Wie sicher sind Apps auf Rezept?

19. November 2020

Die Gesundheitsversorgung wird digitaler: Seit Anfang Oktober können Ärzte neben Tabletten, Therapien und Prothesen auch bestimmte Apps verschreiben. Welche Voraussetzungen erfüllt sein müssen, damit eine Medizin-App von der Krankenkasse übernommen wird, und wie es um die Sicherheit der Anwendungen bestellt ist, erklärt Tobias Kippert von TÜViT.

Welche Apps gibt es denn seit Oktober auf Rezept? 

Tobias Kippert: Die Krankenkassen übernehmen nun all jene Apps, die vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nach einer Prüfung in das sogenannte „DiGA“-Verzeichnis “ aufgenommen worden sind. „DiGA“ steht dabei kurz für „digitale Gesundheitsanwendung“.

Bislang sind fünf Apps und Webanwendungen in diesem DiGA-Verzeichnis gelistet. Sie wenden sich an Menschen, die etwa mit Tinnitus, Schlaflosigkeit, Adipositas, Panikstörungen oder Arthrose zu kämpfen haben. Grundsätzlich können alle Anwendungen, die bei psychischen oder physischen Problemen helfen und die gesetzlichen Anforderungen erfüllen, in dieses Verzeichnis aufgenommen werden.

Und was sind die konkreten Voraussetzungen dafür, dass eine App als „digitale Gesundheitsanwendung“ anerkannt wird?

Die erste Voraussetzung ist, dass die Anwendung bereits als Medizinprodukt CE-zertifiziert worden ist. Der Hersteller muss dann einen Antrag beim Bundesinstitut für Arzneimittel und Medizinprodukte stellen. Anhand dieser Selbstauskunft und der eingereichten Unterlagen überprüft das BfArM innerhalb von drei Monaten, ob die App die in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) festgelegten Anforderungen an Sicherheit, Funktionstauglichkeit, Datenschutz, Informationssicherheit, Qualität und Interoperabilität erfüllt.

Zusätzlich muss der Hersteller für die Anwendung auch „positive Versorgungseffekte“ nachweisen. Er muss also belegen, dass die App tatsächlich medizinisch wirksam ist. Hat er noch keine entsprechenden Studien durchgeführt, aber alle anderen Anforderungen erfüllt, kann er auch eine vorläufige Aufnahme beantragen. Die notwendigen Studien müssen dann innerhalb eines Jahres nachgereicht werden. In Ausnahmefällen kann diese Frist auch noch einmal verlängert werden.

Wie werden Datenschutz und Datensicherheit der Apps überprüft?

Wie für alle anderen Anforderungen muss der Antragsteller im Rahmen der DiGA-Verordnung in einer Selbsterklärung Angaben zum Datenschutz und zur Datensicherheit machen. Diese Erklärung wird dann vom BfArM auf Plausibilität geprüft. Das Bundesinstitut kann sich also ausschließlich auf die Angaben der Hersteller stützen und führt keine eigenen Prüfungen zur Sicherheit und zum Datenschutz durch. Ob die Apps tatsächlich so sicher sind wie behauptet, lässt sich damit nicht abschließend nachweisen.

Tatsächlich haben IT-Sicherheitsforscher sich bereits einige dieser Apps genauer angeschaut und dabei Schwachstellen entdeckt. So konnten sie über die „Passwort vergessen“-Funktion beispielsweise ermitteln, ob eine bestimmte E-Mail-Adresse auf der Plattform für Patienten mit Angststörungen registriert war, und dadurch Rückschlüsse auf entsprechende psychische Probleme ziehen.

Hinzu kommt, dass der Code, der an die jeweilige Mail-Adresse zwecks Zurücksetzung geschickt wurde, nur vier Zeichen lang und 24 Stunden gültig war. Durch das automatische Durchprobieren vieler verschiedener Codes wäre es dadurch möglich gewesen, das Passwort zu ändern und den Account zu übernehmen.

Der Hersteller hat dieses Problem nach eigenen Angaben zwar zwischenzeitlich behoben. Aber solche Negativmeldungen können das Vertrauen der Bevölkerung in diese digitalen Gesundheitsanwendungen natürlich empfindlich beschädigen. 

Wie lässt sich diesem Problem gegensteuern?

Zum Beispiel mittels Prüfung durch einen unabhängigen Dritten. Bestenfalls wird die App dabei in einem Penetrationstest auf die Probe gestellt, um mögliche Schwachstellen bei der Datensicherheit aufzudecken und im Nachgang zu beheben. Eine generelle Überprüfung der Maßnahmen zur Datensicherheit und zum Datenschutz bietet sich ebenfalls an.

Für Start-ups, die diese Apps ja häufig entwickeln, können solche aufwendigen Tests natürlich finanziell eine große Hürde sein. Aber auch sie können etwa ihre Selbsterklärung für den Antrag beim BfArM durch einen unabhängigen Dritten begutachten lassen. Da der Fragebogen für die Selbsterklärung sehr detailliert gegliedert ist, kann man auf dieser Basis auch ein sogenanntes Audit beim App-Hersteller durchführen.

Zumindest die Datensicherheit muss voraussichtlich ab Januar 2022 durch ein ISMS-Zertifikat nachgewiesen werden. App-Hersteller sollten aber jetzt schon Experten für IT-Sicherheit hinzuziehen, um einen Vertrauensverlust durch mögliche Sicherheitslücken von vornherein zu verhindern und gut auf eine ISMS-Zertifizierung vorbereitet zu sein.