BSI TR-03161
19. Apr 2026

So bereiten Sie Ihre Gesundheitsanwendung auf die TR-03161-Zertifizierung vor

Praxisorientierter Leitfaden für DiGA-Hersteller: Welche Schritte sind nötig, welche Stolpersteine gibt es und warum ist ein vorbereitender Pentest sinnvoll?

Kerim K.
12 Min. Lesezeit

Der Weg zur TR-03161-Zertifizierung

Die Zertifizierung nach BSI TR-03161 ist für DiGA-Hersteller seit 2025 Pflicht. Doch der Weg dorthin muss nicht kompliziert sein, wenn Sie ihn strukturiert angehen. In diesem Artikel zeigen wir Ihnen die konkreten Schritte, typische Stolpersteine und warum eine vorbereitende Sicherheitsprüfung den Unterschied machen kann. Die Zertifizierung wird durch eine vom BSI anerkannte Prüfstelle durchgeführt. Doch bevor Sie dort anklopfen, sollten Sie sicherstellen, dass Ihre Anwendung die Prüfaspekte der TR-03161 tatsächlich erfüllt. Genau hier setzen wir an.

Wichtig zu wissen

Eine gründliche Vorbereitung reduziert das Risiko, bei der offiziellen Zertifizierung durchzufallen – und spart damit Zeit, Geld und Nerven.

Die beste Vorbereitung auf eine Prüfung ist, sie vorher schon einmal bestanden zu haben – unter realistischen Bedingungen.

Die Schritte zur Zertifizierung

  • Schritt 1 – Anforderungen verstehen: Machen Sie sich mit den drei Teilen der TR-03161 vertraut. Identifizieren Sie, welche Teile für Ihre Anwendung relevant sind (Mobile, Web, Backend oder alle drei).
  • Schritt 2 – Interne Bestandsaufnahme: Prüfen Sie intern, welche Sicherheitsmaßnahmen bereits umgesetzt sind. Dokumentieren Sie den Ist-Zustand systematisch.
  • Schritt 3 – Gap-Analyse: Lassen Sie eine professionelle Gap-Analyse durchführen. Ein spezialisierter Dienstleister vergleicht Ihren Ist-Zustand mit den Anforderungen der TR-03161 und zeigt konkret, wo Handlungsbedarf besteht.
  • Schritt 4 – Schwachstellen beheben: Arbeiten Sie die identifizierten Lücken ab. Priorisieren Sie nach Kritikalität – kritische Findings zuerst.
  • Schritt 5 – Vorbereitender Pentest: Lassen Sie einen Penetrationstest nach den Prüfaspekten der TR-03161 durchführen. So erkennen Sie Schwachstellen, die in der Gap-Analyse nicht sichtbar waren.
  • Schritt 6 – Dokumentation vorbereiten: Die offizielle Prüfstelle benötigt umfangreiche Dokumentation: Sicherheitskonzept, Risikoanalyse, Testberichte, Architektur-Dokumentation.

Typische Stolpersteine

Aus unserer Erfahrung mit Gesundheitsanwendungen wissen wir: Es gibt wiederkehrende Probleme, die Hersteller bei der TR-03161-Vorbereitung überraschen.

Häufige Probleme bei der Vorbereitung

tr03161ZertifizierungVorbereitungDetail.sections.impactAnalysis.statistics.averageCost.value
tr03161ZertifizierungVorbereitungDetail.sections.impactAnalysis.statistics.averageCost.label
tr03161ZertifizierungVorbereitungDetail.sections.impactAnalysis.statistics.identificationTime.value
tr03161ZertifizierungVorbereitungDetail.sections.impactAnalysis.statistics.identificationTime.label
tr03161ZertifizierungVorbereitungDetail.sections.impactAnalysis.statistics.multipleBreaches.value
tr03161ZertifizierungVorbereitungDetail.sections.impactAnalysis.statistics.multipleBreaches.label

tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.title

tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.content

tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.title

  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.0
  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.1
  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.2
  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.3
  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.4
  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.5
  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.6
  • tr03161ZertifizierungVorbereitungDetail.sections.mitigationStrategies.essentialPractices.items.7

Fazit: Strukturierte Vorbereitung ist der Schlüssel

tr03161ZertifizierungVorbereitungDetail.sections.conclusion.content1

tr03161ZertifizierungVorbereitungDetail.sections.conclusion.content2

#tr03161ZertifizierungVorbereitungDetail.tags.0#tr03161ZertifizierungVorbereitungDetail.tags.1#tr03161ZertifizierungVorbereitungDetail.tags.2#tr03161ZertifizierungVorbereitungDetail.tags.3#tr03161ZertifizierungVorbereitungDetail.tags.4#tr03161ZertifizierungVorbereitungDetail.tags.5

Starten Sie Ihre TR-03161-Vorbereitung

Kostenlose Erstberatung – wir zeigen Ihnen, wo Sie stehen.

tr03161ZertifizierungVorbereitungDetail.cta.disclaimer

Verwandte Artikel

BSI TR-0316110 Min. Lesezeit

BSI TR-03161 einfach erklärt: Was DiGA-Hersteller jetzt wissen müssen

Einführungsartikel zur BSI TR-03161 – die drei Teile, die Pflicht und was bei Nicht-Erfüllung passiert.

BSI TR-0316111 Min. Lesezeit

Mobile App Security im Gesundheitswesen: Die häufigsten Schwachstellen

Technischer Überblick über typische Sicherheitsprobleme in mobilen Gesundheitsanwendungen.

Kerim K.

Geschäftsführer & Offensive Security, SODU Secure GmbH

Informatikstudent TU Berlin, Gründer von SODU Secure. Spezialisiert auf Penetration Testing, BSI TR-03161 Sicherheitsprüfungen und IT-Sicherheit für Gesundheitsanwendungen.

War dieser Artikel hilfreich?

Mit Ihrem Netzwerk teilen

Pentest Berlin – Preis sofort berechnen | SODU Secure