Keine Daten- und Informationssicherheit bei der „App auf Rezept“?

Die ersten beiden Digitalen Gesundheitsanwendungen (DiGA) sind seid Anfang Oktober 2020 im Verzeichnis der erstattungsfähigen DiGA. Damit haben 73 Millionen Versicherte in Deutschland die Möglichkeit das Behandlungs-Spektrum mit einer DiGA zu erweitern und sich diese von ihrem Arzt oder ihrer Ärztin verschreiben zu lassen. Das eröffnet vielfältige Möglichkeiten, um bei der Erkennung und Behandlung von Krankheiten oder einer selbstbestimmten gesundheitsförderlichen Lebensführung zu unterstützen.
DiGA sind Medizinprodukte mit einer medizinischen Zweckbestimmung. Die Aufnahme in das Verzeichnis der erstattungsfähigen DiGA erfolgt nur unter bestimmten Voraussetzung und wenn entsprechende Anforderungen erfüllt sind. Ist das der Fall, wird ein Antrag beim Bundesministerium für Arzneimittel und Medizinprodukte (BfArM) eingereicht und die App nach einer Prüfung der Herstellerangaben zugelassen.
Doch genau hier gibt es wohl Kritik: es gab gleich nach dem Medien-Echo, dass zwei DiGA nun Aufgenommen wurden, gleich eine Nachricht über Sicherheitslücken bei einer der beiden DiGA, nämlich Velibra (Handelsblatt vom 12.10.2020, Text von Julian Olk)*. Die Sicherheitslücken wurden von zwei IT-Sicherheitsexperten des Chaos Computer Clubs identifiziert.
Nun steht für mich die Frage im Raum: ist die Prüfung der Herstellerangaben über die DiGA beim BfArM überhaupt ausreichen und sollte das BfArM hier nicht auch das Produkt prüfen?
Eines ist klar – trotz der Meldung über eine Sicherheitslücke bei Velibra, die innerhalb von 12 Stunden und vor Produkt-Launch geschlossen wurde: DiGAs sind und werden in jeder nach vernünftigerweise vorhersehbaren Hinsicht sichere Medizinprodukte sein. Sofern die regulatorischen Anforderungen korrekt durchgeführt wurden und werden. Ein Punkt aus dem aktuellen Fall ist die Auflistung von Namen und eMail-Adressen anderer Nutzer – so etwas ist gravierend. Ein solches Szenario ist aber nach § 4 Absatz 6 DiGAV (Punkte 16-18 bei Kapitel Datensicherheit im Fragebogen) abgedeckt und dürfte nicht passieren. Eine andere Sicherheitslücke war der Code zum Zurücksetzen durch die Passwort-zurücksetzen-Funktion. Dieser wäre wohl zu kurz. Hierzu sind die Punkte 24 und 25 sowie 31 DiGAV (Kapitel Datensicherheit im Fragebogen) als Sicherheitsmaßnahmen auszulegen, denn hier wird Abgefragt, ob Protokollierungsdaten automatisiert ausgewertet werden und

sicherheitsrelevante Ereignisse proaktiv verhindert werden und ob ein geeignetes Berechtigungsmanagement (Zugriffbeschränkungen) vorliegt.
Das BfArM könnte stichprobenartig die Medizinprodukte überprüfen und sich Expertise von Top-Experten für Datensicherheit holen. Doch vielleicht genügt bereits die Forderung des Nachweises einschlägiger Zertifikate wie nach § 7 DiGAV gefordert? Denn Hersteller könnten sich nach ISO 27000 zertifizieren und beispielsweise die Entwicklung ihrer Produkte, konform zum BSI Standard 200-1 und 200-2, zertifizieren lassen.
Dr. Thorsten Prinz, Regulatory Consultant Medical Software vom Verband der Elektrotechnik, Elektronik Informationstechnik e.V.(VDE, www.vde.de ) kommentierte:
„Das finde ich insofern interessant als das die Technische Richtlinie BSI TR-03161 teilweise schwer umzusetzende Anforderungen enthält (z.B. 2FA, die auch erneut erfolgen muss, wenn die App in den Hintergrund geschoben wird).
Warum wurde hier überhaupt eine neue Richtlinie veröffentlicht? Erstens gibt es bekanntlich die Cybersecurity-Anforderungen aus der Guidance MDCG 2019-16 die von MP-Herstellern sowieso erfüllt werden müssen. Zweitens stehen die neuen Cybersecurity-Normen für Medizinprodukte, nämlich die IEC TR 60601-4-5: Medical electrical equipment – Part 4-5 Guidance and interpretation – Safety related technical security specifications for medical devices und die IEC 80001-5-1: Safety, security and effectiveness in the implementation and use of connected medical devices or connected health
software – Part 5-1: Security – Activities in the product lifecycle, kurz vor der Fertigstellung.“
Das ist ein valider Punkt, den man durch aus diskutieren kann. Denn auch wenn die IEC TR 60601-4-5 und die IEC 81001-5-1 zum Zeitpunkt des in Kraftretens der Digitalen Gesundheitsverordnung (DGV) noch nicht final waren so „…aber die zugrundeliegenden Normen aus der Reihe IEC 62443 existieren schon länger und sind von FDA anerkannt. Hersteller können ihre Produkte bzgl. der Normenkonformität zertifizieren lassen […].“
Jedenfalls ist die Idee und das Konzept „App auf Rezept“ nicht anhand dieses bedauerlichen Vorfalls zu bewertet. Digitale Gesundheitsanwendungen werden zur Regel werden. Denn sie haben einen positiven Versorgungseffekte, diese wurde evidenzbasiert anhand vergleichender Studien nachgewiesen. DiGAs sind für die Pantienten und sollen auch zusammen mit diesen den Arzt/ die Ärtzin unterstützen.

*https://amp2-handelsblatt-com.cdn.ampproject.org/c/s/amp2.handelsblatt.com/politik/deutschland/trotz-behoerdlicher-pruefung-die-erste-deutsche-app-auf-rezept-weist-sicherheitsmaengel-auf/26261522.html