Fitness-Tracking

AOK Bonus-App hatte Sicherheitslücke

Ein mdr-Rechercheteam hat entdeckt, dass sich in der AOK Bonus-App mutmaßlich seit Januar 2017 die Nutzer-Passwörter auslesen ließen. Die Sicherheitslücke ist behoben, das -risiko nicht.

"Es gibt keine deutschen Schrittzähler, der an Google & Co. vorbeiführt", schrieb die AOK lapidar, als das mdr-Team auf den Umstand hinwies, dass bei der Bonus-App die Gesundheitsdaten der Versicherten in die USA übertragen werden. Andrey Popov_Adobe Stock

Die AOK Bonus-App belohnt Mitglieder, die eine von drei Fitnessaktivitäten pro Tag nachweisen können. Gemessen wird mit Fitnesstracker, die Krankenkasse schreibt dann den Bonus gut. Bis zu 180 Euro zahlt die Kasse je Kunde jährlich an Boni.

So funktioniert die Datenübertragung

Das Fitnessarmband zeichnet Daten wie Pulsaktivität, geleistete Schritte und Kalorienverbrauch auf. Damit die Daten auf das Smartphone übertragen werden können, muss das Fitnessarmband mit der Fitness-App gekoppelt sein, in ihr werden die Daten auch gespeichert. Auf die Fitness-App greift schließlich die Bonus-App der Kasse zu, dabei wird geprüft, ob eine Fitness-Aktivität erfolgreich abgeschlossen wurde. Am Ende werden die Bonus-Punkte an die Kasse übertragen.

Wie der mdr herausfand, landen die Gesundheitsdaten allerdings auf einem Server an der US-Ostküste, noch bevor sie an die Bonus-App gesendet werden. Ob die sensiblen Daten in Übersee für Werbung genutzt werden, bleibt offen. Fest steht: Personaliserte Daten sind ein Milliardengeschäft - und überaus interessant für Versicherungen, Banken und Arbeitgeber.

"Es gibt keine deutschen Schrittzähler, der an Google & Co. vorbeiführt", entgegnete die AOK lapidar, als sie mit diesem - für Kunden versteckten - Datentransfer konfrontiert wurde.

Eine weitere Sicherheitslücke entdeckte das mdr-Team im Test: Der IT-Experte konnte problemlos das AOK-Passwort auslesen, mit dem sich das Mitglied online im Portal einloggt.

Die AOK Plus reagierte nach Angaben des mdr umgehend auf den Fehler und veröffentlichte eine aktualisierte Version der Bonus-App. Die Sicherheitslücke sei damit behoben. „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ,Schwachstelle’ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern“, teilte die AOK dem mdr mit.

Verifizieren konnte der mdr indes, dass zur Kasse nur die Bonus-Punkte übermittelt werden, keine Fitness- oder Vitaldaten. Hier hält die Krankenkasse also Wort. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die AOK Bonus-App.

USA: Hier gibt es die ersten Tarife mit Tracking-Pflicht

Dem mdr zufolge bieten in den USA schon erste Krankenversicherungen wie John Hancock Tarife mit Tracking-Pflicht an. Das heißt, wer sich nicht überwachen lässt, für den wird es teuer. Insbesondere möchte die Versicherung wissen, was die Kunden essen beziehungsweise trinken und tauscht zu diesem Zweck Daten mit 16.000 Supermärkten aus.

In Deutschland belohnt die Lebensversicherung Generali Vitali den Kauf von Gemüse - Mitglieder können bis zu 15 Prozent an Prämien sparen, wenn sie entsprechend viel Möhren, Salat oder Tomaten essen. 2019 soll das Programm auf die Krankenversicherung des Unternehmens übertragen werden.

Bei uns dürfen Kassen gesunden und sportlichen Menschen keine Sonderrabatte gewähren - deshalb läuft die Belohnung über Bonus-Apps.

11387141122025112202611220271137960 1137961 1122030
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare