Spitzenverband Digitale Gesundheitsversorgung startet Bug-Bounty-Programm
Der Spitzenverband Digitale Gesundheitsversorgung startet ein Bug-Bounty-Programm. Für mehr Sicherheit in digitalen Gesundheitsanwendungen.
Der im Dezember 2019 gegründete Spitzenverband Digitale Gesundheitsversorgung (SVDGV) startet ein Bug-Bounty-Programm. Damit sollen die inzwischen 170 Mitglieder des Verbands "gemeinsam mit ethischen Hackern" an der Sicherheit ihrer digitalen Gesundheitslösungen arbeiten, auch "über die geltenden [...] Standards hinaus". Für das Programm arbeitet der Verband mit der Plattform Intigriti zusammen, die die Reports validieren und die Beträge für die gefundenen Sicherheitslücken auszahlen. Die Höhe der Bug Bounties, die Hacker bei Erfolg erhalten sollen, liegt zwischen 40 Euro und 4.500 Euro.
Der SVDGV erhofft sich unter anderem Vorteile durch die große Anzahl von 50.000 Sicherheitsforscherinnen und -forschern, die auf Intigriti angemeldet sind. Ebenso soll es eine volle Kostenkontrolle geben. Die Zahlung erfolgt demnach nur bei Funden. Die eHealth-Unternehmen können mit "alle Arten von digitalen Produkten" wie Gesundheits- oder Pflegeanwendungen (DiGA oder DiPA) oder Websites und andere Anwendungen an dem Programm teilnehmen. Funde werden in Absprache mit den Unternehmen und den ethischen Hackern nachträglich in Kritikalitätsstufen eingeordnet. Die Grundgebühr trägt dabei der Verband.
Ziel des Verbands ist es laut SVDGV-Geschäftsführerin, Dr. Anne Sophie Geier, dass die Mitglieder des Verbands "von der kollektiven Expertise externer Expert:innen profitieren und Weiterentwicklungen schnell umsetzen." Auf diese Weise könnten Tech-Firmen "konsequent und zügig auf Veränderungen reagieren".
Sicherheitslücken bei DiGA
Immer wieder machen DiGA aufgrund von Datenschutzmängeln Schlagzeilen. So hatte das Kollektiv Zerforschung rund um Lilith Wittmann bereits mehrfach Sicherheitslücken gefunden, zuletzt in der App Edupression, die bei Depressionen verschrieben wird. Im vergangenen Jahr hatte Zerforschung unter anderem Sicherheitslücken in der Depressions-DiGA Novego und dem digitalen Tagebuch für Krebspatienten Cankado gefunden. Daraufhin hatte das BfArM noch im September 2022 überarbeitete Prüfkriterien für DiGA und DiPA veröffentlicht.
(mack)