Bundesamt für Gesundheit (BAG)

«Die Zusammenarbeit mit Pentryx hat uns dabei unterstützt, sicherheitsrelevante Themen rund um SafeZone strukturiert zu prüfen und geeignete Massnahmen abzuleiten.»

- Alexandre Brodard, wissenschaftlicher Mitarbeiter, BAG

Sichere digitale Beratung für besonders sensible Gesundheitsdaten

Mit SafeZone betreibt Infodrog im Auftrag des Bundesamtes für Gesundheit (BAG) eine anonyme Online-Beratungsplattform für Suchtfragen. Die Plattform verarbeitet hochsensible Informationen – entsprechend hoch sind die Anforderungen an Datenschutz, Anonymität und Verfügbarkeit. Pentryx AG hat das BAG dabei unterstützt, Cyber-Risiken frühzeitig zu erkennen, Massnahmen wirksam umzusetzen und die Sicherheit der Plattform nachhaltig weiterzuentwickeln.

Gesucht war keine punktuelle Prüfung einzelner Funktionen, sondern eine strukturierte Sicherheitsüberprüfung der Fachanwendung im Gesamtkontext: Rollen- und Berechtigungskonzepte, Mandantentrennung, Datenschutz- und Anonymitätsanforderungen sowie der sichere Betrieb der angebundenen Systeme.

Sicherheit für sensible digitale Fachanwendungen

Im Rahmen eines Web-Penetrationstests wurden die SafeZone Kernportale sowie relevante Umsysteme (z. B. Chat, Video, Selbsttests) geprüft. Im Fokus standen typische sicherheitskritische Bereiche moderner Webplattformen – unter anderem Authentifizierung, Autorisierung, Mandantentrennung, Eingabevalidierung, Dateiuploads sowie Session- und Transport-Sicherheit.

Pentryx machte Risiken nicht nur sichtbar, sondern bereitete die Ergebnisse so auf, dass daraus konkrete, priorisierte Massnahmen abgeleitet werden konnten. Die Resultate wurden strukturiert dokumentiert, mit den verantwortlichen Stellen besprochen und in einen nachvollziehbaren fachlichen und betrieblichen Kontext eingeordnet.

Transparenz schaffen: Plattform, Rollen und Schutzmechanismen

SafeZone wird laufend weiterentwickelt, 2025 erfolgte zudem ein Hosting-Wechsel. Gerade in solchen komplexen Umgebungen ist eine methodische Sicherheitsprüfung mit Blick auf das Gesamtsystem entscheidend. Anstelle von einem Fokus auf einzelne Findings, muss das Zusammenspiel von Rollen, Berechtigungen, Mandantentrennung und relevanten Konfigurationen berücksichtigt werden.

So entstand aus dem Pentest mehr als ein technischer Prüfbericht: Eine fundierte Entscheidungsgrundlage für priorisierte Härtungsmassnahmen, klare Verantwortlichkeiten und die sichere Weiterentwicklung der Anwendung.

Wirksamkeit absichern: Besprechung und Retesting

Ein Sicherheitsprojekt entfaltet seinen Nutzen erst dann vollständig, wenn Ergebnisse nicht nur dokumentiert, sondern auch priorisiert, besprochen und bei Bedarf nachgeprüft werden. Deshalb wurden die Resultate gemeinsam mit dem Kunden und weiteren beteiligten Stellen besprochen und anschliessend implementierte Massnahmen mittels Retesting verifiziert.

Damit war die Zusammenarbeit konsequent auf Umsetzung ausgerichtet: strukturierte Berichterstattung, gemeinsame Einordnung der Resultate und gezielte Verifikation umgesetzter Massnahmen.

Sicherheit mit klarer Orientierung

Für Infodrog und das BAG entstand durch die Zusammenarbeit mit Pentryx eine klare, nachvollziehbare und priorisierte Sicht auf die Sicherheitslage von SafeZone.

Statt isolierter Einzelbefunde lag der Mehrwert in einer ganzheitlichen Einordnung der Risiken und in konkreten Empfehlungen, die sich in der Praxis umsetzen liessen.

Fazit

Die Success Story rund um SafeZone zeigt, wie sich sensible digitale Gesundheitsangebote sicher betreiben und weiterentwickeln lassen: durch eine strukturierte Sicherheitsüberprüfung, umsetzbare Massnahmen und die Verifikation ihrer Wirksamkeit. So entsteht eine belastbare Grundlage für Datenschutz, Anonymität und Vertrauen.