Gesundheits-Apps: Wie Hacker leicht Zugriff auf sensible Patientendaten erhalten können

Während es manchen Benutzern von Lifestyle-Produkten möglicherweise egal ist, ob der Datenschutz zu hundert Prozent gewährleistet ist, handelt es sich bei anderen Apps um Plattformen, die mit äußerst sensiblen persönlichen Informationen arbeiten.

Kompromisse sind in solchen Fällen absolut inakzeptabel. Leider nehmen Hackergruppen gern solche Datenplattformen ins Visier, um Sicherheitslücken und Datenlecks aufzudecken, die eigentlich nicht existieren sollten. Kürzlich wurde der besonders schwerwiegende Fall der App edupression von Datenschützern und Benutzern öffentlich gemacht.

Sensible Gesundheitsinformationen unrechtmäßig erlangt: das Ausmaß der edupression-App

Die edupression-App, entwickelt von Sofy, einem Anbieter aus Österreich, wird Patienten mit Depressionen und psychischen Erkrankungen auf ärztliche Verschreibung hin empfohlen. In dieser Anwendung können sie ein Tagebuch über ihre emotionale Verfassung führen und sogar ihre intimsten Gedanken, einschließlich Suizidgedanken, teilen. Dadurch gelangen persönliche und äußerst vertrauliche Gesundheitsdaten in die App, die niemand gern mit anderen teilen würde, außer mit dem behandelnden Arzt und ähnlich vertrauenswürdigen Personen.

Die Hackergruppe „zerforschung“ konnte durch Ausnutzung einer Sicherheitslücke die Daten von 2000 Anwendern der App extrahieren. Laut einer Stellungnahme der Datenschutz-Aktivistengruppe gegenüber den Medien sind bisher keine weiteren Vorfälle bekannt. Ihr Ziel sei es lediglich gewesen, auf die Sicherheitsmängel der Gesundheits-App aufmerksam zu machen. Der demonstrative Datenklau erfolgte über eine unzureichend geschützte Schnittstelle. „zerforschung“ wies darauf hin, dass andere Hacker auf ähnliche Weise Zugang zu den sensiblen Patienteninformationen erhalten könnten, um damit kriminelle Aktivitäten durchzuführen.

Von unabhängigen Sicherheitstestern überprüfte Gesundheits-Apps

Man könnte annehmen, dass Gesundheits-Apps, die von Ärzten empfohlen und von Krankenkassen finanziert werden, ausreichend sicher sind. Patienten möchten sich auf qualifizierte Empfehlungen verlassen können. Jedoch haben die Hacker-Aktivisten der Gruppe „zerforschung“ auch bei anderen Apps Schwachstellen in Bezug auf den Datenschutz festgestellt. Es handelt sich somit nicht um ein isoliertes Phänomen. Neben der App edupression sind auch die Apps Cancando und Novego, die für Brustkrebs-Patienten sowie depressive Patienten entwickelt wurden, ins Visier der Datenschützer geraten. Alle drei Apps sind offiziell als Medizinprodukte zugelassen und werden als sogenannte „Digitale Gesundheitsanwendungen“ (DIGA) bezeichnet. Um die erforderliche Zertifizierung zu erhalten, müssen diese Apps einer Prüfung und Aufnahme in die Liste des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) unterzogen werden.

Um die Datensicherheit zu überprüfen, wird ein sogenannter Penetrationstest durchgeführt. Bei edupression wurden keine Bedenken seitens des BfArM geäußert. Allerdings wird dieser Test nun an externe Spezialisten vergeben, die vom Hersteller der Gesundheits-App selbst ausgewählt werden dürfen. Datenschützer befürchten, dass aufgrund der hohen Umsatzerwartungen, die mit der Nutzung der von Krankenkassen bezahlten App einhergehen, möglicherweise Druck auf die Tester ausgeübt werden könnte, um schnellstmöglich zu einem positiven Ergebnis zu gelangen. Das Team von „zerforschung“ gab an, innerhalb kürzester Zeit zwei Sicherheitslücken bei edupression entdeckt zu haben, die auch von anderen Fachleuten und Cyberkriminellen schnell gefunden werden könnten.

Ein inhärentes, strukturelles Problem im System

Während das Bundesinstitut selbst nicht in der Lage ist, eigene Sicherheitstests durchzuführen, blüht ein internationaler Schwarzmarkt mit Patientendaten, wobei die Daten von depressiven Patienten besonders lukrativ zu sein scheinen. Im speziellen Fall der App edupression befinden sich Hersteller und Hacker in einem rechtlichen Streit. Die Vorschläge der Aktivisten von „zerforschung“, alternative und verbesserte Ansätze, wie eine anonym nutzbare App, zu entwickeln, geraten dabei in den Hintergrund. Die Erkenntnis bleibt, dass im Zertifizierungsprozess ein grundlegendes, strukturelles Problem in Bezug auf die Datensicherheit besteht.