Get a demo
Neue BSI-Datensicherheitsprüfung für Gesundheits-App-Hersteller

Android-Mobilesicherheit, App-Shielding

Neue BSI-Datensicherheitsprüfung für Gesundheits-App-Hersteller

By Sven Klüver August 20, 2024 09:40 am

Ab dem 01. Januar 2025 müssen Anbieter digitaler Gesundheitsanwendungen (DIGAs) auf dem deutschen Markt nachweisen, dass Ihre Apps die neuen BSI-Anforderungen an Datensicherheit erfüllen. Dies geht aus dem Beschlusspapier der Datenschutzkonferenz (DSK) zu cloudbasierten digitalen Gesundheitsanwendungen hervor.

Das neue Prüfverfahren wurde vom bisherigen „Fast Track“ Verfahren entkoppelt. Anbieter sollten die Implementierung der geforderten Sicherheitsanforderungen daher frühzeitig einplanen. Hierdurch entsteht für viele Hersteller ein zusätzlicher Aufwand, besonders im Bereich der App Härtung gegen Reverse Engineering und Manipulation zur Laufzeit. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) sieht in der neuen Vorschrift eine Verbesserung der Datensicherheit von DIGAs und verspricht sich dadurch die Akzeptanz bei Ärzten und Patienten zu steigern.

Möchten Sie mit einem Experten über App-Shielding und BSI-Konformität sprechen? Kontaktieren Sie uns für ein unverbindliches Gespräch und eine App-Bewertung.

Was ist neu? App Datensicherheit nach dem „Stand der Technik“ wird endlich konkret

Alle bestehenden, aber auch künftigen DiGA-Apps müssen nachweisen, dass Ihre Apps die neuen Anforderungen an Datensicherheit erfüllen. Der Countdown läuft, eine Umsetzung bis zum 01. Januar 2025 ist Pflicht.

Bislang war die Prüfung der Datensicherheit Bestandteil des Fast-Track-Verfahrens vom BfArM. Das BfArM überprüfte dabei innerhalb von 3 Monaten alle herstellerseitigen Angaben zur DiGA, auch in Punkto Datensicherheit. Jetzt tritt, darüber hinaus, das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Plan. Das BSI legt regelmäßig nachzuweisende Anforderungen an die Datensicherheit fest und ist dabei eng abgestimmt mit dem BfArM, sowie Bundesbeauftragten für Datenschutz und Informationsfreiheit. Gemeinsam wurde ein neues Prüfverfahren entwickelt, das zeitlich und technisch entkoppelt ist vom Fast-Track-Verfahren des BfArM.

Alle DiGA-Hersteller müssen das neue Prüfverfahren durchlaufen, um die nötigen Nachweise zu erbringen und entsprechende Zertifikate zu erhalten.

Umfang der Anforderung im neuen Prüfverfahren

Das BSI hat für das neue Prüfverfahren von DiGAs technische Richtlinien herausgegeben, die verschiedene Komponenten der Anwendung abdecken:

  • Teil 1: Mobile Anwendungen
  • Teil 2: Webanwendungen
  • Teil 3: Hintergrundsysteme

Mobile Anwendungen haben mit rund 67% Anteil am DiGA-Angebot eine erhöhte Relevanz für die meisten Hersteller. Die Prüfung von mobilen Anwendungen ist unterteilt in elf Gruppen von Prüfaspekten. Für jeden Prüfaspekt sind Muss-, Soll- und Kann-Anforderungen definiert. Die Richtlinie beschreibt zudem, welche Prüfschritte von einem BSI-akkreditieren Prüfer durchzuführen sind, um ein Zertifikat erteilen zu können.

Die Prüfschritte werden dabei nochmals unterteilt nach „Check“ und „Examine“. Bei einem „Check“ handelt es sich um eine Plausibilisierung der Angaben des Herstellers durch den BSI-Prüfer. Hierzu reicht meist der Sachverstand des BSI-Prüfers, der die bereitgestellte Dokumentation des Herstellers auditiert und bewertet. Bei „Examine“ muss neben der Plausibilisierung auch ein Penetrationstest vom BSI-Prüfer durchgeführt werden, um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen.

Dieser Prüfaspekt hat es in sich: Resilienz von mobilen Gesundheitsanwendungen

Eine neue und besondere Herausforderung für Entwickler von DiGAs sollte der Prüfaspekt 11 der Technische Richtlinie TR-03161 vom BSI darstellen. Hier geht es darum, dass die DiGA über besondere zusätzliche Härtungsmaßnahmen verfügt, die weit über Standardsicherheit wie Verschlüsselung, Authentifizierung oder die Verwendung von sicheren Zertifikaten in der Client-Server Kommunikation hinausgehen.

Diese Härtungsmaßnahmen haben das Ziel, die DiGA gegen mobiles spezifisches Reverse-Engineering und Manipulations-Bedrohungen auf den Plattformen Android und iOS zu schützen.

Diese App Härtungsmaßnahmen müssen im Pentest durch einen BSI-Prüfer bestehen

    1. DiGA-App erkennt eine Manipulation des Betriebssystems (z.B. Root / Jailbreak) und reagiert angemessen darauf, bspw. durch eine Terminierung
    2. DiGA-App erkennt den Start in einer Debug / Entwicklungsumgebung und unterbindet dies
    3. DiGA-App erkennt den Start mit ungewöhnlichen Benutzer-Rechten
    4. DiGA-App läuft in einer sicheren Laufzeitumgebung, sprich prüft die Integrität des Endgerätes auf Betriebssystemsicherheit, Custom Firmware aber auch Hooking Frameworks
    5. DiGA-App schützt sich vor Man-in-the-Middle Angriffen und ist sicher vor dem Bypassing der Authentifizierung (Aushebeln des Zertifikats-Pinnings)
    6. DiGA-App führt eine Integritätsprüfung mit jedem Programmstart oder bei sensiblen Operationen durch
    7. DiGA-App Code ist obfuskiert durch starke Verschleierung sämtlicher Strings, Dateinamen, Klassen und Methoden der Anwendung die Hinweise auf den Programmablauf geben können

App Härtung gegen Reverse Engineering und Manipulation, keine leichte Aufgabe

Die Implementierung der beschriebenen Härtungsmaßnahmen stellt App-Entwickler erfahrungsgemäß vor große Herausforderungen. Einerseits weil ein spezielles Expertenwissen benötigt wird, anderseits weil es kaum geeignete Open-Source-Software dazu am Markt gibt. Hinzu kommt der Aufwand stetig auf dem Stand der Technik zu bleiben, da sich die Angriffswerkzeuge und Methoden zum Reverse Engineering und der Manipulation von mobilen Apps stetig weiterentwickeln.

Top 3 Bedenken von DiGA-Herstellern: Das hören wir häufig in Erstgesprächen

  1. Wir müssen die neuen Anforderungen zur App Härtung bis 1. Januar 2025 umsetzen, daran führt kein Weg vorbei - auch wenn wir überzeugt sind unsere DiGA ist sicher, weil wir bereits viel dafür in der Vergangenheit unternommen haben.
  2. Unsere App-Entwickler (intern/extern) haben nicht das Know-how, um die neuen Anforderungen so umzusetzen, sodass wir im Pentest bestehen. Wir haben die Option „App Härtung selbst entwickeln“ bewertet, und uns aus Kosten-Effizienz Gründen für den externen Weg entschieden.
  3. Wir haben uns bereits andere Lösungen neben Promon angesehen und sind damit nicht zufrieden, aus diesen 3 Gründen:
    • Implementierung ist sehr komplex und nimmt Monate in Anspruch, die Entwickler müssen geschult werden
    • Lösung wird nur als Cloudservice und nicht On-premise angeboten, wir wollen keine Datenverarbeitung außerhalb der EU, wenn vermeidbar
    • Lizenzkosten für die App-Härtung war viel zu teuer und stand nicht im Verhältnis zu unserem DiGA Business Model sowie unserer aktuellen Finanzierung

Herausforderung unkompliziert und schnell lösen mit Promon

Wir helfen Ihnen die BSI-Anforderungen rund um den Prüft Aspekt 11 „Resilienz“ zur mobile App Härtung gegen Reverse Engineering und Manipulation zu erfüllen – schnell, kosteneffizient und unkompliziert. Erfahren Sie in einem persönlichen und kostenfreien Erstgespräch mit unseren Experten, warum sich immer mehr DiGA-Hersteller für Promon entscheiden:

  • Faires und transparentes Preismodel, angepasst auf die Herausforderungen im DiGA-Markt
  • Anerkannte App Härtungstechnologie bei Penetrationstestern seit über 17 Jahren im deutschsprachigen Markt
  • Unterstützung im gesamten Prüfverfahren mit dem BSI (deutsch / englisch sprachig) durch fachkundige Experten
  • Einfachen Implementierung unser App-Härtung Promon Shield™ in die DiGA binnen Minuten
  • Kein negativer Einfluss auf die UX der DiGA-App
  • Beschleunigung des time to market

App-Shielding kann Bedrohungen für Gesundheits-Apps abwehren. Buchen Sie noch heute eine Demo, um zu erfahren, wie App-Shielding Ihre Apps schützen und die Einhaltung von Vorschriften unterstützen kann.

Get the inside scoop, app security news and more from Promon

Sign up to our newsletter