„Sichere Apps auf Rezept gibt es nicht“

Heidelberg. Ein Sicherheitszertifikat sagt nichts über die Datensicherheit einer App auf Rezept aus – so lautete am Donnerstag das laue Fazit des IT-Spezialisten Martin Tschirsich bei der „DiGA-Sprechstunde“ des health innovation hub (hih) in den Räumen des Deutschen Krebsforschungszentrums in Heidelberg.

Tschirsich sorgte zuletzt für Aufsehen, als er als Mitglied des Chaos Computer Clubs für einen kurzfristigen Ausgabestopp der elektronischen Arztausweise sorgte, nachdem er Sicherheitslücken in der Telematikinfrastruktur bemängelt hatte.

Knackpunkt Datensicherheit

Wie im Falle der TI, seien die Entwicklungsprozesse der Knackpunkt bei der Datensicherheit einer Digitalen Gesundheitsanwendung (DiGA), die Ärzte voraussichtlich ab Sommer 2020 ihren Patienten auf Kassenkosten verordnen können.

„Ein Penetrationstest sagt nur etwas darüber aus, was der Tester zu einem bestimmten Zeitpunkt bei einer DiGA gefunden hat, sonst nichts“, warnte Tschirsich die zahlreichen Vertreter von DiGA-Start-ups in den Reihen des Auditoriums.

Entwickler müssen Sicherheitsfrage stellen

Vielmehr sollten die Entwickler an sichere Prozessschritte denken – und die Sicherheit im simulierten Falle eines Hackerangriffs auch testen.

Den DiGA-Nutzern - Patienten wie auch Ärzten - gegenüber hält Tschirsich es für ratsam, höchstmögliche Transparenz zu leben. „Sagen Sie,Ihre Anwendung ist nicht hundertprozentig sicher. Aber weisen Sie auf Ihr Risikomanagement hin, wie zum Beispiel die verschlüsselte Datenspeicherung, sollte das Smartphone mit der DiGA abhanden kommen.“

DiGAV sorgt nicht für höchste Sicherheit

Die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) sei auch nicht das richtige Instrument, um für höchste Sicherheit zu sorgen, so Tschirsich. App-Hersteller forderte er auf, immer wieder zu überprüfen, ob im Sinne der DiGAV meldepflichtige Änderungen der betreffenden Lösungen nicht nur deren Funktionalität, sondern auch die Datensicherheit beträfen.