Was sind DiGA?

Als digitale Gesundheitsanwendungen (abgekürzt DiGA) werden virtuelle Medizinprodukte bezeichnet, die als App für mobile Endgeräte oder als Browseranwendung zur Verfügung stehen. Die Anwendungen dienen unter anderem zur Selbstdiagnose, als elektronische Tagebücher für Diabeteskranke oder als Medikationsplan sowie als interaktive Therapiesoftware. Die Lösungen sind verschreibungspflichtig und erfordern eine Zulassung durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM).

Auf einen
Blick

01. DiGA: Eine Definition
02. Wie erhalte ich eine DiGA?
03. Welche Vorteile bieten DiGA?
04. Welche DiGA gibt es?
05. Wie sicher sind DiGA?
06. Datenschutz von DiGA
07. Datensicherheit von DiGA
08. Welche Risiken bestehen beim Einsatz von DiGA?
09. Wie lassen sich DiGA vor Cyberangriffen schützen?
10. DiGA: Das müssen Sie wissen

DiGA: Eine Definition

Das Digitale-Versorgung-Gesetz (DVG), das seit dem 19. Dezember 2019 in Kraft ist, bildet die gesetzliche Grundlage für DiGA. Mit der Regelung sollte die Innovationskraft des Gesundheitssystems vorangetrieben und die Versorgung der PatientInnen verbessert werden – unter anderem durch die Einführung der neuen Gesundheitsanwendungen für niedrige Risikoklassen. Die Kosten für die DiGA übernimmt die gesetzliche Krankenversicherung. Um neue Lösungen möglichst schnell und unbürokratisch den PatientInnen zur Verfügung zu stellen, prüft zunächst das BfArM die Produkte auf Sicherheit, Funktionstauglichkeit, Qualität, Datensicherheit und Datenschutz. Nach einer einjährigen Erprobungsphase müssen die Hersteller der Lösungen dann den konkreten Nutzwert belegen. Die Programme müssen einen positiven Versorgungseffekt hervorrufen, etwa hinsichtlich medizinischem Nutzen (Verbesserung des Gesundheitszustandes, Verkürzung der Krankheitsdauer, etc.) oder Struktur- und Verfahrensverbesserungen (Koordination der Behandlung, Adhärenz, Reduzierung von Aufwänden, etc.). Können solche Vorzüge über Studien belegt werden, ist eine dauerhafte Listung der Anwendung im offiziellen DiGA-Verzeichnis möglich.

Wie erhalte ich eine DiGA?

Lösungen aus dem DiGA-Verzeichnis können von MedizinerInnen auf Rezept verordnet werden. Die für den Einsatz notwendigen Freischaltcodes erhalten GKV-Versicherte anschließend von den Krankenkassen. Mit diesen Schlüsseln lassen sich die DiGA über App-Stores auf Smartphones und Tablets oder direkt von der Herstellerwebseite beziehen.

Welche Vorteile bieten DiGA?

DiGA tragen zur professionellen medizinischen Versorgung bei – insbesondere zur Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten und Verletzungen. Die Nutzung der Programme erfolgt entweder allein durch die PatientInnen oder gemeinsam mit den behandelnden MedizinerInnen. So ermöglichen die Anwendungen etwa durch die kontinuierliche Aufzeichnung von Gesundheitswerten eine genauere Diagnostik. Krankheitsverläufe und Genesungsfortschritte können so lückenlos verfolgt und analysiert werden. In der Praxis lassen sich dadurch auch überflüssige Termine bei ÄrztInnen vermeiden, wodurch sich der Behandlungsaufwand insgesamt reduziert.

Person deutet mit einem Stift auf eine Statistik auf einem Tablet

Welche DiGA gibt es?

Mittlerweile sind digitale Gesundheitsanwendungen für eine breite Palette von Anwendungsfällen verfügbar. Das Spektrum reicht von Lösungen zur begleitenden Behandlung von Angststörungen, Panikattacken und Depressionen über Apps zu Krankheitsbildern wie Multiple Sklerose, Brustkrebs, Tinnitus oder Gelenkschmerzen bis hin zu Nichtraucher-Anwendungen. Das DiGA-Verzeichnis mit allen aktuellen Anwendungen ist über die Webseite des BfArM erreichbar.

Wie sicher sind DiGA?

Grundsätzlich prüft das BfArM die Anwendungen auf Datensicherheit und Datenschutz. Da bei der Nutzung sensible Gesundheitsdaten anfallen und verarbeitet werden, gelten hier strengste regulatorische Vorgaben.

Datenschutz von DiGA

Definiert durch die Datenschutz-Grundverordnung (DSGVO) müssen Anbieter und Betreiber von DiGA die Integrität und Vertraulichkeit der verarbeiteten Daten sicherstellen. Um dies zu gewährleisten, sind von den Verantwortlichen geeignete technische und organisatorische Maßnahmen zu treffen. Hierzu zählen etwa Technologien zur Verschlüsselung oder Pseudonymisierung von Daten. Durch die Digitale Gesundheitsanwendungen-Verordnung (DiGAV) ist die Datenverarbeitung analog zu den für Krankenkassen geltenden Regeln (§ 80 SGB X) örtlich auf die Bundesrepublik Deutschland, die Mitgliedstaaten der EU, die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) und die Schweiz und Staaten, für die ein Angemessenheitsbeschluss nach Artikel 45 DSGVO vorliegt, beschränkt.

Person arbeitet an einem Laptop und daneben liegt ein Stethoskop

Datensicherheit von DiGA

Auch die Vorgaben an die Datensicherheit fallen für DiGA umfangreich aus. Allein die DiGAV sieht mitunter folgende Vorgaben vor: Absicherung nach dem Stand der Technik, Informationssicherheitsmanagementsystem (ISMS) gemäß ISO-27000-Reihe oder BSI-Standard 200-2, Schutz vor DoS-Angriffen, Schutzbedarfsanalysen, Data Leakage Prevention, Penetrationstests, konkrete Anforderungen an das Produkt selbst, z.B. Authentisierung und Autorisierung, Protokollierung oder Härtung. Hinzu kommen weitere Vorgaben, die sich wiederum aus der Medizinprodukte-Verordnung 2017/745 (MDR) oder dem DVG herleiten. Für volle Compliance-Konformität ist daher höchste Expertise in Cybersicherheit bei Betreiberfirmen und Servicedienstleistern gefragt. Nur so lässt sich der Schutz der sensiblen Gesundheitsdaten konsequent sicherstellen.

Welche Risiken bestehen beim Einsatz von DiGA?

Wie bei allen digitalen Lösungen bestehen auch bei DiGA Risiken, die aus unvorhersehbaren Lastspitzen, Hackerattacken oder Schadsoftware resultieren. Je nach Art der jeweiligen Anwendung sind besonders die zur Kommunikation über das Internet verbundenen Plattformen oder Schnittstellen gefährdet. Hier können Cyberkriminelle zielgerichtet ansetzen, um etwa die Anwendung mittels DDoS-Attacken lahmzulegen. Ebenfalls realistisch gestalten sich Bot-basierte Attacken, um an gültige Login-Daten von NutzerInnen zu gelangen. Sobald Zugriff auf die hinterlegten Konten besteht, können die Angreifer alle gespeicherten Gesundheitsdaten einsehen und diese Informationen zur Erpressung der Betroffenen missbrauchen. Darüber hinaus besteht bei DiGA die Gefahr, dass Cyberkriminelle die dort gesicherten Informationen manipulieren, um Fehldiagnosen und ungeeignete Medikationen auszulösen. In solchen Fällen zielen die Angriffe direkt auf die Gesundheit der betroffenen NutzerInnen ab.

Wie lassen sich DiGA vor Cyberangriffen schützen?

Bei der Verteidigung von DiGA greifen dieselben Methoden wie sie auch zum Schutz anderer sensibler Geschäftsprozesse zum Einsatz kommen: Mittels dedizierten Schutzsystemen gegen DDoS-Attacken auf die Online-Plattformen selbst sowie die dahinterliegenden Serverstrukturen lassen sich Überlastungsangriffe auf allen relevanten Netzwerkschichten verlässlich abwehren. Automatisierte Zugriffe auf die Anwendungen durch Bots sollten ebenfalls als solche registriert und bei Bedarf unterbunden werden. Auf diese Weise lassen sich Brute Force, Credential Stuffing oder Credential Cracking effektiv bekämpfen. Die gängigsten Angriffsvektoren für Webanwendung adressiert eine professionell implementierte WAF-Lösung. Hierdurch können Betreiberfirmen auch die Gefahr durch etwaige Sicherheitslücken in den DiGA selbst minimieren. Kontinuierliches Monitoring, regelmäßige Sicherheitsaudits und Penetrationstests runden das Spektrum an Schutzmaßnahmen ab.

DiGA: Das müssen Sie wissen

Bei DiGA handelt es sich um verschreibungspflichtige, medizinische Anwendungen. Die Lösungen kommen unter anderem zu Diagnose- und Behandlungszwecken zum Einsatz. Dabei unterstützen die digitalen Tools für Smartphones, Tablets und PCs klassische Behandlungsmethoden etwa durch die kontinuierliche Aufzeichnung und Auswertung von Vitalwerten. Außerdem dienen die Anwendungen dazu, den Behandlungsaufwand für alle Seiten zu reduzieren, ohne dabei Abstriche bei der Versorgung einzugehen. PatientInnen erhalten DiGA als Rezept von den behandelnden MedizinerInnen oder auf Eigeninitiative durch einen Antrag bei der gesetzlichen Krankenkasse. Alle DiGA durchlaufen eine Kontrolle durch das BfArM und werden auf Sicherheit, Funktionstauglichkeit, Qualität, Datensicherheit und Datenschutz geprüft. Da die Anwendungen sensible Gesundheitsdaten verarbeiten, fallen die Vorgaben an Datenschutz und Datensicherheit sehr hoch aus. Für eine bedarfsgerechte Absicherung ist daher hohe Expertise und Branchenkenntnis bei Betreiberfirmen und angeschlossenen Dienstleistern gefragt. Nur so kann die Angriffsfläche für Cyberattacken auf ein Minimum reduziert werden.

Myra ist der Spezialanbieter für das Gesundheitswesen

Myra Security entwickelt und betreibt hochzertifizierte Schutzlösungen zur Absicherung digitaler Geschäftsprozesse. Als Spezialanbieter für sensible und kritische Infrastrukturen haben wir langjährige Erfahrung im Schutz von Unternehmen und Organisationen im Gesundheitswesen, in der Finanz- und Versicherungsindustrie sowie in den Sektoren KRITIS und Regierung. Kunden in diesen hochregulierten Bereichen profitieren von zertifizierter Sicherheit und Konformität mit DSGVO, IT-SiG, BSI-KRITIS und branchenspezifischen Standard.

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Responsible Disclosure Impressum Datenschutz Privatsphäre-Einstellungen AGB