Höhere Anforderungen an Penetrationstests & neue Fristen
Die Revision des DiGA-Leitfadens fordert, dass Penetrationstest künftig vorrangig von BSI-zertifizierten Teststellen durchgeführt werden. Zudem sollen sie verpflichtend Code Reviews sowie Whitebox-Tests enthalten. Waren Pentests nach der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) bisher nur für DiGA mit erhöhtem Schutzbedarf vorgeschrieben, sind diese mit Inkrafttreten des Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) für alle DiGA obligatorisch. Damit gehört die Durchführung von Penetrationstests ab sofort zu den „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten“ (Anlage 1). Daraus ergeben sich für DiGA-Hersteller – abhängig vom Stand des Antragsverfahrens – zwei relevante Fristen:
- 31.01.2024: Der 31.01.2024 ist für DiGA-Hersteller relevant, die sich entweder vor dem 01.02.2024 bereits im Antragsverfahren befinden oder schon im DiGA-Verzeichnis gelistet sind. Diese müssen belegen, dass die durchgeführten Pentests die neuen Anforderungen bereits erfüllen. Dafür sind Nachweise des entsprechenden IT-Sicherheitsdienstleisters notwendig. Erfüllt der Penetrationstest die neuen Anforderungen nicht, muss der DiGA-Hersteller einen Zeitplan vorlegen, bis wann dieser gemäß den aktualisierten Forderungen abgeschlossen sein wird. Vorliegen muss der Nachweis über die Durchführung des Penetrationstests (inklusive der Behebung von möglicherweis gefundenen Schwachstellen) spätestens bis zum 31.01.2024.
- 01.02.2024: Ab dem 01.02.2024 ist ein Pentest nach den neuen Anforderungen Voraussetzung für die formale Vollständigkeit des Antrages. Hierzu zählen unter anderem manuelle Code Reviews, Whitebox-Tests sowie die vorrangige Durchführung des Pentests durch eine BSI-zertifizierte Teststelle.
Durch das Inkrafttreten des DVPMG erfährt Sicherheit als Prozess eine noch stärkere Bedeutung als zuvor. Penetrationstests werden in diesem Kontext als ein essenzielles Mittel gesehen, um die Sicherheit der Daten über den gesamten Anwendungsprozess und alle erdenklichen Nutzungsszenarien hinweg zu gewährleisten. Denn mithilfe von Pentests können mögliche Angriffsmuster nachgebildet werden, mit dem Ziel, eventuell bestehende Sicherheitslücken aufzudecken.
Daher sind diese ab sofort für alle DiGA verpflichtend. Das bedeutet, dass für die Produktversion, deren Aufnahme in das DiGA-Verzeichnis beantragt wird, für alle Komponenten (einschließlich aller Backend-Komponenten) ein Penetrationstest durchgeführt worden sein muss. Grundlage für die Testkonzeption bilden einerseits das Durchführungskonzept für Penetrationstests des BSI sowie andererseits die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken.
Sollten über die Zeit beispielsweise neue Schnittstellen in das Internet hinzukommen oder für externe Verbindungen relevante Bibliotheken aktualisiert werden, ist der Pentest anwendungsbezogen zu wiederholen.
Mit TÜVIT zum anforderungskonformen Pentest
Personenbezogene Daten sind besonders schützenswert. Das gilt allgemein, aber vor allem dann, wenn Gesundheitsdaten, wie beispielsweise Diagnosen über körperliche und psychische Erkrankungen oder Medikation, im Spiel sind. Mithilfe von Pentests unterstützen wir Sie dabei, zum einen mögliche Schwachstellen innerhalb Ihrer DiGA frühzeitig zu identifizieren und zum anderen den erforderlichen Nachweis gegenüber dem BfArM zu erbringen.
Als nach ISO 17025 BSI-zertifizierte Teststelle blicken wir auf jahrzehntelange Erfahrung bei der Durchführung von Penetrationstest zurück und haben bereits viele Gesundheitsanwendungen erfolgreich geprüft. Dabei nehmen wir sowohl mobile Apps als auch Webanwendungen unter die Lupe. Zum Einsatz kommt eine Kombination aus automatisierten und manuellen Whitebox-Tests, um aussagekräftige und qualitativ hochwertige Ergebnisse zu erzielen. Als Prüfgrundlage dienen das Durchführungskonzept für Penetrationstests des BSI sowie die OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps.
Möchten auch Sie für Ihre Digitale Gesundheitsanwendung einen Antrag auf Zulassung beim BfArM stellen oder müssen Sie Ihre DiGA anforderungsbezogen neu testen lassen? Dann nehmen Sie gerne Kontakt zu uns auf!
Über TÜVIT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜVIT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP.