Keine Daten- und Informationssicherheit bei der „App auf Rezept“?

DIGA II.

Die ersten beiden Digitalen Gesundheitsanwendungen (DiGA) sind seid Anfang Oktober 2020 im Verzeichnis der erstattungsfähigen DiGA. Damit haben 73 Millionen Versicherte in Deutschland die Möglichkeit das Behandlungs-Spektrum mit einer DiGA zu erweitern und sich diese von ihrem Arzt oder ihrer Ärztin verschreiben zu lassen. Das eröffnet vielfältige Möglichkeiten, um bei der Erkennung und Behandlung von Krankheiten oder einer selbstbestimmten gesundheitsförderlichen Lebensführung zu unterstützen.
DiGA sind Medizinprodukte mit einer medizinischen Zweckbestimmung. Die Aufnahme in das Verzeichnis der erstattungsfähigen DiGA erfolgt nur unter bestimmten Voraussetzung und wenn entsprechende Anforderungen erfüllt sind. Ist das der Fall, wird ein Antrag beim Bundesministerium für Arzneimittel und Medizinprodukte (BfArM) eingereicht und die App nach einer Prüfung der Herstellerangaben zugelassen.
Doch genau hier gibt es wohl Kritik: es gab gleich nach dem Medien-Echo, dass zwei DiGA nun Aufgenommen wurden, gleich eine Nachricht über Sicherheitslücken bei einer der beiden DiGA, nämlich Velibra (Handelsblatt vom 12.10.2020, Text von Julian Olk)*. Die Sicherheitslücken wurden von zwei IT-Sicherheitsexperten des Chaos Computer Clubs identifiziert.
Nun steht für mich die Frage im Raum: ist die Prüfung der Herstellerangaben über die DiGA beim BfArM überhaupt ausreichen und sollte das BfArM hier nicht auch das Produkt prüfen?
Eines ist klar – trotz der Meldung über eine Sicherheitslücke bei Velibra, die innerhalb von 12 Stunden und vor Produkt-Launch geschlossen wurde: DiGAs sind und werden in jeder nach vernünftigerweise vorhersehbaren Hinsicht sichere Medizinprodukte sein. Sofern die regulatorischen Anforderungen korrekt durchgeführt wurden und werden. Ein Punkt aus dem aktuellen Fall ist die Auflistung von Namen und eMail-Adressen anderer Nutzer – so etwas ist gravierend. Ein solches Szenario ist aber nach § 4 Absatz 6 DiGAV (Punkte 16-18 bei Kapitel Datensicherheit im Fragebogen) abgedeckt und dürfte nicht passieren. Eine andere Sicherheitslücke war der Code zum Zurücksetzen durch die Passwort-zurücksetzen-Funktion. Dieser wäre wohl zu kurz. Hierzu sind die Punkte 24 und 25 sowie 31 DiGAV (Kapitel Datensicherheit im Fragebogen) als Sicherheitsmaßnahmen auszulegen, denn hier wird Abgefragt, ob Protokollierungsdaten automatisiert ausgewertet werden und

sicherheitsrelevante Ereignisse proaktiv verhindert werden und ob ein geeignetes Berechtigungsmanagement (Zugriffbeschränkungen) vorliegt.
Das BfArM könnte stichprobenartig die Medizinprodukte überprüfen und sich Expertise von Top-Experten für Datensicherheit holen. Doch vielleicht genügt bereits die Forderung des Nachweises einschlägiger Zertifikate wie nach § 7 DiGAV gefordert? Denn Hersteller könnten sich nach ISO 27000 zertifizieren und beispielsweise die Entwicklung ihrer Produkte, konform zum BSI Standard 200-1 und 200-2, zertifizieren lassen.
Dr. Thorsten Prinz, Regulatory Consultant Medical Software vom Verband der Elektrotechnik, Elektronik Informationstechnik e.V.(VDE, www.vde.de ) kommentierte:
„Das finde ich insofern interessant als das die Technische Richtlinie BSI TR-03161 teilweise schwer umzusetzende Anforderungen enthält (z.B. 2FA, die auch erneut erfolgen muss, wenn die App in den Hintergrund geschoben wird).
Warum wurde hier überhaupt eine neue Richtlinie veröffentlicht? Erstens gibt es bekanntlich die Cybersecurity-Anforderungen aus der Guidance MDCG 2019-16 die von MP-Herstellern sowieso erfüllt werden müssen. Zweitens stehen die neuen Cybersecurity-Normen für Medizinprodukte, nämlich die IEC TR 60601-4-5: Medical electrical equipment – Part 4-5 Guidance and interpretation – Safety related technical security specifications for medical devices und die IEC 80001-5-1: Safety, security and effectiveness in the implementation and use of connected medical devices or connected health
software – Part 5-1: Security – Activities in the product lifecycle, kurz vor der Fertigstellung.“
Das ist ein valider Punkt, den man durch aus diskutieren kann. Denn auch wenn die IEC TR 60601-4-5 und die IEC 81001-5-1 zum Zeitpunkt des in Kraftretens der Digitalen Gesundheitsverordnung (DGV) noch nicht final waren so „…aber die zugrundeliegenden Normen aus der Reihe IEC 62443 existieren schon länger und sind von FDA anerkannt. Hersteller können ihre Produkte bzgl. der Normenkonformität zertifizieren lassen […].“
Jedenfalls ist die Idee und das Konzept „App auf Rezept“ nicht anhand dieses bedauerlichen Vorfalls zu bewertet. Digitale Gesundheitsanwendungen werden zur Regel werden. Denn sie haben einen positiven Versorgungseffekte, diese wurde evidenzbasiert anhand vergleichender Studien nachgewiesen. DiGAs sind für die Pantienten und sollen auch zusammen mit diesen den Arzt/ die Ärtzin unterstützen.

*https://amp2-handelsblatt-com.cdn.ampproject.org/c/s/amp2.handelsblatt.com/politik/deutschland/trotz-behoerdlicher-pruefung-die-erste-deutsche-app-auf-rezept-weist-sicherheitsmaengel-auf/26261522.html

News rund um die MDR

Unser kostenloser Newsletter

Bleiben Sie informiert!

Anmelden Abmelden

Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden oder Ihre Einwilligung jederzeit per E-Mail an info@mec-abc.de widerrufen. Ihre Daten werden nach Beendigung des Newsletter-Empfangs innerhalb von 1 Monat gelöscht, sofern der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.

Sollte die Mail nicht in Ihrem Posteingang zu finden sein, kontrollieren Sie bitte auch Ihren Spamordner.

Nur für kurze Zeit: Unser kostenloses Whitepaper
Overview of requirements under the MDR 2017/745 with focus on clinical evaluation of medical devices

Bitte füllen Sie die erforderlichen Formularfelder aus. Anschließend erhalten Sie umgehend einen Link, um das Whitepaper kostenlos herunterzuladen.

Ich bin damit einverstanden, dass meine personenbezogenen Daten gemäß der Datenschutzerklärung verarbeitet werden.