Shift Left Security

Shift Left Security – ein Trend, der anhalten wird

Shift Left Security – ein Trend, der anhalten wird

Sicherheitsbemühungen konzentrieren Organisationen häufig auf das Ende eines Entwicklungs- und Release-Zyklus („Shift Right“). Dadurch kann zwar sichergestellt werden, dass der Rest der Software ein gewisses Maß an Stabilität erreicht, doch bleiben dabei hohe Risiken und auch Schwachstellen bestehen.

Die Lösung für dieses Problem und der wichtigste Eckpfeiler einer sicheren App ist Shift Left Security. Sicherheit sollte so früh wie möglich in den Software-Entwicklungszyklus implementiert werden (daher Shift Left = „nach links verlagern“ genannt). Dies vermeidet ungeplante Kosten und erspart unnötigen Ärger nach Veröffentlichung der App.

Shift Right: App-Sicherheit am Ende der Entwicklung ist keine Option mehr

Die Entwicklung einer mobilen App (oder Lösung) durchläuft immer dieselben Schritte: von der Konzeption über die Entwicklung und verschiedenen Tests bis hin zum Hochladen in den App Store. An Sicherheit wird dabei oftmals erst sehr spät gedacht. Bei der nachträglichen Implementierung fallen dann zusätzliche Entwicklungszeit und -kosten an. Um eine pünktliche Markteinführung zu garantieren, wird die Sicherheit in manchen Fällen einfach komplett außen vor gelassen.

Es gibt viele Beispiele, in denen der Sicherheitsfaktor erst in der letzten Projektphase eingeführt wurde. Dies kann enorme negative Auswirkungen auf ein Projekt haben, denn unmittelbar mit der Veröffentlichung der App werden auch die Risiken und Schwachstellen veröffentlicht. Diese bleiben nicht immer unerkannt, sondern werden von Sicherheitsforschern oder Hackern gefunden. Im besten Fall geben diese ihr Feedback an die Entwickler weiter – im schlimmsten Fall wird das Wissen missbraucht. Im letzteren Fall können Compliance-Verletzungen und Reputationsschäden sofort und ohne Vorwarnung eintreten.

Shift Left Security bietet Vorteile für die Wirtschaftlichkeit

Der Trend zu Shift Left Security wird wirtschaftlich gesehen durch die Betrachtung der Software-Entwicklungsprozesse und der anschließenden Wartungsphase gestärkt. Wie eine Studie belegt, ist die Problembehebung nach der Freigabe der mobilen App in etwa 20-mal teurer, als wenn das Problem bereits in der Definitionsphase des Projekts erkannt und gelöst wird.[1]

Oftmals unberücksichtigt, vergessen oder ausgeschlossen von diesen Kostenbetrachtungen sind die finanziellen Auswirkungen einer Sicherheitsverletzung: Folgeschäden, Kosten für Cyberangriffe (und Wiederherstellungskosten) sowie Prozesskosten. Betrachtet man auch diese Kosten, so zeigt eine weitere Studie, dass nicht durchdachte Software bis zu 2000-mal teurer sein kann, als von Anfang an in hochwertige Software zu investieren.[2] In diesem Beispiel tragen die Kosten von Cyberangriffen zu etwa 45 % aufgrund von Nachlässigkeiten im Software-Entwicklungsprozess zu den Gesamtkosten bei.
In der Summe bedeutet dies, dass sich Unternehmen und App-Entwickler auf gute Software und auf die Entwicklung guter Lösungen konzentrieren müssen, anstatt hinterher Betrug aufzudecken und Geld für Abhilfemaßnahmen auszugeben. Shift Left Security bedeutet: Je früher man Sicherheit einbezieht, desto weniger Kosten hat man hinterher.

In puncto Sicherheit auf Best Practices fokussieren

Shift Left Security ist eine Best Practice. In einem Softwareentwicklungs-Lebenszyklus (SDLC) sollte bereits in einem sehr frühen Stadium über Architektur und ein sicheres Design nachgedacht werden. Letzteres sollte eine Bedrohungsmodellierung beinhalten, die die Basis für das Sicherheitskonzept und die später implementierten, sogenannten Security Controls darstellt.

„Sicherheit kann nur erreicht werden, wenn sie von Anfang an eingeplant ist. Die Einführung von nachträglichen Sicherheitsmaßnahmen ist eher der Anfang einer Katastrophe“, sagt die CSA (Cloud Security Alliance) über sicheres Softwaredesign.[3]

Auch der CEO von Build38, Christian Schläger, sagte kürzlich in einem Interview mit PwC: „Anstatt also hinterher aufzuräumen und SOC-Ressourcen und viele Analystenstunden für die Forensik aufzuwenden, würde ich mir mehr hochwertige Software und Lösungen wünschen, die nicht mehr so leicht gehackt werden können.“

Kurz gesagt: Nachdem eine App veröffentlicht wurde, ist es einfach zu spät herauszufinden, was an der App das Sicherheitsproblem verursacht hat. Es wird unnötig Geld für die Reparatur, das erneute Testen und die erneute Veröffentlichung der Anwendung ausgegeben.

Shift Left Security – von Anfang an richtig machen

Das neue Paradigma und der beste Investitionsschutz ist Shift Left Security. Diese Vorgehensweise hilft dabei, während des gesamten Lebenszyklus einer mobilen Anwendung mit dem geplanten Budget zu haushalten. Außerdem unterstützt die Methode dabei, früh darüber nachzudenken, wie, wo und wann Sicherheit in einem App-Projekt eingebettet werden sollte.

Darüber hinaus ist Shift Left Security der entscheidende Schritt zur Einhaltung von Richtlinien: der eIDAS-Verordnung, der bevorstehenden Medical Device Regulation (MDR) im Jahr 2021, der DiGA-Verordnung, der PSD2 usw. Es geht also darum, Sicherheitsanforderungen gleich von Beginn an in die Tat umzusetzen.

Build38 gibt App-Entwicklern alle Mittel an die Hand, um jetzt mit Shift Left Security zu beginnen: „Wir liefern ein umfassendes Sicherheits-SDK für Android und iOS und eine Lösung, die sich sehr schnell integrieren lässt. Darüber hinaus unterstützen wir bei der Identifizierung der sicherheitsrelevanten Themen, geben Ratschläge, wie Sicherheitskontrollen richtig gestaltet werden können und was weiterhin zu beachten ist“, sagt Christian Schläger.

Klingt interessant? Dann kontaktieren Sie Build38 und werden Sie Teil der „Shift Left Security"-Bewegung!

 

[1] Capers Jones, A short history of the cost per defect metric, 2013

[2] Capers Jones, Achieving Software Excellence, v7, 2016

[3] „The Six Pillars of DevSecOps: Automation”, 2020


mobile payment App security

Kontaktloses Bezahlen, Part 2: Gut für das Geschäft, aber nur mit der richtigen Sicherheit!

Im ersten Teil dieser Blogreihe haben wir bereits darüber informiert, dass ein starker Trend zur bargeldlosen und insbesondere zur kontaktlosen Zahlung erkennbar ist. Dabei gewinnt auch das Bezahlen per Smartphone zunehmend an Bedeutung. Hier spielen die von der PCI zur Verfügung gestellten Standards SPoC und CPoC eine wichtige Rolle.

PCI SPoC und CPoC – worum geht es hier?

SPoC (Software-based PIN Entry on COTS) ist – einfach ausgedrückt – der softwarebasierte PIN-Eingabe-Standard von PCI für mobile Geräte, in Kombination mit einem Secure Card Reader für PIN (SCRP). Der SCRP ist nichts anderes als ein zusätzliches Stück Hardware, das mit dem mobilen Gerät zum Beispiel über Bluetooth verbunden ist.

CPoC (Contactless Payments on COTS) ist der zweite und neuere Standard, der ausschließlich kontaktlose Zahlungen behandelt. Die NFC-Fähigkeit mobiler Geräte verwandelt diese in ein Lesegerät für kontaktlose Zahlungen.

Beiden Standards gemeinsam sind die mobile Kartenlese-App, die Beglaubigungs- und Kontrolldienste. All dies nur, um ein hohes Maß an Sicherheit und Vertrauen aufrechtzuerhalten. Darüber hinaus sind auch typische zahlungsbezogene Dienste Bestandteil des PCI-Standards.

Welche Rolle spielt dabei Build38?

Build38 erfüllt die strengsten Sicherheitsanforderungen der PCI:

  • Gewährleistung, dass die Anwendung in einer sicheren Umgebung (und nur dort) ausgeführt wird
  • Verschleierung
  • Anti-Repackaging-Technologie
  • Sichere PIN-Eingabe
  • Verhinderung erkannter Bedrohungen, die bereits auf dem mobilen Gerät vorhanden sind, usw.

Darüber hinaus bietet Build38 die erforderliche Beglaubigungskomponente, die den aktuellen Sicherheitsstatus der Anwendung bestimmt und verifiziert. Sie liefert zusätzliche Sicherheitssignale an das Kontrollsystem, das vermutete oder tatsächliche Bedrohungen und Angriffe erkennt, alarmiert und entschärft.

Die PCI-Sicherheitsanforderungen können mit all ihrer Komplexität recht unübersichtlich sein, Sie sollten jedoch nicht davor zurückschrecken!

 

Sie verstehen das Bezahlwesen am besten – und Build38 liefert die mobile Sicherheit!

Wir bei Build38 glauben, dass in einer sich wandelnden digitalen Landschaft die Sicherheit von Apps kein Luxus ist. Sie ist eine Notwendigkeit. Ihre Entwickler sollten sich darauf konzentrieren können, was sie am besten können: Geschäftswert und erstklassige Zahlungsanwendungen zu liefern, während Build38 die Sicherheit mobiler Anwendungen bietet. Das Trusted Application Kit (T.A.K.) von Build38 ist ein hochsicheres, ganzheitliches und einfach zu integrierendes Rahmenwerk für die Sicherheit mobiler Anwendungen.

Alles beginnt mit einem besseren Verständnis Ihrer mobilen Risiken.

Erfahren Sie, wo Sie heute stehen!
Stärken Sie Ihre Richtlinien und Ihre Compliance-Position!
Erkunden Sie Ihre Optionen und finden Sie die richtige Lösung!

 

Kontaktieren Sie uns und bringen Sie Ihre eigene CPoC- oder SPoC-Lösung schneller auf den Markt!


mobile payment App security

Kontaktloses Bezahlen, Part 1: Smartphone und App ersetzen das Kartenlesegerät

Bargeldloser Zahlungsverkehr ist beliebter denn je. Dieser Trend wurde insbesondere auch durch Covid-19 beschleunigt. So wurde in Deutschland in der ersten Hälfte des Jahres 2020 ein Plus von 20 % verzeichnet. Dabei erfolgte jede zweite Zahlung sogar kontaktlos.[1] Trotz allem gibt es in Deutschland noch Nachholbedarf im Vergleich zu anderen Ländern, die schon jetzt eine höhere Rate bargeldloser Zahlungen aufweisen.

Neben der „klassischen“ Variante der bargeldlosen Zahlung via Bankkarte wird auch das kontaktlose Bezahlen per Smartphone europaweit immer beliebter. Wie eine aktuelle Umfrage zeigt, bevorzugen bereits rund 12 % der befragten Europäer das Bezahlen per Smartphone.[2]

Kontaktlose Zahlungen werden weiter an Dynamik gewinnen

Beim kontaktlosen Bezahlen wird die Karte an der Kasse nur noch gegen das Kartenlesegerät gehalten und muss nicht mehr in das Gerät gesteckt werden. Bei kleinen Beträgen ist auch die Eingabe der PIN nicht erforderlich. Angesichts der Pandemie haben Einzelhändler ihre Kunden ermutigt, auf diese Weise zu bezahlen, um einen Kontakt und eine mögliche Ansteckung zu vermeiden.

Beim kontaktlosen Bezahlen per Smartphone ersetzt die App auf dem Smartphone die Bankkarte. Aus Sicht von Build38 werden für ein weiteres starkes Wachstum zwei Anforderungen eine wichtige Rolle spielen:

  • Einzelhändler, Kleinhändler, Markt- und Straßenverkäufer müssen in die Lage versetzt werden, mobile Zahlungen zu akzeptieren, ohne in traditionelle Kartenlesegeräte investieren zu müssen.
  • Wie von den Kunden gefordert, müssen mobile Zahlungen für kleine Summen akzeptiert werden.

An diesem Punkt stellt sich natürlich die Frage, wie gerade die erste Anforderung auf erschwingliche und einfache Weise umgesetzt werden kann.

PCI-Standards ebnen den Weg

Der PCI Security Standards Council (PCI SSC) wurde 2006 unter anderem von American Express, Visa und MasterCard gegründet. Es handelt sich um ein globales Forum, das die Interessenvertreter der Zahlungsverkehrsbranche zusammenbringt, um die Annahme von Datensicherheitsstandards und Ressourcen für sichere Zahlungen weltweit zu entwickeln und voranzutreiben. Sie sind das Leitungsgremium für die Standardisierung des Zahlungsverkehrs, die technischen Anforderungen und die Zertifizierung von Zahlungslösungen.

Die PCI hat bereits erkannt, dass kontaktlose Zahlungen für jedermann verfügbar sein müssen. Für den, der bezahlen möchte, als auch den Empfänger der Zahlung. Das traditionelle Kartenlesegerät wird in diesem Fall mit Hilfe von Smartphones oder Tablets realisiert, die die PCI in ihrem eigenen Sprachgebrauch als COTS-Geräte (commercial off-the-shelf) bezeichnet. Die PCI stellt daher zwei Standards zur Verfügung: den SPoC (Software-based PIN Entry on COTS)- und den CPoC (Contactless Payments on COTS)-Standard.

 

Erfahren Sie in unserem nächsten Blogbeitrag mehr über diese Standards und darüber, wie die Sicherheit von Zahlungs-Apps durch Build38 gewährleistet werden kann.

 

[1] https://www.handelsblatt.com/finanzen/banken-versicherungen/coronakrise-kreditwirtschaft-trend-zu-bargeldlosem-bezahlen-haelt-schon-laenger-an/26289960.html?ticket=ST-350571-XZqIrSQGq5lLGZqhcQfl-ap4

[2] https://www.handelsblatt.com/finanzen/banken-versicherungen/umfrage-in-zwoelf-eu-staaten-die-coronakrise-verstaerkt-den-trend-zum-bargeldlosen-zahlen/26185710.html


Warum Mobile Security mehr als die Sicherheitsmaßnahmen der App-Stores umfasst

Wir leben in einer Welt, die immer digitaler wird. Täglich greifen wir zu unseren Smartphones und benutzen Apps; beispielsweise um Notizen zu machen, die Wettervorhersage anzuschauen oder sich mit einem Spiel die Zeit zu vertreiben. Aber nicht nur das: Inzwischen werden mit Apps immer häufiger richtig sensitive Daten verarbeitet. Man denke nur einmal an das bei vielen beliebte Mobile Payment, den in naher Zukunft kommenden digitalen Führerschein oder die elektronische Patientenakte (ePA), die Mitte nächsten Jahres eingeführt wird. Wer möchte schon, dass derartige sensible Daten in die Hände von Dritten gelangen? Wohl niemand. Doch genau dies kann passieren, wenn das Thema App-Sicherheit nicht ernst genug genommen wird.

Die Sicherheit mobiler Apps ist aus verschiedenen Gründen wichtig. Einerseits gilt es, die persönlichen Daten der App-User zu schützen. Andererseits sollten auch die App-Betreiber darauf bedacht sein, den Zugriff auf ihre Daten beziehungsweise zu ihren Servern zu sichern. Denn ein erfolgreicher Angriff auf eine App kann verheerende Folgen für Firmen haben. Neben dem Diebstahl sensibler Unternehmensinformationen ist es im Worst Case möglich, dass das gesamte Geschäftsmodell abrupt zum Ende kommt – etwa aufgrund drohender Strafzahlungen für die Verletzung des Datenschutzes oder mangelnder Sorgfaltspflicht. Wie das Allianz Risk Barometer 2020 bestätigt[1], zählen Cybervorfälle nicht umsonst als das größte Geschäftsrisiko.

App-Sicherheit selbst in die Hand nehmen

Zunächst ist es sinnvoll, die offiziellen App-Stores zu nutzen, da diese eine essenzielle Funktion besitzen. Sie sorgen dafür, dass die Anbieter die Spielregeln einhalten und bestimmte Funktionen, darunter die Advertising ID auf Android oder iOS, nicht missbräuchlich verwenden. Außerdem wird seitens der Stores untersucht, ob sich bekannte Malware in den Apps verbirgt. Natürlich haben die App-Stores selbst Interesse daran, keine minderwertige Qualität anzubieten, weil sie letztendlich Apps verkaufen und Umsatz machen wollen.

Die Stores verhindern jedoch nicht, dass irgendjemand – sei es ein Angreifer, ein Sicherheitsforscher oder ein ehemaliger Angestellter einer Firma – beabsichtigt, die App zu manipulieren. Vor der Veröffentlichung sollte daher immer auch ein Security-Spezialist beauftragt werden, die App unter die Lupe zu nehmen und den Hersteller zu informieren, sofern eine Sicherheitslücke gefunden wurde. Darüber hinaus können die App-Stores nicht verhindern, dass sich ein Angreifer die App genauer ansieht – zum Beispiel, weil sich manipulierbare hartkodierte Passwörter oder Backdoors darin befinden. In diesem Fall muss sich die App selbst schützen und auch reagieren können. Hierzu sind die App-Stores nicht in der Lage. Als Unternehmen ist es daher notwendig, sich abseits von den App-Stores Gedanken über die App-Sicherheit zu machen und nicht davon auszugehen, das bloße Einstellen der App in einen Store sei ausreichend.

Doch was ist erforderlich, um Apps maximal abzusichern? Das erfahren Sie in unserem nächsten Blogbeitrag!

[1] https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020-de.html


Wie Apps endlich sicher werden. Das Interview von Insider Research mit Torsten Leibner liefert Antworten.

Build38 Head of Product Management

Diese und viele andere spannende Fragen stellte Oliver Schonscheck, renomierter Technology Journalist für Security Insider, in seinem Interview mit Torsten Leibner, Build38 Head of Product Management & Technology.

Mobile Apps durchdringen mittlerweile alle Lebensbereiche, doch scheint die Sicherheit der Apps zu stagnieren. Selbst Apps aus offiziellen App-Stores können risikobehaftet sein.

Zum Hintergrund: Sicherheitsforscher des Helmholtz-Zentrums für Informationssicherheit in Saarbrücken, der Ohio State University und der New York University haben herausgefunden, dass viele mobile Apps spezielle Funktionen vor den Nutzern verstecken, die Angreifern den Zugung zu Daten des Mobiltelefon ermöglichen können. Damit ist die Sicherheit der Nutzer und letztendlich auch die Infrastruktur der Anbieter gefährdet.

Warum sind also mobile Apps immer noch unsicher? Sind die existierenden Security-Guidlines ausreichend? Wie kann die App-Sicherheit endlich besser werden? Was sind die richtigen Schritte für mehr Sicherheit? Was muß ein Unternehmen oder auch der Entwickler machen, damit sich die App-Sicherheit verbessert?
Der Podcast auf Soundcloud liefert die Antworten darauf!

Wir wünschen viel Spaß beim Reinhören!


Junger WBU Online-Event: Online als (einzige) Kundenschnittstelle der Zukunft? Digitalisierung am Beispiel des Handels.

Die Welt geht online - sowohl Firmen als auch Kunden. Plattformen, wie zum Beispiel Amazon und Alibaba, gewinnen täglich an Bedeutung. Oft nutzen Anbieter von Waren und Dienstleistungen Plattformen, da sie schnell und einfach Reichweite und Umsatz versprechen - oder um überhaupt Zugang zu einem Markt zu bekommen.

Welche Bedeutung werden eigene digitale Kundenschnittstellen und Plattformen für Anbieter in der Zukunft haben? Was macht digitale Kundenschnittstellen erfolgreich und was sollte vermieden werden? Auf was sollte die Wirtschaft zusammen mit der Politik jetzt achten, damit sie im globalen Wettbewerb um Kunden in Zukunft gut aufgestellt ist?

Die Referenten Dr. Georg Wittmann (Geschäftsführer, ibi research an der Universität Regensburg) und Torsten Leibner (Co-Founder und Head of Product Management & Technology, Build38 GmbH) werden durch kurze Impulsvorträge das Thema aus unterschiedlichen Blickwinkeln beleuchten und in der anschließenden Diskussionsrunde weiter vertiefen.
Weitere Informationen finden sie hier.

Dabei sein lohnt sich:
Donnerstag, 6. August um 17:00 Uhr per Livestream im Webbrowser.


Build38 und Pryv Partnerschaft, um mobile Sicherheit und Datenschutz für digitale Gesundheitsanwendungen zu vereinfachen

Lausanne/Schweiz, München/Deutschland, 5. Mai, 2020 - Der in der Schweiz führende Anbieter von Software für den Schutz der Privatsphäre und die Verwaltung persönlicher Daten, Pryv SA, und Build38 GmbH, globaler Anbieter von Lösungen zum Schutz mobiler Anwendungen, kündigten eine strategische Zusammenarbeit an, um der wachsenden Nachfrage nach Sicherheit und Einhaltung der Datenschutzbestimmungen für die digitale Gesundheits- und Versicherungsbranche gerecht zu werden.

Sicherheit mit App-Hardening und Privacy-by-Design-Backend haben für Anbieter im Bereich Digital Health höchste Priorität.

Betrug, Verletzung der Privatsphäre, Cyberattacken, unbefugte Datenerfassung, gesetzwidrige Verarbeitung und Hacking von verbundenen medizinischen Geräten und mobilen Anwendungen sind nur einige der Bedrohungen, die sich aus der Digitalisierung des Gesundheitswesens ergeben. Ein Hack, der für Einzelpersonen katastrophal enden kann, ist aber ebenso bedrohlich für Unternehmen, die mit Bußgeldern und Rufschädigung rechnen müssen. Bedrohungen können minimiert werden, wenn von Anfang an angemessene Datenschutz- und Sicherheitsmaßnahmen getroffen werden. Der Schutz digitaler Kanäle ist auf vielen Ebenen von unschätzbarem Wert, rettet Leben und verhindert erhebliche finanzielle Verluste.

"Smartphones und Tablets sind in unserem Privat- und Arbeitsleben unverzichtbarer Begleiter und somit auch ein wertvolles Ziel für Angreifer", so Dr. Christian Schlaeger, CEO von Build38. "Die Flexibilität mobiler Geräte wird auch im mobilen Gesundheitsbereich die Akzeptanz von Apps weiter vorantreiben, noch mehr mit der gerade verabschiedeten DiGA-Initiative der deutschen Bundesregierung. Build38 und Pryv versetzen Unternehmen in die Lage, die Produktivitätsvorteile mobiler Geräte zu nutzen und gleichzeitig die Risiken für die Sicherheit und den Schutz der Privatsphäre zu minimieren“.

"Die Entwicklung der Datenschutz- und Sicherheitsebenen für die digitale Gesundheitsanwendungen ist eine äußerst anspruchsvolle Aufgabe, die jedoch unerlässlich ist, um das Vertrauen der Nutzer zu gewinnen und die Einhaltung der Vorschriften zu erreichen", sagte Pierre-Mikael Legris, CEO von Pryv. Sie bietet Innovatoren im Bereich der digitalen Gesundheit eine rigoros getestete Standardlösung, die es ihnen ermöglicht, einfach und schnell vertrauenswürdige und skalierbare Produkte zu entwickeln", sagte Pierre-Mikael Legris, CEO von Pryv.

Das Angebot von Pryv und Build38 fördert die Einhaltung der strengen bestehenden und auch künftigen Datenschutz- und Cybersicherheitsbestimmungen. Entwicklungsteams benötigen damit keine speziellen Sicherheitskenntnisse oder Datenschutzexpertise. Somit können Unternehmen sich auf ihre Kernkompetenz konzentrieren, während sie Sicherheits- und Datenschutzbestimmungen einhalten, die Markteinführung beschleunigen und das Engagement der Benutzer durch Vertrauen und Transparenz fördern.

 

Über Build38:

Build38 ist ein globaler Anbieter von Lösungen zum Schutz mobiler Anwendungen. Sein Trusted Application Kit (T.A.K.-Lösung) kombiniert KI-Plattform und stärkstes App-Shielding für Anwendungen, welches mobile B2B- und B2C-Kanäle vor Betrug schützt und die Einhaltung von Vorschriften erleichtert. Es ermöglicht ebenso neue Anwendungsfälle wie auch neue digitale Geschäftsmodelle. Build38 schützt Anwendungen in verschiedenen Branchen, darunter Automobil, Finanzen, öffentlicher Verkehr und Gesundheitswesen. Build38 hat seinen Hauptsitz in München und unterhält Niederlassungen in Barcelona und Singapur.

Kontakt:
Torsten Leibner
Head of Product Management and Technology & Co-Founder
torsten.leibner@build38.com
T: +49 170 9389064
www.build38.com

 

Über Pryv SA:

Pryv macht die Verarbeitung persönlicher Gesundheitsdaten so sicher und vertrauenswürdig wie Online-Banking.

Pryv.io ist ein solides Fundament, auf dem Sie Ihre eigene digitale Gesundheitslösung aufbauen, damit Sie persönliche Daten erfassen, speichern, weitergeben und rechtmäßig nutzen können. Es wird mit "must-have consent"- und Auditing-Werkzeugen geliefert, um die Einhaltung bestehender und künftiger Vorschriften zu gewährleisten. Die Software wurde für eine schnelle Integration entwickelt, so dass Sie die Daten Ihrer Benutzer vom ersten Tag an richtig verwalten können. Sie wird mit einer schlüsselfertigen IoT-Konnektivität, einem sicheren Speichertresor, einem feingranularen Zustimmungsmanagement und umfassenden Prüfungsfunktionen geliefert, die das IT-Risiko und die Entwicklungskosten radikal senken und die Zeit bis zum Nutzen verkürzen, während gleichzeitig strengste Datenschutzanforderungen (GDPR) erfüllt werden.

Kontakt:
Evelina Georgieva
Co-founder & CBDO
evelina@pryv.com
+41788767016
www.pryv.com


“Digitale Gesundheitsapps (DiGA)“ – Apps auf Rezept vom Arzt
DiGA stellt App-Sicherheit in den Vordergrund

Bereits heute nutzen viele Patienten sogenannte „Gesundheit-Apps“, die beispielsweise dabei helfen, Arzneimittel regelmäßig einzunehmen, Blutzucker- oder Bluthochdruckwerte zu dokumentieren. Seit November 2019 ist bekannt, dass es diese Apps demnächst auf Rezept gibt. Das heißt auch, dass damit ca. 73 Millionen Versicherte in der gesetzlichen Krankenversicherung einen Anspruch auf eine Versorgung mit DiGA haben, die von Ärzten und Psychotherapeuten verordnet werden können und durch die Krankenkasse erstattet werden.

Rechtlicher Hintergrund

Mit dem Beschluss des „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (Digitale-Versorgung-Gesetz – DVG) am 7. November 2019 ist die Digital Gesundheitsapp auf Rezept der Realität deutlich nähergekommen.
Ferner hat das Bundesgesundheitsministerium am 8. April 2020 die zum Gesetz passende „Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)“ verabschiedet (veröffentlicht im Bundesanzeiger am 20.04.2020). Parallel dazu hat das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die DiGA-Leitlinie („Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V“) zur Diskussion veröffentlicht. Die DiGA-Leitlinie beschreibt im Detail, welche Anforderungen an die digitale Gesundheitsapp (DiGA) gestellt werden. Bereits am 5. Mai 2020 soll der Leitfaden in einer finalen Version bereitgestellt werden.

DiGA ist ein Medizinprodukt

Auch für die DiGA gelten, wie für andere Medizinprodukte auch, Vorschriften. Die wichtigsten Anforderungen und Eigenschaften an DiGA (ein Medizinprodukt) sind hierbei:

  • DiGA ist ein Medizinprodukt der Klasse I oder IIa (gemäß MDR, bzw. MDD) sein.
  • Die Hauptfunktion der DiGA beruht auf digitalen Technologien.
  • Der medizinische Zweck wird wesentlich durch die digitale Hauptfunktion erreicht.
  • Die DiGA unterstützt die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder die Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen. Der Hersteller hat positive Versorgungseigenschaften nachzuweisen.
  • Die DiGA wird vom Patienten oder von Leistungserbringer und Patient gemeinsam genutzt.
  • Die DiGA darf erst nach einem erfolgreichen Antrag beim BfArM auf Rezept ausgestellt werden.

Technische Anforderungen an DiGA

Allein die Einstufung der DiGA als Medizinprodukt macht es erforderlich, dass laut MDR (Anhang I, 17.2) explizit eine „State-of-the-art“ Software-Entwicklung zu erfolgen hat, auch in Bezug auf die IT-Sicherheit.

DiGAV (Anlage 1) als auch DiGA vertiefen diese Anforderungen und beschreiben (teilweise sehr detailliert) technische Anforderungen, wie eine Digital Gesundheitsanwendung zu entwickeln ist. Die Themenbreite reicht dabei vom Datenschutz (DS-GVO; BDSG) über BSI Standards zum IT-Grundschutz (Managementsysteme für Informationssicherheit (ISMS), IT-Grundschutz-Methodik, Risikomanagement) bis hin vom BSI veröffentlichten Technischen Richtlinien (Kryptografie, Identitäten). Eine weitere Verschärfung zum 1.1.2022 ist bereits heute vorgesehen, und damit werden auch DiGA App-Anbieter immer mehr gezwungen sein, bei der Entwicklung das Augenmerk auf starke App-Sicherheit zu haben und auf einen verlässlichen Sicherheits-Partner zurückgreifen zu können.

Build38 und DiGA

Die App erhält gleichzeitig die geforderte Härtung. Unsere Produkte werden permanent den neuesten Sicherheitserkenntnissen und Anforderungen angepasst, so dass auch DiGA Anbieter jederzeit die erforderliche Sicherheit garantieren können.
Auch bei der Erfüllung der Zusatzanforderungen für digitale Gesundheitsanwendungen mit hohem Schutzbedarf können wir weiterhelfen: Wir haben bereits mit verschiedenen Kunden Penetrationstests erfolgreich zusammen durchgeführt.

Haben wir Ihr Interesse geweckt? Schreiben Sie uns unter info@build38.com oder besuchen Sie uns www.build38.com.