgelegt.

Unter anderem muss die Kommu­ni­kation zwischen Patient und Arzt bzw. Pflege­kraft durch eine Ende-zu-Ende-Verschlüs­selung gesichert sein und der Video­dienst darf keine schwer­wie­genden Sicher­heits­ri­siken aufweisen. Die nötigen Nachweise und Zerti­fikate zur IT-Sicherheit sind in der Verein­barung im Einzelnen aufge­führt, Vorlagen für die Beschei­ni­gungen und der Frage­bogen mit Prüfkri­terien in der Anlage hinterlegt.

Digitale Gesund­heits­an­wen­dungen: Die App auf Rezept

Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesund­heits­an­wen­dungen (DiGA) sind definiert als Medizin­pro­dukte niedriger Risikoklassen zur Erkennung, Überwa­chung, Behandlung oder Linderung von Krank­heiten oder zur Erkennung, Behandlung, Linderung oder Kompen­sierung von Behin­de­rungen und Verlet­zungen. Die Haupt­funktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraus­setzung für eine Kosten­über­nahme durch die Kranken­kassen ist die Aufnahme im Verzeichnis des Bundes­in­stituts für Arznei­mittel und Medizin­pro­dukte (BfArM).

Für diese Beantra­gungen wurde ein dreimo­na­tiges Fast-Track-Verfahren aufge­setzt, die entspre­chenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grund­sätz­liche Vorgaben zur Daten­si­cherheit sind in der Digitalen Gesund­heits­an­wen­dungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Infor­ma­ti­ons­si­cher­heits­ma­nagement-System auf Basis des BSI-Standard 200–2: IT-Grund­schutz-Methodik. Hilfe­stellung bietet zudem die Technische Richt­linie des BSI zu Sicher­heits­an­for­de­rungen an digitale Gesund­heits­an­wen­dungen.

Regulie­rungs­bedarf bei vernetzten Medizinprodukten

Regulie­rungs­bedarf besteht derzeit noch bei netzwerk­fä­higen Medizin­pro­dukten. Anders als bei den rein digitalen Gesund­heits­an­wen­dungen sind Digital­funk­tionen hier meist als Ergän­zungen zur bestehenden medizi­ni­schen Grund­funktion integriert. Daraus ergibt sich ein äußerst breites und hetero­genes Anwen­dungs­spektrum. Zum Teil sind die IT-Sicher­heits­an­for­de­rungen auch schwie­riger zu adres­sieren, denn diese Netzwerk­funk­tionen werden häufig über Dritt­an­bieter zugekauft und sind noch nicht bei allen Unter­nehmen auch in die Quali­täts­si­che­rungs­pro­zesse einge­bunden. Gleichwohl sind sie als Anbieter haftbar.

Grund­le­gende Anfor­de­rungen an Cyber-Sicher­heits­ei­gen­schaften von Medizin­pro­dukten wurden erstmals in der EU-Verordnung 2017/745 über Medizin­pro­dukte definiert, die in Deutschland durch das Medizin­pro­dukt­e­recht-Durch­füh­rungs­gesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehal­tenen – Vorgaben zur IT-Sicherheit helfen Richt­linien und Verfah­rens­an­lei­tungen wie:

- Guideline der Medical Device Coordi­nation Group
Leitfaden zur Nutzung des MDS2 (Manufac­turer Disclosure Statement)
Herstel­ler­emp­fehlung zu Cyber-Sicher­heits­an­for­de­rungen an netzwerk­fähige Medizinprodukte.

Das BSI hat die Cyber­si­cherheit vernetzter Medizin­pro­dukte unter­sucht und in seinem Abschluss­be­richt dazu auch die anste­henden Aufgaben formu­liert. Die Weiter­ent­wicklung der Regula­torik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innova­tionen zum Durch­bruch zu verhelfen und ihre schnelle und sichere Markt­ein­führung zu fördern.

Autor: Randolf Skerka, SRC GmbH

SRC liefert Gutachten für Gematik

SRC liefert Gutachten zum E‑Rezept für die gematik

Bei der Digita­li­sierung im Gesund­heits­wesen spielt die IT-Sicherheit eine besondere Rolle. Im Kontext der Einführung des durch die gematik verant­wor­teten elektro­ni­schen Rezeptes (E‑Rezept) wird die Sicherheit aller Kompo­nenten durch unabhängige und durch die gematik zugelassene Gutachter geprüft.
Die Einführung des E‑Rezeptes und der E‑Rezept-App hat am 1. Juli 2021 begonnen. Bis dahin musste die Daten­si­cherheit für Patienten, Ärzte und Apotheker sicher­ge­stellt sein. Um die Sicherheit dieser Anwen­dungen in der tagtäg­lichen Arbeit zu überprüfen, hat die gematik mit Zustimmung des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik mehrere Gutachten zur Prüfung der Anwen­dungen in Auftrag gegeben. Einige dieser Gutachten wurden durch die Gutachter der SRC erstellt. Das Ergebnis: Einer kontrol­lierten Inbetrieb­nahme in den Produk­ti­ons­be­trieb steht nichts im Wege. Die Anwen­dungen können in die Telema­tik­in­fra­struktur (TI) einge­gliedert werden.

Voraus­setzung für die nun folgende Testphase ist die Sicher­heits­be­gut­achtung, an der die Gutachter der SRC bei zwei Kompo­nenten beteiligt war. Mitar­beiter der SRC sind seit 2014 bei der gematik als Gutachter zugelassen und haben den Identity-Provider-Dienst der RISE sowie den Fachdienst E‑Rezept der IBM begut­achtet. Die gematik hat die Zusam­men­fassung der durch die Gutachter der SRC erstellten Gutachten am 1. Juli 2021 auf ihrer Webseite veröffentlicht.

In der gerade gestar­teten Testphase wird das E‑Rezept nun in der Modell­region Berlin-Brandenburg im Praxis­alltag erprobt. Hier sollen zunächst praktische Erkennt­nisse über das Zusam­men­spiel aller am E‑Rezept betei­ligter Kompo­nenten gesammelt werden. Die bundes­weite Einführung des E‑Rezepts wird für das 4. Quartal 2021 vorbereitet.

Jeder gesetzlich Versi­cherte kann seine NFC-fähige elektro­nische Gesund­heits­karte (eGK) mit der dazu gehörenden PIN für das E‑Rezept nutzen. Die eGK wird standard­mäßig von den gesetz­lichen Kranken­kassen an ihre Versi­cherten herausgegeben.

Ab 2022 wird das E‑Rezept für alle gesetzlich Versi­cherten verpflichtend, private Kranken­ver­si­che­rungen haben jedoch bereits ihr Interesse an der Teilnahme am E‑Rezept deutlich gemacht. Private Kranken­ver­si­che­rungen können bis auf weiteres freiwillig entscheiden, ob sie ihren Versi­cherten die eGK ausgeben.
„Die Einführung des E‑Rezept und der dazuge­hö­rigen App ist zweifellos ein Meilen­stein für die Digita­li­sierung des deutschen Gesund­heits­system. Bei SRC sind wir schon ein wenig stolz darauf mit unserer Arbeit einen Beitrag zum Absicherung dieser Lösung geleistet zu haben.“ sagt Randolf Skerka, Bereichs­leiter IS-Management bei SRC.
„Diese Begut­achtung war von reibungs­loser und inten­siver Abstimmung mit dem Herstellern RISE und IBM sowie der gematik geprägt. Nur so war es möglich die hohe Qualität in der Kürze der Zeit sicher­zu­stellen.“ sagt Dr. Jens Putzka stell­ver­tretend für alle betei­ligten Kollegen bei SRC.
IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig

IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig

Offene Schnitt­stellen, veraltete Technik und unter­schied­liche Inter­es­sen­lagen: IT-Sicherheit im Gesund­heits­wesen ist ein komplexes Thema, schließlich geht es um die Bedürf­nisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundes­in­stitut für Arznei­mittel und Medizin­technik und dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik dar – aktuell gibt es lediglich Empfeh­lungen aber keine verbind­lichen Richtlinien.

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) und die gematik sind die zustän­digen Stellen für IT-Sicherheit von Medizin­pro­dukten in Deutschland. Es muss sicher­ge­stellt werden, dass Unberech­tigte die IT in medizi­ni­schen Geräten und Systemen nicht gegen den Patienten nutzen können und Kompo­nenten und System nur Berech­tigten offen stehen. Hier können auf IT-Sicherheit spezia­li­sierte Unter­nehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicher­heits­stan­dards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überre­gu­lierung kann Schaden bringen.

Unter dem Titel „IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.

BSI Medizin- und Pflegeprodukten

BSI veröf­fent­licht Studi­en­ergeb­nisse zur Sicherheit von Medizin- und Pflegeprodukten

Der Gedanke an unsichere Medizin- und Pflege­pro­dukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesund­heits­wesen vertraut man doch als Betrof­fener auf die bestmög­liche Hilfe. Doch gerade bei der fortschrei­tenden Digita­li­sierung und Vernetzung im Gesund­heits­wesen tauchen zunehmend Schwach­stellen in vernetzten Medizin‑, IoT- und Alten­pfle­ge­pro­dukten auf. Werden solche Schwach­stellen entdeckt oder sogar ausge­nutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) hat daher die Projekte „ManiMed – Manipu­lation von Medizin­pro­dukten“ und „eCare – Digita­li­sierung in der Pflege“ initiiert, um die IT-Sicherheit ausge­wählter Produkte bewerten zu können.

Die nunmehr veröf­fent­lichten Studien des BSI ermög­lichen es Herstellern, die IT-Sicher­heits­ei­gen­schaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizin­pro­dukten darüber infor­miert, welche IT-Sicher­heits­ei­gen­schaften kritisch sein könnten. Verbes­serte IT-Sicher­heits­ei­gen­schaften stärken das Vertrauen der Patien­tinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizin­pro­dukte. In der Studie wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.

An der Erstellung der eCare-Studie hat SRC maßgeblich mitge­wirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Kranken­pflege Anwendung finden. Hierzu zählen beispiels­weise Geräte zur Vital­da­ten­messung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.
Die Ergeb­nisse der Studie finden Sie auf der Webseite des BSI zum Download.

Zusam­men­fassend lässt sich das IT-Sicher­heits­niveau der unter­suchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergeb­nisse lassen belastbar vermuten, dass keines der unter­suchten Produkte samt seiner Schnitt­stellen, Apps etc. einer profes­sio­nellen Sicher­heits­eva­lu­ierung, einem unabhän­gigen Penetra­ti­onstest oder ähnlichem unter­zogen worden ist.

Skerka IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

SRC-Experte Skerka: IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

„Gefahr für Leib und Leben. Deshalb ist das Risiko für IT-Systeme im Gesund­heits­wesen höher als in anderen Branchen.“ Das sagt SRC-Experte Randolf-Heiko Skerka im gerade erschie­nenen Beitrag „IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

100-prozentige Sicherheit kann es nicht geben. Gerade darum ist es wichtig mit einer vorbeu­genden Absicherung der IT gängigen Gefähr­dungen zu begegnen. Ein Strom­ausfall, ein Erdbeben, Feuer, Hochwasser oder ein Hacker­an­griff sind Beispiele für denkbare Schadensszenarien.

Der Aufbau eines Risiko­ma­nage­ment­systems ist dabei von entschei­dender Bedeutung., sagt Skerka. Bedro­hungen für IT-Systeme im Gesund­heits­wesen müssen definiert, bewertet und ihre Eintritts­wahr­schein­lichkeit bewertet werden. Die anschlie­ßende Unter­su­chung und Evalu­ierung der Auswir­kungen ermög­licht fundierte Entschei­dungen, welche Risiken ggf. akzep­tiert und welche Maßnahmen einge­leitet werden können, um sie zu minimieren. So entsteht ein bewusst definiertes Sicher­heits­niveau und ein Maßnah­men­ka­talog mit dem das angestrebte Level an IT-Sicherheit erreicht und auf Dauer sicher­ge­stellt werden kann.

Die Frage gegen welche Bedro­hungen man sich konkret schützen will, steht auch für die IT-Sicherheit im Gesund­heits­wesen im Fokus der Betrachtung. Mit der Risiko­analyse werden die Gefahren definiert und bewertet. Mit im Vorfeld geplanten Gegen­maß­nahmen kann im Fall der Fälle gekontert werden. Das angestrebte Sicher­heits­niveau ist erreicht. Für den sicheren Betrieb der Infra­struktur muss die IT aber auch mit dem erfor­der­lichen Know-how und dem Wissen um die die techni­schen Erfor­der­nisse ausge­stattet sein.