Gegenstand der Technischen Richtlinie

Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH].

Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern.

Zielsetzung der Technischen Richtlinie

Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt.

Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.

Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben.

Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen.

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme