14.09.2021 - Aktuell kann es bei der elektronischen Patientenakte (ePA) kurzzeitig zu Einschränkungen bei der Nutzung kommen.:
Mehr erfahren

10.09.2021 - ePA: Maintenance ePA (Stufe 2): Die aktuelle Vorabveröffentlichung der gematik vom 10.09. steht ab sofort zum Download zur Verfügung. Die Rückmeldefrist endet am 17.09.2021.
Mehr erfahren

03.09.2021 - TI-Statusmeldung: Aktuell kommt es zu Interoperabilitätsproblemen an der Signaturschnittstelle des KoCoBox MED+ Konnektors der Version 4.2.10.
Weiterführende Informationen finden Sie hier:
Mehr erfahren

02.09.2021 - Konnektor PTV 5.0.2: Ab sofort steht Ihnen das Wartungsrelease "Maintenance 21.5" zum Download zur Verfügung.
Mehr erfahren

31.08.2021 - Vorabveröffentlichung Highspeed-Konnektor: Die Featurespezifikation zum Highspeed-Konnektor und die dazugehörigen Steckbriefe stehen ab sofort zum Download zur Verfügung. Die Rückmeldefrist endet am 13.09.2021.
Mehr erfahren

Fachkonferenz

Sichere App-Entwicklung

Das Fachforum für die sichere Entwicklung von mobilen Anwendungen

Weltweit gewinnen mobile Geräte mehr und mehr an Bedeutung. So steigt die Nutzung von Mobilgeräten seit Jahren kontinuierlich. Schon heute greifen mehr als 2/3 der Weltbevölkerung täglich auf ein Smartphone zu.
Die logische Konsequenz: zahlreiche mobile Anwendungen erobern immer neue Einsatzgebiete. Von der Kommunikations- und Unterhaltungsindustrie bis hin zu Finanzverwaltung und personalisierter Medizin gibt es kaum noch (Fach-)Bereiche ohne mindestens eine App. Doch bei aller Begeisterung für mobile Anwendungen darf ein essentieller Punkt nicht in den Hintergrund rücken: Sicherheit.

Dabei stellt vor allem ein hochkomplexer Bereich wie die personalisierte Medizin oder das digitale Gesundheitsmanagement aus Entwicklungssicht eine besondere Herausforderung – schließlich werden persönliche und sensible Daten verarbeitet, die im Verlustfall einen nicht zu beziffernden Schaden für Reputation, Gesundheit und Finanzen bedeuten.

Mit dem Fachforum "Sichere App-Entwicklung" bietet die gematik eine Austauschplattform, auf der wir mit Ihnen darüber sprechen wollen,  wie wir, die Softwareentwickler, die Sicherheit von mobilen Anwendungen verbessern können. Im Fokus des Fachforums stehen Technologien, Methoden und Werkzeuge, die frühzeitig in den Entwicklungsprozess integriert werden können.
Außerdem stellen wir Ihnen unter anderem die kritischen Schwachstellen aus der OWASP-Mobile-Top 10-Liste, mögliche Gegenmaßnahmen sowie praktische Erfahrungen mit sicherer App-Entwicklung aus zwei nationalen Großprojekten – dem E-Rezept und der Corona-Warn-App vor.

Speaker

Holger Ahl

Softwarearchitekt - gematik GmbH

Gerald Bartz

Softwareentwickler - gematik GmbH

Philip Engelmartin

Director – Security Advisory (Technology & Innovation) – SAP SE

Martin Fiebig

Softwareentwickler - gematik GmbH

Joachim Gärtner

Softwareentwickler - gematik GmbH

Christian Grümme

Softwareentwickler - gematik GmbH

Mike Kurtze

Softwareentwickler - gematik GmbH

Materna Information & Communications SE

Mitarbeiter - Materna Information & Communications SE

umlaut consulting GmbH

Mitarbeiter - umlaut consulting GmbH

Programm

Uhrzeit 

Programm

 Speaker

09:00 - 09:05 Begrüßung Dr.-Ing. Alexey Tschudnowsky (gematik)
09:05 - 09:50

Die Pandemie mit sicherer Softwareentwicklung bekämpfen
Dieser Vortrag geht auf die ersten Konzepte zu Datenschutz- und Sicherheit in der Corona-Warn-App ein und zeigt, wie sich diese im
dynamischen und agilen Umfeld mit der Zeit verändert haben.
Eine aufregende Reise durch die Anfänge des Corona-Warn-App-Projektes.

Philip Engelmartin (SAP SE)
10:00 - 10:50

Secure Software Development Lifecycle
Diese Präsentation erläutert, was mit einem sicheren Entwicklungslebenszyklus bezweckt wird und wie dieser aussehen kann. Am Beispiel des Entwicklungsprozesses in der E-Rezept-App wird auf die wichtigsten Aktivitäten, typische Herausforderungen und mögliche Toolunterstützung eingegangen.

Dr.-Ing. Alexey Tschudnowsky (gematik)

11:00 - 11:50

CI-Pipelines mit Sicherheit: Erfahrungen aus der E-Rezept-App
In diesem Vortrag zeigen wir, wie mit Hilfe von Jenkins, Docker und Werkzeugen zur statischen Codeanalyse stabile und Sicherheit-fördernde Build-Pipelines
für mobile Apps aufgebaut werden können.
Wir gehen dabei auf den Release-Prozess ein und diskutieren Vor- und Nachteile der getroffenen Entscheidungen.

Martin Fiebig/Joachim Gärtner (gematik)
13:00 - 13:50

Sichere App-Server-Kommunikation mit TLS1.3
In der Präsentation zeigen wir, wie die App-Server-Kommunikation mittels TLS 1.3 abgesichert werden kann.
Dabei stellen wir die Neuerungen von TLS 1.3 vor und gehen auf die folgenden Fragen ein:

  • Wie funktioniert TLS und wofür braucht man digitale Zertifikate?
  • Wie funktioniert ECC und warum wird es eingesetzt?
  • Welche Schutzmaßnahmen zu den Angriffen auf TLS 1.2 wurden ergriffen?
  • Was gibt es zu beachten, wenn man TLS1.3 bei der App-Entwicklung einsetzt?
Mike Kurtze/Christian Grümme/Martin Fiebig/Joachim Gärtner (gematik)
14:00 - 14:50

Authentisierung mittels elektronischer Gesundheitskarte
Die elektronische Gesundheitskarte wird zur Authentisierung der Versicherten in elektronischer Patientenakte (ePA)
und in der E-Rezept-App eingesetzt. Die Kommunikation mit dem Smartphone findet dabei über die NFC-Schnittstelle statt.
In dieser Präsentation erläutern wir das Authentifizierungsverfahren, werfen einen Blick in das Innere der Karte und zeigen, wie die Implementierung des Verfahrens
unter iOS aussehen kann.

Gerald Bartz/Holger Ahl (gematik)
15:00 - 15:50

OWASP Mobile Top 10
Dieser Vortrag stellt die OWASP Mobile Top 10-Liste vor, die die häufigsten kritischen Schwachstellen bei der App-Entwicklung umfasst.
Neben den Schwachstellen wird auf die möglichen Gegenmaßnahmen für Android und iOS-Geräte eingegangen.   

Materna Information & Communications SE
16:00 - 16:50

Zeige Dein Gesicht! Biometrische Authentifizierung in mobilen Apps (iOS & Android)
In dieser Präsentation zeigen wir, wie biometrische Authentifizierung in den Apps unter iOS & Android
praktisch realisiert werden kann. Dabei gehen wir auf die Möglichkeiten und Grenzen des Verfahrens ein,
erläutern die Rolle von Secure Enclave/Secure Elements und diskutieren Fallstricke und Best Practices.  

Martin Fiebig/Joachim Gärtner (gematik)

Ansprechpartner

Dr. Alexey Tschudnowsky

Leiter Software Development
software-development@gematik.de

Christian Lange

Leiter Mobile & Web Applications/Software-Architekt
software-development@gematik.de

Sebastian Henke

Leiter Cryptography & Network Protocols/Software-Architekt
software-development@gematik.de