Search Icon
Elektroniknet Logo
Search Icon
Startseite > Medizintechnik > E-Health > Per BSI TR-03161 zur skalierbaren DiGA-Sicherheit

Datensicherheit ist jetzt verpflichtend

Per BSI TR-03161 zur skalierbaren DiGA-Sicherheit

21. Mai 2026, 09:53 Uhr | Von Manuel Baumann (uh)
Jede DiGA muss ausreichend vor Fremdzugriff und Manipulation geschützt sein, das BSI hat dafür umfangreiche, verpflichtende Anforderungen aufgestellt.
© Adobe Stock

Die 385 Anforderungen der BSI TR-03161 setzen Hersteller »Digitaler Gesundheitsanwendungen« (DiGA) unter Druck, viele kämpfen mit der Umsetzung. Die Abnehm-DiGA Oviva machte aus der regulatorischen Pflicht einen Wettbewerbsvorteil, der Skalierung und Patientensicherheit mit Effizienz verbindet.

Diesen Artikel anhören

Seit Anfang des Jahres gilt für digitale Gesundheitsanwendungen in Deutschland eine neue technische Richtlinie: Die BSI TR-03161 definiert Mindeststandards für die Datensicherheit, die verpflichtend nachzuweisen sind. Die Regelung ist in § 139e Abs. 10 SGB V verankert. Die Abnehm-App Oviva, 2024 die meistverschriebene DiGA Deutschlands, entschied sich früh für einen strategischen Ansatz: Nicht einzelne Anwendungen, sondern die gesamte DiGA-Plattform sollte TR-03161-konform zertifiziert werden.

Auf einen Blick – BSI TR-03161

Die technische Richtlinie des BSI gliedert sich in drei Teile: Mobile Apps, Web-Apps und Hintergrundsysteme. Seit dem 1. Januar 2025 ist die Zertifizierung für DiGA verpflichtend. Das Zertifikat gilt fünf Jahre für die geprüfte Version. Bei Änderungen ist eine Re-Zertifizierung nötig. Insgesamt müssen 385 Anforderungen erfüllt werden. Zentrale Vorgabe: Zwei-Faktor-Authentifizierung mit Faktoren aus unterschiedlichen Kategorien (Wissen, Besitz, Inhärenz). Die Richtlinie ­reagiert auf den hohen Schutzbedarf sensibler Gesundheitsdaten: Insgesamt sind 385 Einzel­anforderungen zu erfüllen – von kryptografischen Standards über Logging-Mechanismen bis hin zu Identity & Access Management. Die Prüfung erfolgt durch akkreditierte Stellen wie TÜVIT, PwC oder SRC Security und umfasst Quellcode-Analysen, Penetrationstests sowie Prozess-Audits.

Plattform-Strategie als Vorteil

Der entscheidende Unterschied in Ovivas Vorgehen liegt in der Architektur. Statt jede DiGA einzeln zertifizieren zu lassen, wurde eine zentrale Plattform aufgebaut, die sämtliche Anforderungen der TR-03161 erfüllt. Das Ziel: eine sichere und skalierbare Infrastruktur schaffen, auf der perspektivisch beliebig viele DiGA betrieben werden können.

Der Vorteil zeigt sich im Zertifizierungsprozess: Das Prüflabor TÜV-IT prüfte die Plattform einmal umfassend. Für jede weitere DiGA wird anschließend ein Prüfbericht erstellt, der auf der bereits zertifizierten Infrastruktur aufsetzt. Technische, regulatorische und finanzielle Aufwände reduzieren sich so erheblich. Neue DiGA können bei gleichbleibend hohem Sicherheitsniveau schneller in die Versorgung kommen.

Architektonisch erforderte dies vollständige Kontrolle über sicherheitskritische Kernkomponenten wie den Identity Provider. Während andere Hersteller für jede neue DiGA erneut den kompletten Zertifizierungsprozess durchlaufen müssen, nutzt Oviva den strukturellen Zeit- und Kostenvorteil.

Identity & Access Management

Die größte technische Herausforderung lag im Bereich Identity & Access Management, also der sicheren Verwaltung digitaler Identitäten und Zugriffsrechte. Die TR-03161 fordert starke Authentifizierungsmechanismen, die mehrere Faktoren kombinieren: Gerätebindung, Biometrie oder vergleichbar sichere Verfahren.

Kurz erklärt – Identity & Access Management

Patientendaten erfordern höchsten Schutz. Das IAM umfasst dabei die Verwaltung digitaler Identitäten und Zugriffsrechte. Die TR-03161 fordert Authentifizierungsverfahren, die mehrere Faktoren kombinieren: Wissen (Passwort), Besitz (Smartphone) oder Inhärenz (Biometrie). Ein wirksames IAM stellt sicher, dass nur berechtigte Personen Zugriff erhalten und jeder Zugriff nachvollziehbar dokumentiert wird.

Die bestehende Authentifizierungsarchitektur von Oviva genügte diesen Anforderungen nicht, es musste eine vollständig neue Authentifizierung entwickelt werden: Der bisherige Identity Provider wurde ersetzt, Systeme konsequent gehärtet und moderne kryptografische Algorithmen implementiert. Diese Änderungen betrafen nicht nur die mobilen Apps, sondern die gesamte Backend-Infrastruktur.

Das Projekt erstreckte sich über nahezu ein Jahr und band mehrere cross-funktionale Teams ein: Engineering, Product & Design, Security sowie externe Berater. Als Prüflabor fungierte TÜVIT, bei der Interpretation komplexer Anforderungen unterstützte fBeta. Der finanzielle Aufwand belief sich auf rund sieben Millionen Euro – eine Investition, die die Dimension verdeutlicht.

Sicherheit versus Nutzerfreundlichkeit

Besonders kontrovers werden aktuell die verpflichtende Zwei-Faktor-Authentifizierung und die spezifischen Anforderungen an die Faktoren wie die Zeichenlänge bei Passwörtern diskutiert. Oviva entschied sich für eine Lösung auf Basis von Gerätebindung in Kombination mit Biometrie oder System-PIN (Bild 1) – bewusst ohne SMS-TAN, was als unsicherer gilt.

Trotz intensiver Nutzertests und optimierter Nutzerführung waren Einschnitte in der User Experience unvermeidbar:

  • Nutzer, die ihr Gerät verlieren, laufen Gefahr, den Zugang zu ihren Daten nicht wiederherstellen zu können

  • Ältere Geräte oder bestimmte Android-Versionen werden nicht mehr unterstützt

  • Eine erneute Authentifizierung ist alle 30 Minuten erforderlich

Bild 1. Die Zwei-Faktor-Authentifizierung kombiniert Gerätebindung mit Biometrie. Nutzer werden schrittweise durch den Prozess geführt.

Bild 1. Die Zwei-Faktor-Authentifizierung

kombiniert Gerätebindung mit Biometrie.

Nutzer werden schrittweise durch den

Prozess geführt.

© Oviva

Mit diesen Maßnahmen könnten geschätzt etwa 10 bis 20 Prozent der Patienten ihren Zugang verlieren, beispielsweise weil sie Biometrie ablehnen oder die technischen Voraussetzungen nicht erfüllen. Höhere Sicherheit bedeutet in diesem Fall weniger Inklusion.

Auch funktional waren Anpassungen nötig: Die Registrierung wurde vollständig neu aufgebaut, Screenshots deaktiviert, Copy-&-Paste-Funktionen entfernt und einfache Login-Methoden gestrichen. Innerhalb der engen regulatorischen Vorgaben die nutzerfreundlichste und zugleich sicherste Lösung zu finden, war ein stetiger Balanceakt.

Drei Audit-Phasen bis zum Zertifikat

Der Zertifizierungsprozess (Bild 2) verläuft über drei Phasen: In der Vorbereitungsphase implementiert das Entwicklerteam die BSI-Vorgaben. Die Dauer hängt von vielen Faktoren ab – Kompetenz der Entwickler, Zustand und Umfang des Systems, verfügbare Ressourcen. In der Prüfphase untersucht das Prüflabor Unterlagen, Produkt­zugänge und Quellcode. Bis der Prüf­bericht vorliegt, dauert es – optimistisch geschätzt – mindestens vier bis sechs Wochen. In der Zertifizierungsphase evaluiert die Zertifizierungsstelle des BSI den Prüfbericht. Offiziell dauert dies drei Wochen, realistisch sollten sechs Wochen eingeplant werden.

Sicherheitsupdate für die Gesundheits-App: Nicht jeder User wird es verstehen, machen müssen es alle.

Sicherheitsupdate für die Gesundheits-App: Nicht jeder User wird es verstehen oder auch können, machen müssen es alle.

© Oviva

Mehrfache Rückfragen und Nachbesserungen seitens BSI und Prüfstelle waren bei Oviva Teil des Projekts. Eine besondere Herausforderung: Die Auslegung einzelner Anforderungen – insbesondere im Bereich Authentifizierungsfaktoren – veränderte sich während des Audits. Die Abstimmung zwischen BSI, Prüflaboren und Herstellern wurde komplizierter als gedacht.

Die Prüfung umfasste aktive Penetrationstests, statische und dynamische Quellcode-Analysen sowie umfassende Prozessprüfungen. Zu den entscheidenden Erfolgsfaktoren zählten eine sehr detaillierte Dokumentation sowie eine enge, frühzeitige Zusammenarbeit zwischen Engineering-, Security- und Produkt-Teams.

Empfehlungen für DiGA-Hersteller

Für DiGA-Hersteller lassen sich daraus mehrere Empfehlungen und Learnings ableiten:

Früh beginnen: Viele Hersteller unterschätzen die Vorlaufzeit und geraten in Zeitdruck. Von Beginn an sollte daher eine cross-funktionale Task Force aus Engineering, Security, Product und Compliance zusammengestellt werden.

  • GAP-Analyse durchführen: Eine systematische Analyse zeigt frühzeitig, welche Lücken geschlossen werden müssen. Nicht jede bestehende Architektur ist TR-03161-fähig. Manche Systeme müssen grundlegend umgebaut werden.

  • Patientenperspektive wahren: Vermeintlich einfache Lösungen ­können langfristig schaden. Das Wohlwollen der Patienten ist schnell verspielt.

  • Detailtreue sicherstellen: Der Prüflabor-Bericht muss präzise und vollständig sein. Ungenaue Dokumentation führt zu Rückfragen und verlängert den Prozess erheblich.

Warum viele Hersteller dennoch kämpfen, hat mehrere Gründe: Bestimmte Architekturen lassen sich nur schwer zertifizieren. Nicht jedes Unternehmen kann Investitionen in Millionenhöhe stemmen. Spezialisierte Security-Expertise fehlt häufig.

Kritik und Ausblick

Obwohl die Anforderungen der BSI TR-03161 auch positiv genutzt werden können, stößt die Richtlinie unter den DiGA-Herstellern auf deutliche Kritik. Häufig genannte Punkte sind Einschränkungen bei der Benutzerfreundlichkeit durch mehrstufige Sicherheitsmechanismen, viele Hersteller berichten von Abmeldungen. Auch die eingeschränkte Zugänglichkeit für wichtige Personengruppen wird bemängelt: insbesondere ältere Menschen nutzen häufig Geräte, die die Anforderungen nicht erfüllen.

Auf Entwicklerseite steht der hohe Aufwand in Umsetzung und Dokumentation im Vordergrund und die damit steigenden Entwicklungskosten, die gerade kleine Unternehmen stark belasten. Zumal bei vielen Anforderungen der Richtlinie noch Unklarheit herrscht, bei vielen Punkten fehlt eine eindeutige Definition zur korrekten Umsetzung. Das BSI und Prüfstellen widersprechen sich teilweise in der Auslegung, etwa bei Passkeys oder OAuth-Implementierungen. Gerade Startups können sich ein »Ping Pong« zwischen Prüfstellen und BSI oder wiederholte Zertifizierungen nicht leisten. Zudem verzerrt der nationale Alleingang aus Sicht der Hersteller den Wettbewerb: die TR-03161 ist ein rein deutscher Sicherheitsstandard, der nicht mit europäischen Vorgaben harmonisiert ist.

Für Q1/2026 wird die Veröffentlichung einer überarbeiteten TR-03161 erwartet. Erwartet werden insbesondere klarere Vorgaben zur Authentifizierung. Kurzfristig sind weitere national spezifische Anforderungen absehbar. Langfristig wäre eine Harmonisierung auf europäischer Ebene wünschenswert, um Interoperabilität und Planungs­sicherheit zu erhöhen. Zusätzlich kommt mit der BSI TR-03185 »Sicherer Software-Lebenszyklus« eine neue Zertifizierung, die den Update-Prozess strukturiert adressieren soll. DiGA-Hersteller mit dieser zusätzlichen Zertifizierung sollen künftig bestimmte Änderungen ohne vorherige BSI-Prüfung veröffentlichen können – eine wichtige Erleichterung für die Branche.

Fazit: Sicherheit strategisch denken

Die Zertifizierung nach BSI TR-03161 ist anspruchsvoll, zeit- und kosten­intensiv – aber machbar. Der Plattform-Ansatz zeigt, dass frühzeitige und strategische Architekturentscheidungen strukturelle Vorteile ermöglichen.

Die TR-03161 ist also kein reines Compliance-Thema, sondern kann – richtig umgesetzt – zum Wettbewerbsvorteil werden. Für die Branche ist die Richtlinie damit ein Signal: Wer in der digitalen Gesundheitsversorgung erfolgreich sein will, muss Sicherheit als strategischen Vorteil begreifen. (uh)

Anbieter zum Thema

Accelerat S.r.l.
Matchmaker+
zu Matchmaker+

Lesen Sie mehr zum Thema

Bundesamt für Sicherheit in der Informationstechnik (BSI) Cyber-Security Zertifizierung und Prüfung eHealth / Medizin 4.0 Medizinelektronik IKT/eHealth/Medizin 4.0 Telemedizin