BSI TR-03161
19. Apr 2026

BSI TR-03161 einfach erklärt: Was DiGA-Hersteller jetzt wissen müssen

Die BSI TR-03161 ist seit 2025 Pflicht für DiGA-Hersteller. Erfahren Sie was die Richtlinie bedeutet, welche drei Teile sie umfasst und was passiert wenn Sie die Anforderungen nicht erfüllen.

Kerim K.
10 Min. Lesezeit

Was ist die BSI TR-03161?

Die Technische Richtlinie BSI TR-03161 wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und definiert verbindliche Sicherheitsanforderungen für digitale Gesundheitsanwendungen (DiGA). Sie legt fest, welche technischen Sicherheitsmaßnahmen Hersteller umsetzen müssen, damit ihre Anwendung in das DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) aufgenommen werden kann. Die Richtlinie gliedert sich in drei Teile: Teil 1 für Mobile Anwendungen, Teil 2 für Web-Anwendungen und Teil 3 für Hintergrundsysteme (Backends und APIs). Sie baut maßgeblich auf etablierten OWASP-Standards auf – insbesondere dem OWASP MASVS (Mobile Application Security Verification Standard) und dem OWASP ASVS (Application Security Verification Standard).

Kernaussage

Die BSI TR-03161 ist die verbindliche Sicherheitsrichtlinie für DiGA und DiPA. Ohne Konformitätsnachweis keine Aufnahme ins DiGA-Verzeichnis und keine Erstattungsfähigkeit durch Krankenkassen.

Die TR-03161 ist keine Empfehlung – sie ist die Eintrittskarte ins DiGA-Verzeichnis.

Die drei Teile der TR-03161

  • Teil 1 – Mobile Anwendungen: Sicherheitsanforderungen für native und hybride Mobile Apps. Prüfaspekte umfassen Datenspeicherung, Kryptographie, Authentifizierung, Netzwerkkommunikation, Plattform-Interaktion und Code-Qualität – basierend auf OWASP MASVS und dem Mobile Security Testing Guide (MASTG).
  • Teil 2 – Web-Anwendungen: Anforderungen an browserbasierte Gesundheitsanwendungen. Fokus auf Authentifizierung, Session-Management, Input-Validierung, Content Security Policy und sichere Kommunikation – basierend auf OWASP ASVS.
  • Teil 3 – Hintergrundsysteme: Sicherheitsanforderungen an Backend-Systeme, APIs und Datenbanken. Prüfaspekte sind Autorisierung, Datenhaltung, Kryptographie, sichere Konfiguration und Logging.
  • Bedrohungsszenarien: Jeder Teil definiert spezifische Bedrohungsszenarien, die bei der Sicherheitsprüfung berücksichtigt werden müssen. Diese orientieren sich an realen Angriffsmustern im Gesundheitswesen.
  • Prüfaspekte: Die Richtlinie beschreibt konkrete Prüfaspekte, die ein Prüfer bei der Zertifizierung bewerten muss – von der sicheren Schlüsselspeicherung bis zur Resistenz gegen Reverse Engineering.
  • bsiTr03161EinfachErklaertDetail.sections.commonAttackVectors.items.5

Warum ist das ab 2025 gesetzliche Pflicht?

Die regulatorische Grundlage bildet die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) in Verbindung mit § 139e SGB V. Seit 2025 müssen DiGA-Hersteller die Konformität mit der BSI TR-03161 nachweisen, um in das DiGA-Verzeichnis aufgenommen zu werden. Ohne diese Aufnahme ist eine Erstattung durch die gesetzlichen Krankenkassen nicht möglich.

Was passiert ohne TR-03161-Konformität?

bsiTr03161EinfachErklaertDetail.sections.impactAnalysis.statistics.averageCost.value
bsiTr03161EinfachErklaertDetail.sections.impactAnalysis.statistics.averageCost.label
bsiTr03161EinfachErklaertDetail.sections.impactAnalysis.statistics.identificationTime.value
bsiTr03161EinfachErklaertDetail.sections.impactAnalysis.statistics.identificationTime.label
bsiTr03161EinfachErklaertDetail.sections.impactAnalysis.statistics.multipleBreaches.value
bsiTr03161EinfachErklaertDetail.sections.impactAnalysis.statistics.multipleBreaches.label

bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.title

bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.content

bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.title

  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.0
  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.1
  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.2
  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.3
  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.4
  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.5
  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.6
  • bsiTr03161EinfachErklaertDetail.sections.mitigationStrategies.essentialPractices.items.7

Fazit: Frühzeitig vorbereiten zahlt sich aus

bsiTr03161EinfachErklaertDetail.sections.conclusion.content1

bsiTr03161EinfachErklaertDetail.sections.conclusion.content2

#bsiTr03161EinfachErklaertDetail.tags.0#bsiTr03161EinfachErklaertDetail.tags.1#bsiTr03161EinfachErklaertDetail.tags.2#bsiTr03161EinfachErklaertDetail.tags.3#bsiTr03161EinfachErklaertDetail.tags.4#bsiTr03161EinfachErklaertDetail.tags.5

Bereit für die TR-03161-Vorbereitung?

Lassen Sie Ihre Anwendung von unseren Experten prüfen.

bsiTr03161EinfachErklaertDetail.cta.disclaimer

Verwandte Artikel

BSI TR-0316112 Min. Lesezeit

So bereiten Sie Ihre Gesundheitsanwendung auf die TR-03161-Zertifizierung vor

Praxisorientierter Leitfaden: Schritte, Stolpersteine und warum ein vorbereitender Pentest sinnvoll ist.

BSI TR-0316111 Min. Lesezeit

Mobile App Security im Gesundheitswesen: Die häufigsten Schwachstellen

Technischer Überblick über typische Sicherheitsprobleme in Gesundheits-Apps nach TR-03161.

Kerim K.

Geschäftsführer & Offensive Security, SODU Secure GmbH

Informatikstudent TU Berlin, Gründer von SODU Secure. Spezialisiert auf Penetration Testing, BSI TR-03161 Sicherheitsprüfungen und IT-Sicherheit für Gesundheitsanwendungen.

War dieser Artikel hilfreich?

Mit Ihrem Netzwerk teilen

Pentest Berlin – Preis sofort berechnen | SODU Secure