Um in das Verzeichnis erstattungsf\u00e4higer digitaler Gesundheitsanwendungen (DiGa) aufgenommen zu werden, muss das Fast-Track-Verfahren beim BfArM durchlaufen werden. Mit dem Digitale\u2013Versorgung\u2013und\u2013Pflege\u2013Modernisierungs\u2013Gesetz (DVPMG) kam in den entsprechenden Leitfaden die Anforderung hinein, dass Antragsteller einen Penetrationstest f\u00fcr ihre DiGa-Anwendung durchf\u00fchren lassen m\u00fcssen. <\/p>\n\n\n\n
Im DiGa-Leitfaden selbst findet man die konkreten Anforderungen an den eigentlichen Penetrationstest:<\/p>\n\n\n\n
Penetrationstests: Mit dem DVPMG wurde diese Anforderung f\u00fcr alle DiGA in die DiGAV aufgenommen. Die Sicherheit der Daten \u00fcber den gesamten Anwendungsprozess und alle erdenklichen Nutzungsszenarien hinweg sicherzustellen, ist essentielle Anforderung an DiGA.
Penetrationstests erm\u00f6glichen die Nachbildung m\u00f6glicher Angriffsmuster und k\u00f6nnen so dazu beitragen, Sicherheitsl\u00fccken aufzudecken. F\u00fcr die Produktversion, f\u00fcr die eine Aufnahme in das DiGA-Verzeichnis beantragt wird, muss f\u00fcr alle Komponenten ein Penetrationstest durchgef\u00fchrt worden sein. Diese Tests sind anforderungsbezogen zu wiederholen, z. B. wenn neue Schnittstellen in das Internet hinzukommen. Als Basis f\u00fcr die Testkonzeption sind das Durchf\u00fchrungskonzept f\u00fcr Penetrationstests des BSI sowie die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken heranzuziehen. Dem BfArM muss auf Verlangen ein Nachweis \u00fcber die Durchf\u00fchrung der entsprechenden Tests vorgelegt werden.<\/p>https:\/\/www.bfarm.de\/SharedDocs\/Downloads\/DE\/Medizinprodukte\/diga_leitfaden.pdf
(Stand: 18.03.2022)<\/cite><\/blockquote>\n\n\n\nIm Prinzip kann man die Anforderungen an einen DiGa-Pentest somit wie folgt zusammen fassen:<\/p>\n\n\n\n
- Durchf\u00fchrungskonzept f\u00fcr Penetrationstests des BSI<\/li>
- OWASP Top-10<\/li>
- f\u00fcr alle Komponenten <\/li>
- anforderungsbezogen zu wiederholen (z. B. neue Schnittstellen)<\/li><\/ul>\n\n\n\n
Jetzt hatte ich bereits mehrere Diskussionen mit Herstellern von DiGA-Apps, dass diese nur die eigentliche Mobile App (also in der Regel die iOS und die Android-Version) pr\u00fcfen lassen wollen. Nicht im Scope enthalten soll jedoch eine dahinterliegende API sein, \u00fcber die teilweise Business-Funktionalit\u00e4t realisiert wird, die Nutzer-Authentifizierung abwickelt und als zentraler Speicherort f\u00fcr Gesundheitsdaten dienen soll.<\/p>\n\n\n\n
Klar, eine „App“ und eine „API“ sind zwei unterschiedliche Dinge und die Verordnung spricht von digitalen Gesundheitsanwendungen (ergo Apps). Allerdings f\u00fchrt diese Auslegung der Verordnung nicht ans Ziel und ist einfach falsch. Der Penetrationstest soll „die Sicherheit der Daten \u00fcber den gesamten Anwendungsprozess“ hinweg sicherstellen und der Penetrationstest muss f\u00fcr „alle Komponenten“ durchgef\u00fchrt werden. Das hei\u00dft nat\u00fcrlich, dass auch Backend-Systeme und APIs im Hintergrund im Scope des Penetrationstest sind und nicht nur die eigentliche Mobile App aus dem Android- oder Apple-Store.<\/p>\n","protected":false},"excerpt":{"rendered":"
Um in das Verzeichnis erstattungsf\u00e4higer digitaler Gesundheitsanwendungen (DiGa) aufgenommen zu werden, muss das Fast-Track-Verfahren beim BfArM durchlaufen werden. Mit dem Digitale\u2013Versorgung\u2013und\u2013Pflege\u2013Modernisierungs\u2013Gesetz (DVPMG) kam in den entsprechenden Leitfaden die Anforderung hinein, dass Antragsteller einen Penetrationstest f\u00fcr ihre DiGa-Anwendung durchf\u00fchren lassen m\u00fcssen. Im DiGa-Leitfaden selbst findet man die konkreten Anforderungen an den eigentlichen Penetrationstest: Penetrationstests: Mit dem … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[250],"tags":[247,246,249,245,248],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3300","6":"format-standard","7":"category-regulatorik","8":"post_tag-android","9":"post_tag-diga","10":"post_tag-durchfuehrungskonzept-fuer-penetrationstests-bsi","11":"post_tag-ios","12":"post_tag-owasp-top-10"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3300"}],"version-history":[{"count":5,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3300\/revisions"}],"predecessor-version":[{"id":3305,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3300\/revisions\/3305"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}