Sicherheitslücken in Gesundheitsapps gefunden
Wie ein Artikel von ZEIT ONLINE berichtet, hatte jüngst das gemeinnützige Hackerkollektiv zerforschung – dass es sich zur Aufgabe macht, auf Sicherheitslücken aufmerksam zu machen – bei der App edupression testweise Daten von 2.000 Nutzenden erbeutet. Diese enthielten Tagebucheinträge zu aktuelle Beschwerden wie Schlafstörungen, Depression oder Suizidgedanken. Noch bevor die Experten das System des Herstellers Sofy GmbH komplett überprüfen konnten, um später über alle Mängel zu informieren, teilte dieser den Betroffenen den Vorfall mit.
Laut Bericht deutet der Fall auf systemische Probleme hin, „die es rund um die Zulassung von Apps gibt, die von Ärztinnen und Ärzten verschrieben und von Krankenkassen bezahlt werden.“ Denn es ist nicht der erste Fall, in dem sich Schwachstellen in der IT-Sicherheit entsprechender Anwendungen zeigen. Bereits im vergangenen Sommer hat zerforschung Sicherheitslücken bei zwei weiteren Apps aufgedeckt, berichtet ZEIT ONLINE weiter. „Auch in der App Novego – ebenfalls zur Behandlung von Depressionen – sowie in der App Cancado für Brustkrebspatientinnen konnten sie sich schon im vergangenen Sommer Zugriff auf Patienten- und Gesundheitsdaten verschaffen.“
Hat das Zertifizierungsverfahren Schwachstellen?
Nun steht der Verdacht im Raum, dass auch das Zertifizierungsverfahren für DiGA Schwachstellen hat. Für die Erstattungsfähigkeit einer App muss die Anwendung als Medizinprodukt zertifiziert und dann beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) als DiGA gelistet werden. Dafür müssen die Wirksamkeit und die Sicherheit der App nachgewiesen werden. Im beschleunigten Zulassungsverfahren müssten Anbieter die Wirksamkeit zunächst jedoch nur grob nachweisen, um gelistet zu werden, und bekommen ein Jahr lang Zeit, um entsprechende Studien durchzuführen, die "positive Versorgungseffekte" belegen, heißt es in dem Bericht. Zum Nachweis der IT-Sicherheit werde bisher lediglich ein sogenannter Penetrationstest verlangt. Dafür beauftragt der App-Anbieter einen externen Dienstleister seiner Wahl damit, die Sicherheit seiner App zu überprüfen – ein Vorgehen, das womöglich zum Schludern einlädt.
Dies könnte zumindest beim Penetrationstest von edupression der Fall gewesen zu sein: Nach Angaben, die Mitglieder von zerforschung gegenüber ZEIT ONLINE machten, sei die Sicherheitslücke „auf den ersten Blick“ zu sehen gewesen. Das Team habe nicht einmal wirklich hacken müssen, sondern lediglich Ziffern am Ende einer URL durchprobieren müssen, berichten sie.
Mit jede siebten DiGA gab es Probleme
Innerhalb weniger Stunden habe zerforschung so zwei Sicherheitslücken gefunden, durch die es möglich gewesen sei, sowohl die Daten als auch die Berichte über Suizidalität der Betroffenen sowie andere sehr persönliche Berichte über ihre verzweifelte Lage herunterzuladen, schreibt das Onlinemedium. Die Sofy GmbH stellt das anders dar: Um die Lücke auszunutzen, sei „eine geschickte Vorgehensweise mithilfe eines Programmiercodes erforderlich, für die technisches Spezialwissen, Kenntnisse von Webtechnologie, gute analytische Fähigkeiten sowie Programmierkenntnisse notwendig waren.“ Eine abwegige Argumentation, schließlich muss davon ausgegangen werden, dass Cyberkriminelle über eben diese Fähigkeiten verfügen.
Eine Anfrage nach dem Informationsfreiheitsgesetz zeigt: Zusammen mit edupression wurden bereits bei sechs der insgesamt 45 beim BfArM gelisteten DiGA Probleme mit Datensicherheit und Datenschutz aktenkundig, jede siebte Anwendung also. Damit nicht genug: im aktuellen Fall von edupression sollen Angaben zu Suizidgedanken direkt mit den Klarnamen der Betroffenen verknüpft und noch dazu unverschlüsselt für Angreifer zugänglich gewesen – stimmte das, wäre es ein Verstoß gegen die Europäische Datenschutzgrundverordnung DSGVO.