Eklatante Sicherheitslücken in Gesundheits-Apps aufgedeckt

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) mit seinen 1350 Mitarbeitern hatte es nicht geschafft, gründlich zu prüfen. Nun haben sechs junge „Digitalhandwerker“ vom Kollektiv Zerforschung mal genauer hingeschaut, was sich hinter den sogenannten Digitalen Gesundheitsanwendungen (DiGA) verbirgt, und bei einigen eklatante Sicherheitsmängel gefunden.

DiGA sind Apps fürs Smartphone, die der Arzt verschreiben kann, wenn man unter Depressionen, Tinnitus, Reizdarm oder Schlafstörungen leidet. Damit da kein Murks passiert, benötigen die Hersteller eine Zulassung des BfArM. Damit kommen sie auf die offizielle DiGA-Liste (diga.bfarm.de). Hat es der Hersteller auf diese Liste geschafft, knallen die Sektkorken. Denn während man für eine gewöhnliche Health-App im App Store vielleicht 10 oder 20 Euro zahlt, kosten Apps von der DiGA-Liste zwischen 200 und 700 Euro – pro Quartal. Die Kosten zahlen die Patienten indirekt über ihre Beiträge für die gesetzlichen Krankenkassen, die DiGA-Apps voll erstatten.

Für gutes Geld darf man gute Software erwarten. Das BfARM sollte die Apps vor der Zulassung deshalb genauso gewissenhaft prüfen wie neue Pillen gegen Herzkrankheiten. Der Bericht auf zerforschung.org erzählt jedoch eine andere Geschichte.

Psychologische Daten frei Haus

Beispiel Novego: Die App der IVPNetworks GmbH aus Hamburg soll depressiven Menschen mit „Methoden der kognitiven Verhaltenstherapie“ helfen. Als Nebenwirkung diagnostizierte Zerforschung „schwerwiegenden Datenabfluss“ von „insgesamt knapp 10.000 Accounts“ – eine Nebenwirkung, die im Beipackzettel der App bislang nicht erwähnt wurde.

Die App tauschte mit der Webseite des Herstellers alle gespeicherten Daten der Nutzer aus: Mailadresse, Benutzername, Geschlecht, absolviertes Behandlungsprogramm (etwa gegen Burn-out, Depression oder Angststörung) sowie ausgefüllte Fragebögen zum Gesundheitszustand.

Für den einzelnen Nutzer ist eine solche Zusammenfassung durchaus sinnvoll. Weniger sinnvoll ist es jedoch, wenn ein Fremder die Daten abrufen kann. Bei Novego musste er dazu nur eine laufende Nummer am Ende der URL https://www.novego.com/myaccount/participant/data-export/export/21378 ändern. Eine Sicherheitsprüfung fand nicht statt.

Offene Brustkrebs-Datenbank

Zweites Beispiel: Cankado, eine App, in der Brustkrebspatientinnen ihre Beschwerden erfassen und mit ihrem Arzt austauschen. Dem echten Arzt können solche Informationen zur Diagnose durchaus helfen. Weniger hilfreich ist es jedoch, wenn sich eine x-beliebige Person gegenüber der App als Arzt ausgeben und Daten von Patientinnen abgreifen kann – und genau das war den Tüftlern von Zerforschung gelungen.

Nachdem sie sich ohne Prüfung als Arzt beim gleichnamigen Hersteller mit Niederlassungen in Köln und München angemeldet hatten, konnten sie sich über einen „geratenen“ Link https://api.cankado.com/departments/ Zugriff auf Datensätze von 12.500 Patientinnen beschaffen. Dazu gehörten Name, Adresse, Arztberichte, Tagebuchdaten und sogar Passwörter im Klartext.

Zerforschung hatte Cankado und IVPNetworks vor der Veröffentlichung informiert und die Firmen gelobten, die Lücken inzwischen geschlossen zu haben. Erledigt ist das Thema dadurch aber noch lange nicht. Denn weiterhin können Firmen Medizin-Apps über ein beschleunigtes Aufnahmeverfahren namens DiGA-Fast-Track auf den Markt bringen, ohne dass die Software auf Herz und Nieren geprüft wird. Es existierten zwar Checklisten, die die Hersteller ausfüllen müssen, diese würden laut Zerforschung aber weder ausreichend geprüft noch sanktioniert. Ihre Wirksamkeit müssen DiGA erst nachweisen, nachdem sie ein Jahr auf dem Markt sind.

Ähnliche Mängel hatte c’t bereits im Frühjahr 2021 bei den Datenschutzerklärungen aufgedeckt und fehlende Prüfungen des BfArM angemahnt [1]. Seitdem hat sich die Situation offenbar nicht verbessert. Nach derzeitiger Planung müssen DiGA-Hersteller erst ab dem 1. Januar 2023 die Datensicherheit ihrer Apps durch ein Zertifikat des BSI nachweisen und erst ab dem 1. April 2023 Anforderungen an den Datenschutz erfüllen. Zerforschung fordert nun, Patienten nicht länger als Beta-Tester zu missbrauchen und das Fast-Track-Zulassungsverfahren der DiGA-Apps sofort zu stoppen. (hag@ct.de)