Pentest · DiGA · DiPA · Gesundheitswesen

Penetrationstest für Gesundheitsanwendungen

Spezialisierte Sicherheitsprüfung für digitale Gesundheitsanwendungen – orientiert an BSI TR-03161, OWASP MASVS, OWASP ASVS und dem OWASP Mobile Security Testing Guide.

Kostenlose Erstberatung anfragenMehr zur BSI TR-03161

Was ein Pentest im Kontext von Gesundheitsanwendungen bedeutet

Ein Penetrationstest für Gesundheitsanwendungen geht über einen Standard-Pentest hinaus. Gesundheitsdaten zählen nach DSGVO Art. 9 zu den besonderen Kategorien personenbezogener Daten und unterliegen einem erhöhten Schutzbedarf.

Unsere Prüfmethodik orientiert sich an den konkreten Prüfaspekten und Bedrohungsszenarien der BSI TR-03161 sowie an den OWASP-Standards, auf denen die TR-03161 aufbaut. So identifizieren wir nicht nur generische Schwachstellen, sondern auch die spezifischen Risiken, die bei der offiziellen Zertifizierung geprüft werden.

Prüfung nach BSI TR-03161 Bedrohungsszenarien
OWASP MASVS / MASTG für Mobile Apps
OWASP ASVS für Web-Anwendungen
Besonderer Fokus auf Gesundheitsdaten-Schutz
Detaillierter Bericht mit CVSS-Bewertung

Testumfang im Überblick

Mobile AppiOS & Android – native & hybrid
Web-FrontendSPA, PWA, Browser-Anwendungen
API-SchnittstellenREST, GraphQL, SOAP
Backend-InfrastrukturServer, Datenbanken, Cloud
AuthentifizierungLogin, MFA, Token, Sessions
DatenhaltungVerschlüsselung, Logging, Backup
KommunikationTLS, Certificate Pinning
KryptographieAlgorithmen, Schlüssel, PRNG

Welche Bereiche wir testen

Umfassende Sicherheitsprüfung aller Komponenten Ihrer Gesundheitsanwendung.

Mobile Apps (iOS & Android)

Analyse nativer und hybrider Gesundheits-Apps: Datenspeicherung, Inter-Process Communication, Kryptographie, Netzwerkkommunikation, Plattform-Interaktion und Code-Qualität.

Web-Frontends

Prüfung von Browser-basierten Gesundheitsanwendungen: Authentifizierung, Session Management, Input Validation, Content Security Policy, XSS, CSRF und mehr.

APIs & Backend-Systeme

Sicherheitsanalyse von REST/GraphQL-APIs, Microservices und Backend-Infrastruktur: Autorisierung, Rate Limiting, Injection, Business Logic Flaws.

Authentifizierung & Autorisierung

Prüfung der gesamten Authentifizierungskette: Login-Verfahren, Multi-Faktor-Authentifizierung, Token-Handling, Passwort-Policies, Privilege Escalation.

Datenhaltung & Datenschutz

Analyse der Datenspeicherung: Verschlüsselung at Rest, sichere Datenbank-Konfiguration, Logging-Praktiken, Umgang mit Gesundheitsdaten (besondere Kategorien nach DSGVO).

Kryptographie & TLS

Überprüfung der Kryptographie-Implementierungen: TLS-Konfiguration, Certificate Pinning, Schlüsselmanagement, Verschlüsselungsalgorithmen und sichere Zufallszahlengenerierung.

Standards & Frameworks

Unsere Prüfmethodik basiert auf den Standards, auf denen die BSI TR-03161 aufbaut – ergänzt durch unsere praktische Erfahrung aus zahlreichen Sicherheitsprüfungen.

BSI TR-03161

Technische Richtlinie des BSI mit spezifischen Prüfaspekten und Bedrohungsszenarien für digitale Gesundheitsanwendungen.

Teil 1: Mobile AppsTeil 2: Web-AnwendungenTeil 3: Hintergrundsysteme

OWASP MASVS

Mobile Application Security Verification Standard – das Framework für die Sicherheitsanforderungen mobiler Anwendungen, auf dem die TR-03161 aufbaut.

DatenspeicherungKryptographieAuthentifizierungNetzwerkkommunikationPlattform-InteraktionCode-QualitätResilienz

OWASP ASVS

Application Security Verification Standard – der Referenzstandard für die Sicherheit von Web-Anwendungen und APIs.

ArchitekturAuthentifizierungSession ManagementZugangskontrolleValidierungKryptographie

OWASP MASTG

Mobile Application Security Testing Guide – die umfassende Testmethodik für mobile Sicherheitsprüfungen.

iOS TestingAndroid TestingReverse EngineeringTampering Detection

Typische Schwachstellen in Gesundheitsanwendungen

Diese Sicherheitsprobleme finden wir regelmäßig bei der Prüfung digitaler Gesundheitsanwendungen.

Kritisch

Unsichere Datenspeicherung

Gesundheitsdaten werden unverschlüsselt auf dem Gerät gespeichert, in Logs geschrieben oder in Shared Preferences / Keychain unsicher abgelegt.

Hoch

Fehlendes Certificate Pinning

Ohne Certificate Pinning können Man-in-the-Middle-Angriffe die Kommunikation zwischen App und Backend abfangen – besonders kritisch bei Gesundheitsdaten.

Kritisch

Schwache Authentifizierung

Fehlende oder unzureichende Authentifizierung: schwache Passwort-Policies, fehlendes MFA, unsichere Token-Generierung oder Session-Management.

Hoch

Unsichere API-Endpunkte

Fehlende Autorisierungsprüfungen, IDOR-Schwachstellen, fehlende Rate-Limits oder unzureichende Input-Validierung an API-Schnittstellen.

Mittel

Informationslecks

Sensible Daten in Debug-Logs, Error Messages, Clipboard, Screenshots oder App-Backups – häufig übersehen, aber hochriskant bei Gesundheitsdaten.

Hoch

Unsichere Kryptographie

Verwendung veralteter Algorithmen (MD5, SHA1, DES), hardcodierte Schlüssel, unsichere Zufallszahlen oder fehlerhafte TLS-Konfiguration.

Sie brauchen eine vollständige TR-03161-Vorbereitung?

Auf unserer BSI TR-03161 Seite erfahren Sie alles über die gesetzlichen Anforderungen, unseren Prüfprozess und wie wir Sie optimal auf die Zertifizierung vorbereiten.

Zur BSI TR-03161 Sicherheitsprüfung

Häufige Fragen

Pentest anfragen

Kostenlose Erstberatung – wir melden uns innerhalb von 1–2 Werktagen.

Anfrage senden

Füllen Sie das Formular aus – wir melden uns innerhalb von 1–2 Werktagen.

Penetrationstest für Gesundheitsanwendungen – DiGA & DiPA Pentest | SODU Secure | SODU Secure