Gesundheits-Apps: So einfach kommen Hacker an kritische Patientendaten

Gesundheits-Apps stehen aus guten Gründen unter besonderer Beobachtung. Jetzt gelangte der aus Sicht der Datenschützer und Nutzer besonders gravierende Fall um die App edupression an die Öffentlichkeit.

Es gibt solche und solche Apps. Bei Lifestyleprodukten mag es manchem User egal sein, ob der Datenschutz hundertprozentig eingehalten und gesichert ist. Andere Apps aber arbeiten mit so hochrangig existenziellen Angaben zur eigenen Person, dass sich Kompromisse von selbst verbieten – wie bei vielen Gesundheits-Apps der Fall. Hackergruppen nehmen solche sensiblen Datenplattformen gern ins Visier, um dort auf Sicherheitslücken und Datenlecks hinzuweisen, wo es sie eigentlich nicht geben dürfte.

Vertrauliche Gesundheitsdaten abgesaugt

Die edupression-App des österreichischen Anbieters Sofy wird depressiven und generell psychisch erkrankten Patienten ärztlich verschrieben. Sie können in der Anwendung zu ihrer seelischen Verfassung ein Beschwerdetagebuch führen und intimste Gedanken mitteilen – so auch über Suizidvorstellungen. In der App landen damit persönliche Daten und Gesundheitsdaten, die wohl niemand mit anderen teilen möchte, ausgenommen der Arzt und ähnliche Vertrauenspersonen.

Die Hackergruppe zerforschung gelang es jedoch, die Daten von 2000 Anwendern der App durch eine Schwachstelle abzuziehen. Weiter geschehen ist nach Auskunft der Datenschutz-Aktivistengruppe gegenüber den Medien nichts. Man habe lediglich auf die Sicherheitsmängel der Gesundheits-App aufmerksam machen wollen. Der demonstrative Datenklau erfolgte über eine unzureichend gesicherte Schnittstelle. zerforschung wies darauf hin, dass andere Hacker sich auf ähnliche Weise Daten verschaffen könnten, um mit den sensiblen Patienteninformationen kriminelle Machenschaften zu betreiben.

Selbst bestellte Sicherheitstester

Nun sollte man meinen, dass von Ärzten empfohlene und von Krankenkassen finanzierte Gesundheits-Apps hinlänglich sicher sind. Patienten wollen sich auf qualifizierte Empfehlungen verlassen. Die Hacker-Aktivisten von zerforschung haben allerdings auch bei weiteren Apps Unzulänglichkeiten bei der Datensicherung festgestellt. Es handelt sich also nicht um ein Einzelphänomen. Neben edupression sind auch die Apps Cancando und Novego für Brustkrebs-Patienten sowie ebenfalls für Depressive in den Fokus der Datenschützer geraten. Alle drei sind als digitale Gesundheitsanwendungen offiziell als Medizinprodukte zugelassen. Um die notwendige Zertifizierung zu erhalten, müssen diese meist nur als DIGA bezeichneten Anwendungen beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geprüft und gelistet werden.

Mit einem sogenannten Penetrationstest wird die Datensicherheit kontrolliert. Bei edupression gab es keine Beanstandungen durch das BfArM. Nun wird dieser Test aber an externe Spezialisten vergeben – die sich der Hersteller der Gesundheits-App selbst aussuchen darf. Da an der Nutzung der von den Krankenkassen bezahlten App große Umsatzerwartungen hängen, so befürchten Datenschützer, könnte auf die eine oder andere Weise Druck auf die Tester ausgeübt werden, um möglichst unkompliziert zu einem positiven Ergebnis zu gelangen. Das Team von zerforschung gab jedenfalls an, in kürzester Zeit zwei Sicherheitslücken bei edupression aufgedeckt zu haben, die andere Profis – und eben auch Cyberkriminelle – sicher ebenfalls schnell finden würden.

Ein struktureller Fehler im System

Während dem Bundesinstitut die Hände gebunden sind, eigene Sicherheitstest durchzuführen, boomt ein internationaler Schwarzmarkt mit Patientendaten, unter denen die von Depressiven besonders lukrativ zu sein scheinen. Im konkreten Fall der App edupression liefern sich Hersteller und Hacker eine juristische Auseinandersetzung. Die Anregung der Aktivisten von zerforschung, es anders und besser zu machen, etwa durch eine anonym nutzbare App, treten dagegen in den Hintergrund. Was bleibt, ist die Erkenntnis, es im Zertifizierungsprozess hinsichtlich der Datensicherheit mit einem strukturellen Problem zu tun zu haben.