Ablauf bei Sicherheitsgutachten für die Telematikinfrastruktur Hohe Hürden Dr. Manuel Koch, Randolf Skerka Mehrere unabhängige Gutachter stellen sicher, dass die digitalen Gesundheitsangebote der Telematikinfrastruktur hohen Sicherheitsanforderungen gerecht werden. Schließlich geht es häufig um hochsensible Gesundheitsdaten.

iX-tract Die Telematikinfrastruktur ist das deutsche Netzwerk für digitale Gesundheitsanwendungen für medizinische Einrichtungen. Weil dabei sensible Daten ausgetauscht werden, gelten hohe Anforderungen an die Sicherheit der Dienste, die Teil der Infrastruktur sind.

Für die Sicherheitsvorgaben ist die gematik zuständig, die die Telematikinfrastruktur auch betreibt. Geprüft werden sie aber von unabhängigen Produkt- und Sicherheitsgutachtern.

Gutachter müssen langjährige Erfahrung und spezielles Fachwissen in ihrem Themenbereich nachweisen. Letztlich garantieren sie mit ihrer Unterschrift, dass Hersteller und Produkt alle Sicherheitsanforderungen erfüllen.

Die Telematikinfrastruktur (TI) ist hierzulande die Basis für die meisten E-Health-Vorhaben. Sie vernetzt alle Akteure des Gesundheitswesens: unter anderen Ärzte, Krankenhäuser, Apotheken und Krankenkassen. Auch Patientinnen und Patienten sollen von den so ermöglichten digitalen Gesundheitsanwendungen profitieren. Da die in der TI verarbeiteten Daten hochsensibel sind, gelten hohe Ansprüche an die Sicherheit der einzelnen Anwendungen. Die Vorgaben müssen sowohl die Produkte erfüllen, die in der TI betrieben werden, als auch die Anbieter, die sie entwickeln und bereitstellen. Ein wesentlicher Bestandteil des Zulassungsprozesses sind daher Sicherheitsbegutachtungen, die dieser Artikel ausführlich vorstellt.

Für den Betrieb der TI ist die gematik zuständig, die spätestens mit der Einführung der elektronischen Patientenakte (ePA) breite Aufmerksamkeit erlangt hat. Zuletzt machte sie infolge des verschobenen E-Rezept-Starts Schlagzeilen (siehe „Es krankt weiter“ in iX 2/2022, S. 90). Sie legt die Anforderungen für die Produkte und Hersteller der TI fest: Die gematik erstellt und veröffentlicht die Spezifikationen für Komponenten und Dienste. Daran orientieren sich die Hersteller, wenn sie ihre Produkte entwickeln. Zudem legt die gematik auch die Prüfvorgaben in Produkttypsteckbriefen fest, nach denen Produkt- und Sicherheitsgutachter sowohl die Produkte als auch die Hersteller selbst im Rahmen der Zulassung prüfen. An den Prüfungen ist die gematik selbst nicht beteiligt.