Das wohl aktuellste Beispiel für E-Health sind die Digitalen Gesundheitsanwendungen (DiGA). Die „App auf Rezept” wird vom behandelnden Arzt verschrieben und von den gesetzlichen Krankenkassen bezahlt – die Spannbreite reicht von mentaler Gesundheit bis zur körperlichen Fitness. Damit eine solche Gesundheits-App verschrieben werden kann, muss sie vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen und in das DiGA-Verzeichnis aufgenommen werden. Für diese Zulassung ist unter anderem der Nachweis der Umsetzung verbindlicher Informationssicherheits- und Datenschutzanforderungen erforderlich.
Doch genau da hapert es leider noch zu oft: Kurz nach der Zulassung der ersten DiGA durch das BfArM im Oktober 2020 hatten IT-Experten Sicherheitsmängel festgestellt. Der damalige Antragsprozess in der sogenannten Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) sah vor, dass der Betreiber einen Fragebogen zu Datensicherheits- (Informationssicherheits-) und Datenschutzanforderungen ausfüllt und diesen dem BfArM einreicht. Das Ministerium prüfte dann die Plausibilität der Angaben des Betreibers. Eine Zertifizierungs- oder Nachweispflicht bestand seinerzeit nicht. Penetrationstests, die womöglich Sicherheitslücken aufdecken könnten, waren nur bei DiGA mit sehr hohem Schutzbedarf vorgesehen. Die Frage war auch damals schon: Sollten nicht alle Gesundheitsdaten einen sehr hohen Schutzbedarf genießen?.
Verfehlte Nachbesserungen
Mit dem „Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz“ (DVPMG) hat der Gesetzgeber dann nachgebessert – oder wollte es zumindest. Das DVPMG sah beispielsweise vor, dass DiGA-Hersteller die normenkonforme und effektive Umsetzung des Informationssicherheits-Managementsystems (ISMS) durch einen Audit nachweisen müssen. Diese Zertifizierungspflicht besteht nunmehr seit April 2022 und wurde in dieser Form umgesetzt. Weitere Anpassungen des DVPMG in Punkto Datensicherheit und Datenschutz sind beispielsweise auch die verpflichtende Umsetzung einer das ISMS ergänzenden technischen Richtlinie „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) durch den DiGA-Hersteller sowie eine anschließende Zertifizierung seitens des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dies war für den 01.01.2023 vorgesehen. Das BSI hatte hierzu bereits im April 2020 eine erste Version der Technischen Richtlinie (TR) veröffentlicht. Als die technische Richtlinie entwickelt wurde, gab es aber die weiteren Anforderungen zur Datensicherheit noch nicht.
Die Digitale Gesundheitsanwendungen-Verordnung (DiGAV) wurde ebenfalls im April 2020 veröffentlicht. Dies hatte zur Folge, dass die BSI-Richtlinie Anforderungen definierte, die die DiGAV in ähnlicher Form vorsah. Aus dem Umstand der „Parallelentwicklung“ beider Anforderungskataloge ergaben sich also Dopplungen und Überschneidungen, die heute – wo die TR zur Pflicht wird – zu Problemen führen.
Die Technische Richtlinie befand sich im sogenannten Trial-Mode. Nutzer und Experten sind hierbei aufgefordert, entsprechende Rückmeldung hinsichtlich Praktikabilität oder Vollständigkeit zu liefern, bevor eine verbindliche Version 2.0 veröffentlicht wird. Jedoch kam es hier offensichtlich zu keinerlei Austausch zwischen den DiGA-Herstellern, den Verbänden und dem BSI. Somit brachte das BSI im Mai diesen Jahres ziemlich geräuschlos eine Version 2.0 der Technischen Richtlinie TR-03161 heraus, die die Grundlage für die Umsetzung und Zertifizierung sein sollte. Währenddessen blieben negative Meldungen nicht aus: So hatte beispielsweise das Kollektiv Zerforschung gleich bei drei DiGA erhebliche Sicherheitsmängel festgestellt, die es erlaubten, personenbezogene Daten abzugreifen, ohne dazu die Berechtigung zu haben.
Penetrationstest allein reichen nicht
Penetrationstests sind mittlerweile durch das DVPMG ebenfalls zur Pflicht geworden. Doch das reicht nicht, denn der Gesetzgeber sollte auch hier konkretisieren, was in welcher Tiefe geprüft werden soll. Hier gibt es seitens der Hersteller augenscheinlich sehr unterschiedliche Vorstellungen über die Kosten eines Penetrationstests. Systeme angemessen zu prüfen, ist erfahrungsgemäß mit einem entsprechenden Aufwand verbunden.
Im Juni dieses Jahres berichtete nun die Tagesschau ebenfalls über Sicherheitslücken bei DiGA und kritisierte die unzureichende Prüfung seitens des BfArM. Im Rahmen des DiGA-Antrags prüfe das BfArM eigenen Aussagen zufolge die Plausibilität der vom Hersteller in den Formularen gemachten Angaben. Zudem würden über Testzugänge etwa die Datenschutzerklärungen, die Authentisierungsmethoden und die Datenverbindungen geprüft. Gegenüber der Tagesschau räumte das BfArM zudem ein, dass eine „eigene technische Überprüfung“ nicht stattfinde. Es handele sich lediglich um eine Prüfung der eingereichten Unterlagen. Die geplanten Nachbesserungen mittels Umsetzung der Technischen Richtlinie sowie weiteren die bisherigen Anforderungen ergänzenden technischen und organisatorischen Maßnahmen sind also mehr als überfällig.
Nunmehr gibt es aber seit kurzem einen Referentenentwurf des Gesetzes zur Pflegepersonalbemessung im Krankenhaus sowie zur Anpassung weiterer Regelungen im Krankenhauswesen und in der Digitalisierung (KHPflEG). Dieser sieht unter anderem eine Verschiebung der Fristen hinsichtlich der Umsetzung der TR 03161 vor. Die Begründung dafür liegt einerseits darin, dass man festgestellt habe, dass diese in der Form nicht praktikabel umsetzbar seien, der Umsetzungszeitraum zu kurz und bestimmte Anforderungen an Datenschutz und Datensicherheit in der Technischen Richtlinie im Widerspruch zu bestehenden Anforderungen in diesem Bereich stünden und es derzeit keine zugelassene Prüfstellen oder Auditoren für die Auditierung gebe.
Nicht nur der Gesetzgeber hat getrödelt
Doch nicht nur der Gesetzgeber hat hier Zeit verstreichen lassen: Seit Erstveröffentlichung und Überarbeitung der TR sind immerhin zwei Jahre vergangen. Warum haben DiGa-Hersteller diese Zeit nicht genutzt, um die Anforderungen zu sichten und hierzu entsprechendes Feedback an das BSI zu geben und somit entsprechend Einfluss zu nehmen? Es kommt der Eindruck auf, dass hier bewusst auf Zeit gespielt wurde und nun die große Panik aufkommt.
Erst im Frühjahr 2022 kam es zu einer Kommunikation bezüglich der TR gegenüber den Spitzenverbänden, die wiederum zeitnah ein Feedback lieferten. Dieses Feedback beziehungsweise die kritische Bewertung der Anforderungen führte bislang jedoch zu keiner erneuten Anpassung der TR, sodass der aktuelle Stand unverändert ist und die Grundlage für die gesetzliche Umsetzungs- und Zertifizierungspflicht darstellt. Fazit: Eine stringentere, engere und konstruktivere Kommunikation zwischen BSI und Spitzenverbänden wäre wünschenswert – genauso wie das Schaffen eines offenen Kanals.
Der Vorwurf geht in beide Richtungen: Es ist inakzeptabel, dass dringend notwendige Nachbesserungen ausbleiben oder geschoben werden. Technische Schwachstellen und Daten-Leaks bei Digitalen Gesundheitsanwendungen müssen durch angemessene Maßnahmen und einen sensiblen Umgang vermieden werden. Sie schaden dem Ansehen des Produktes und dem Vertrauen in digitale Behandlungsansätze. Gleichzeitig müssen Anforderungen seitens des Gesetzgebers so gestaltet werden, dass diese auch für kleinere Unternehmen umsetzbar sind, denn viele DiGA sind Start-ups.
Alle an einen Tisch
Vor allem muss es einen frühzeitigen Austausch über Anforderungen geben, denn eine gesetzliche Umsetzungsfrist von wenigen Monaten ist bei solch tiefgreifenden Anforderungen schlichtweg nicht möglich. Auch der geschäftliche Hintergrund muss beachtet werden: Es muss als Hersteller oder Investor möglich sein, einen verlässlichen Business Case aufzustellen, der nicht ständig durch sich ändernde oder erhöhende Anforderungen herausgefordert wird. Nur so kann das Gleichgewicht zwischen Innovation und Informations- und Investitionssicherheit geschaffen werden.
Wie geht es nun also weiter in Sachen Informationssicherheit bei DiGA? Alle Beteiligten müssen an einen Tisch, damit die Versäumnisse und Missverständnisse der letzten beiden Jahre ausgeräumt werden. An einer weiteren Anpassung der TR kommt das BSI dann wohl nicht vorbei. Das heißt aber auch, dass abermals an den Anforderungen an die Informationssicherheit bei DiGA in der DiGAV, der TR und dem SGB V „geschraubt“ werden muss.
Dennis Scholz ist Information Security Officer des E-Heatlh-Start-ups Neotiv GmbH. Jan Arfwedson ist Leiter des E-Health-Hubs im Cyber-Sicherheitsrat Deutschland e. V. und Geschäftsführer des Healthcare IT-Security-Spezialisten Aurasec GmbH.
