Gegenstand der Technischen Richtlinie

Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH].

Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern.

Zielsetzung der Technischen Richtlinie

Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt.

Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.

Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben.

Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen.

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

Biometrie bei mobilen Gesundheitsanwendungen

Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Endgeräten (u. a. Smartphones) für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Whitelisting-Prozess für diese Endgeräte mit integrierten biometrischen Authentifikationssystemen (Gesichts- und Fingerbiometrie) eingeführt. Die Anforderungen für Prüfverfahren innerhalb dieses Whitelisting-Prozesses werden in der Technischen Richtlinie BSI TR-03161-1 (Anhang C) definiert.

Auf Basis einer Marktanalyse wurden jene Hersteller mobiler Endgeräte mit einem signifikanten Anteil am deutschen Markt ermittelt und über den Prozess zur Aufnahme auf die Whitelist und über die Anforderungen für die Verwendung von biometrischen Authentifizierungsverfahren nach BSI TR-03161-1 informiert und zur Teilnahme aufgerufen. Die Informationen wurden zeitgleich allen weiteren potentiellen Interessenten auf der Internetpräsenz des BSI zur Verfügung gestellt.

Hersteller von Endgeräten, die an einer Aufnahme ihrer Geräte auf die Whitelist interessiert waren, wurden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge wurde eine vom BSI angefertigte Liste mit prüfungsrelevanten Artefakt-Materialien den Herstellern zur Verfügung gestellt. Das BSI stand jederzeit für Rückfragen bezüglich der Prüfanforderungen und zum Prüfprozess zur Verfügung. Die gesamte Kommunikation zwischen Hersteller und BSI wurde vertraulich behandelt.

Für die Teilnahme am Whitelisting-Prozess wurde der Hersteller aufgefordert:

1. mittels einer Herstellererklärung die Einhaltung der BSI TR-03161-1-Anforderungen zu bestätigen und
2. eine Dokumentation der Hersteller-Prüfung nach BSI TR-03161-1 zu liefern.

Herstellererklärung und Dokumentation der Hersteller-Prüfung wurden daraufhin vom BSI auf Plausibilität geprüft. Darüber hinaus behielt sich das BSI vor, eine stichprobenartige praktische Prüfung der Endgeräte durchzuführen, darunter insbesondere ein Test der Funktionalität zur Detektion von Angriffen mit gefälschten biometrischen Merkmalen (englisch: Presentation Attack Detection - PAD). Im Rahmen der PAD-Funktionalitäts-Prüfung wurde vom BSI ermittelt, ob mittels einfacher und in der Öffentlichkeit bekannter Angriffs-Methoden, die den notwendigen Sicherheitsanforderungen entsprechend ausgewählt wurden, eine erfolgreiche biometrische Authentifizierung auf dem Endgerät beziehungsweise für die mobilen Anwendungen im Gesundheitswesen möglich ist und somit ein unberechtigter Zugriff auf die sensiblen Gesundheitsdaten gestattet wird. Wenn ein solcher Fälschungsangriff auf einem Endgerät wiederholbar erfolgreich war, wurde dieses Gerät nicht auf die Whitelist gesetzt.

Basierend auf der bisherigen Herstellerbeteiligung und den im BSI durchgeführten Prüfungen, liegen dem BSI zum jetzigen Zeitpunkt keine angemeldeten Endgeräte vor, deren biometrische Verfahren zur Nutzerauthentifizierung die Sicherheitsanforderungen des BSI für Anwendungen im Gesundheitswesen gemäß der Technischen Richtlinie BSI TR-03161-1 (Anhang C) erfüllen.