Sicherheit

Gem. § 311 Abs. 1 SGB V hat die gematik Vorgaben für den sicheren Betrieb der TI zu erstellen und deren Umsetzung zu überwachen

Gem. §§ 329 ff. SGB V unterliegt die gematik zudem umfangreichen Pflichten zur Überwachung der Funktionsfähigkeit und Sicherheit der TI.

Seit dem Jahr 2020 lässt die gematik jährlich eine externe 360-Grad-Sicherheitsanalyse der TI durchführen.¹⁾ Dabei werden neuralgische Punkte der TI mit verschiedenen Prüfmethoden (z.B. Protokoll-Analyse, Penetrationstests, aber auch Audits) von unterschiedlichen Auftragnehmern geprüft und die Ergebnisse veröffentlicht.²⁾ Der Schwerpunkt der 360-Grad-Sicherheitsanalyse für 2021 wird auf der ePA liegen und dabei auch den Schlüsselgenerierungsdienst umfassen.³⁾ Bisher wurden keine Ergebnisse als 360-Grad-Sicherheitsanalyse veröffentlicht, allerdings wurde das Ergebnis einer kryptographischen Sicherheitsstudie veröffentlicht. Für 2022 - so hört man - soll der Fokus auf den ePA-Apps der Krankenkassen liegen.

In Planung sind zudem Sicherheitsüberprüfungen verschiedener TI-Apps inkl. DiGAs im Umfeld der TI. Ziel ist es, in Form von Penetrationstest die grundsätzliche Sicherheit von TI-Apps (inkl. DiGAs) zu überprüfen und potenzielle Schwachstellen zu ermitteln. Die in diesem Kontext veröffentlichten Berichte können veröffentlicht werden.