Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- dighealth:ti:sicherheit [2022/05/18 09:43] – fjh
+++ dighealth:ti:sicherheit [2025/08/06 07:45] (aktuell) – fjh
@@ Zeile 1: / Zeile 1: @@
 ====== Sicherheit ======
+<note>Aktuell: RSA => ECC-Migration: https://www.aerztezeitung.de/Wirtschaft/Austausch-von-TI-Hardware-KBV-Sorge-unbegruendet-sagen-Hersteller-458626.html</note>
+<note important>Whitepaper der gematik zu Datenschutz und Sicherheit: https://www.gematik.de/media/gematik/Medien/Newsroom/Publikationen/Informationsmaterialien/gematik_Whitepaper_Datenschutz_web_20250707.pdf</note>
   * Gem. § 311 Abs. 1 SGB V hat die gematik Vorgaben für den sicheren Betrieb der TI zu erstellen und deren Umsetzung zu überwachen
   * Gem. §§ 329 ff. SGB V unterliegt die gematik zudem umfangreichen Pflichten zur Überwachung der Funktionsfähigkeit und Sicherheit der TI.
-  * Seit dem Jahr 2020 lässt die gematik jährlich eine externe 360-Grad-Sicherheitsanalyse der TI durchführen.((s. [[https://www.gematik.de/newsroom/news-detail/umfassende-sicherheitsanalyse-zur-telematikinfrastruktur|Pressemitteilung der gematik vom 19.1.2021]].)) Dabei werden neuralgische Punkte der TI mit verschiedenen Prüfmethoden (z.B. Protokoll-Analyse, Penetrationstests, aber auch Audits) von unterschiedlichen Auftragnehmern geprüft und die Ergebnisse veröffentlicht.((s. den [[https://www.gematik.de/media/gematik/Medien/Newsroom/Presse/Dokumente/360_Grad_Sicherheitsanalyse_Kurzbericht.pdf|Kurzbericht der Analyse von 2020]].)) Der Schwerpunkt der nächsten 360-Grad-Sicherheitsanalyse wird auf der ePA liegen und dabei auch den Schlüsselgenerierungsdienst umfassen.(([[https://www.gematik.de/media/gematik/Medien/Newsroom/Presse/Dokumente/360_Grad_Sicherheitsanalyse_Kurzbericht.pdf|Kurzbericht der vergangenen Analyse]], S. 3.))
+  * Seit dem Jahr 2020 lässt die gematik jährlich eine externe 360-Grad-Sicherheitsanalyse der TI durchführen.((s. [[https://www.gematik.de/newsroom/news-detail/umfassende-sicherheitsanalyse-zur-telematikinfrastruktur|Pressemitteilung der gematik vom 19.1.2021]].)) Dabei werden neuralgische Punkte der TI mit verschiedenen Prüfmethoden (z.B. Protokoll-Analyse, Penetrationstests, aber auch Audits) von unterschiedlichen Auftragnehmern geprüft und die Ergebnisse veröffentlicht.((s. den [[https://www.gematik.de/media/gematik/Medien/Newsroom/Presse/Dokumente/360_Grad_Sicherheitsanalyse_Kurzbericht.pdf|Kurzbericht der Analyse von 2020]].)) Der Schwerpunkt der 360-Grad-Sicherheitsanalyse für 2021 wird auf der ePA liegen und dabei auch den Schlüsselgenerierungsdienst umfassen.(([[https://www.gematik.de/media/gematik/Medien/Newsroom/Presse/Dokumente/360_Grad_Sicherheitsanalyse_Kurzbericht.pdf|Kurzbericht der vergangenen Analyse]], S. 3.)) Bisher wurden keine Ergebnisse als 360-Grad-Sicherheitsanalyse veröffentlicht, allerdings wurde das Ergebnis einer [[elektronische_patientenakte#externe_sicherheitsanalyse_des_schluesselgenerierungsdienstes_der_ti|kryptographischen Sicherheitsstudie]] veröffentlicht. Für 2022 - so hört man - soll der Fokus auf den ePA-Apps der Krankenkassen liegen.
-  * In Planung sind zudem Sicherheitsüberprüfungen verschiedener TI-Apps inkl. DiGAs im Umfeld der TI. Ziel ist es, in Form von Penetrationstest die grundsätzliche Sicherheit von TI-Apps (inkl. DiGAs) zu überprüfen und potenzielle Schwachstellen zu ermitteln. Die in diesem Kontext veröffentlichten berichte können veröffentlicht werden.
+  * In Planung sind zudem Sicherheitsüberprüfungen verschiedener TI-Apps inkl. DiGAs im Umfeld der TI. Ziel ist es, in Form von Penetrationstest die grundsätzliche Sicherheit von TI-Apps (inkl. DiGAs) zu überprüfen und potenzielle Schwachstellen zu ermitteln. Die in diesem Kontext veröffentlichten Berichte können veröffentlicht werden.