Sind Sie eine BSI-anerkannte Prüfstelle?

Nein. Das offizielle TR-03161-Zertifikat kann nur durch eine BSI-anerkannte Stelle ausgestellt werden. Wir bieten die ideale Vorbereitung: Wir führen den gesamten technischen Prüfprozess vorab durch, identifizieren alle Schwachstellen und bereiten Sie so vor, dass Sie die offizielle Zertifizierung beim ersten Anlauf bestehen.

Was passiert, wenn meine DiGA die Anforderungen nicht erfüllt?

Ohne den Sicherheitsnachweis nach TR-03161 kann Ihre Anwendung nicht in das DiGA-Verzeichnis aufgenommen werden – und ist damit nicht durch die gesetzlichen Krankenkassen erstattungsfähig. Ein vorbereitender Test hilft, Lücken früh zu erkennen und kostspielige Verzögerungen zu vermeiden.

Wie lange dauert eine vorbereitende TR-03161-Prüfung?

Je nach Umfang und Komplexität der Anwendung typischerweise 2–4 Wochen. Die Gap-Analyse allein lässt sich oft innerhalb von 1–2 Wochen durchführen.

Welche Standards bilden die Grundlage der TR-03161?

Die TR-03161 baut maßgeblich auf etablierten OWASP-Standards auf: OWASP MASVS und der Mobile Security Testing Guide (MASTG) für mobile Anwendungen sowie OWASP ASVS für Web-Anwendungen. Unsere Prüfmethodik orientiert sich genau an diesen Frameworks.

BSI TR-03161 · DiGA & DiPA · § 139e SGB V

BSI TR-03161 Sicherheit für digitale Gesundheitsanwendungen

Q: Was ist die BSI TR-03161?

Die BSI TR-03161 ist eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie definiert Sicherheitsanforderungen für digitale Gesundheitsanwendungen (DiGA) und ist in drei Teile gegliedert: Mobile Apps, Web-Anwendungen und Hintergrundsysteme (Backends/APIs).

Q: Ist die TR-03161 Pflicht für DiGA-Hersteller?

Ja. Seit 2025 müssen DiGA-Hersteller die Sicherheitsanforderungen der TR-03161 nachweisen, um in das DiGA-Verzeichnis des BfArM aufgenommen zu werden. Grundlage sind die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) sowie § 139e SGB V.

Die Technische Richtlinie BSI TR-03161 definiert verbindliche Sicherheitsanforderungen für digitale Gesundheitsanwendungen. Wir bereiten Ihre DiGA/DiPA mit Gap-Analyse und Penetrationstests optimal auf die offizielle Zertifizierung vor.

Kostenlose TR-03161-Erstberatung Penetrationstest

Was ist die BSI TR-03161?

Die TR-03161 ist eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie definiert verbindliche Sicherheitsanforderungen für digitale Gesundheitsanwendungen und gliedert sich in drei Teile: mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme (Backends/APIs).

Seit 2025 ist der Nachweis der Konformität gesetzlich vorgeschrieben, um in das DiGA-Verzeichnis des BfArM aufgenommen zu werden (Grundlage: DiGAV, § 139e SGB V). Methodisch baut die Richtlinie auf etablierten OWASP-Standards auf – MASVS, MASTG und ASVS.

Herausgeber

BSI

Pflicht seit

2025 (DiGA)

Grundlage

§ 139e SGB V / DiGAV

Welche Anforderungen stellt die TR-03161?

Hersteller müssen Sicherheit über die gesamte Anwendung nachweisen – von der mobilen App über das Web-Frontend bis zu Backend und Schnittstellen.

Sicherheitsanforderungen für mobile Apps (Teil 1) nach OWASP MASVS / MASTG

Prüfaspekte für Web-Anwendungen (Teil 2) nach OWASP ASVS

Sicherheit der Hintergrundsysteme (Teil 3): Authentifizierung, Kryptographie, Datenhaltung, APIs

Nachweis durch Zertifikat einer BSI-anerkannten Prüfstelle als Voraussetzung für die DiGA-Listung

Der Weg ins DiGA-Verzeichnis

Entwicklung

DiGA/DiPA nach Sicherheitsstandards entwickeln

Gap-Analyse

Abgleich gegen alle Prüfaspekte der TR-03161

Sicherheitsprüfung

Penetrationstests von App, Web und Backend (wir bereiten Sie vor)

Zertifizierung

Offizielle Prüfung durch eine BSI-anerkannte Stelle

BfArM-Antrag

Aufnahme ins DiGA-Verzeichnis und Erstattungsfähigkeit

Konsequenzen bei Nichteinhaltung

Was passiert ohne TR-03161-Nachweis?

Ohne den Sicherheitsnachweis nach TR-03161 bleibt Ihrer Anwendung der regulierte Gesundheitsmarkt verschlossen – mit unmittelbaren wirtschaftlichen Folgen.

Keine DiGA-Aufnahme

Ausschluss vom Verzeichnis

Ohne TR-03161-Konformität wird Ihre Anwendung nicht in das DiGA-Verzeichnis des BfArM aufgenommen.

Keine Erstattung

Kein Kassenmarkt

Nur gelistete DiGA sind verordnungs- und erstattungsfähig durch die gesetzlichen Krankenkassen – ohne Listung entfällt dieser gesamte Markt.

Verzögerung & Kosten

Teure Nachbesserung

Werden Sicherheitslücken erst in der offiziellen Prüfung gefunden, drohen Ablehnung, erneute Prüfungen und monatelange Verzögerungen beim Marktstart.

Was wir konkret anbieten

Vorbereitende Sicherheitsprüfungen nach den Prüfaspekten der TR-03161 – von der Gap-Analyse bis zur Begleitung in die offizielle Zertifizierung.

Gap-Analyse

Systematische Prüfung Ihrer Anwendung gegen alle Prüfaspekte der TR-03161 – wir zeigen konkret, wo Handlungsbedarf besteht.

Schwachstellenanalyse & Pentest

Technische Sicherheitsprüfung nach den Bedrohungsszenarien der TR-03161, orientiert an OWASP MASVS, MASTG und ASVS.

Beratung zur Umsetzung

Konkrete, priorisierte Empfehlungen und Unterstützung bei der technischen Umsetzung der Sicherheitsanforderungen.

Vorbereitung auf die Zertifizierung

Wir bereiten Sie so auf die offizielle Prüfung durch eine BSI-anerkannte Prüfstelle vor, dass Sie beim ersten Anlauf bestehen.

Für wen ist das?

Unsere TR-03161-Sicherheitsprüfung richtet sich an alle, die digitale Anwendungen im Gesundheitswesen entwickeln oder betreiben.

DiGA-Hersteller

Hersteller digitaler Gesundheitsanwendungen, die ins DiGA-Verzeichnis aufgenommen werden wollen oder bereits gelistet sind.

DiPA-Hersteller

Anbieter digitaler Pflegeanwendungen mit Sicherheitsnachweis-Pflicht gegenüber dem BfArM.

Healthtech-Startups

Junge Unternehmen im Gesundheitswesen, die von Anfang an auf sichere Entwicklung setzen.

App-Entwickler im Gesundheitswesen

Entwicklungsdienstleister, die Gesundheitsanwendungen für Dritte entwickeln und Sicherheit nachweisen müssen.

Unser Vorgehen

Ein klar strukturierter Prozess – von der ersten Beratung bis zum prüffähigen Nachweis.

Erstgespräch

Kostenlos: Wir verstehen Ihre Anwendung, den Entwicklungsstand und die regulatorischen Anforderungen.

Gap-Analyse

Systematische Überprüfung gegen die Prüfaspekte der TR-03161 mit klarem Statusüberblick.

Technische Prüfung

Penetrationstest, Code- und Konfigurationsprüfung nach TR-03161-Maßstäben.

Bericht & Empfehlungen

Detaillierter Prüfbericht mit Findings, CVSS-Bewertungen und priorisierten Handlungsempfehlungen.

Begleitung zur Zertifizierung

Unterstützung bei der Behebung und Vorbereitung der Dokumentation für die offizielle Prüfung.

Weitere Standards & Regularien

Wir decken die gängigen Sicherheits- und Compliance-Anforderungen ab. Sehen Sie sich verwandte Themen an.

MDR

Cybersicherheit für Medizinprodukte mit Software.

Pentest Gesundheit

Penetrationstests speziell für Gesundheitsanwendungen.

ISO 27001

Internationaler Standard für Informationssicherheit.

Häufige Fragen

BSI TR-03161 betrifft Sie? Sprechen wir darüber.

Kostenlose Erstberatung – wir analysieren Ihre Ausgangslage und zeigen den schnellsten Weg zur Konformität.

Kostenlose Erstberatung anfragen Zum Penetrationstest