Datenleck: Daten von Brustkrebs- und Depressions-App abrufbar
In etlichen digitalen Gesundheitsanwendungen (DiGA), die von Ärzten an ihre Patienten verschrieben werden, stecken eklatante Sicherheitslücken. Das hat das Kollektiv Zerforschung herausgefunden. So ließen sich bei mehreren Gesundheitsapps die persönlichen Daten der Patienten abfragen.
Die Webanwendung Novego soll beispielsweise dabei helfen, Depressionen zu bewältigen. Doch die Sicherheitsforscher diagnostizierten(öffnet im neuen Fenster) Novego einen schwerwiegenden Datenabfluss. Sowohl die Datenschutzgrundverordnung (DSGVO) als auch die DiGA-Richtlinie verlangen eine Exportfunktion der persönlichen Daten.
Diese waren im Falle von Novego über eine URL mit einer numerischen ID abrufbar, die einfach aufsteigend durchnummeriert war, entsprechend konnten durch Abzug und Addition die persönlichen Daten von anderen Nutzern eingesehen werden. Auf diese Weise konnten E-Mail-Adresse, Username, Geschlecht und das Ergebnis eines psychologischen Fragebogens zum gesundheitlichen Zustand abgerufen werden. Zudem konnte eingesehen werden, welches Novego-Programm (zum Beispiel Burn-out, Depression oder Angststörung) absolviert wird.
Daten aus Brustkrebs-App waren abrufbar
Bei Cankado, einer App zur Behandlung von Brustkrebs, konnten die Sicherheitsforscher insgesamt 12.500 Datensätze von Brustkrebspatienten sowie anderen Nutzern des Systems (beispielsweise Medikamentenstudien) abfragen. Neben dem Namen, der Adresse und der E-Mail-Adresse der Patienten waren auch das Passwort im Klartext, Zugangstoken, Diagnose, Tagebuchdaten, Arztberichte, Messdaten und Überweisungen einsehbar.
Zwar hat Cankado verschiedene Schnittstellen mit einem umfangreichen Berechtigungsmanagement implementiert, dieses ließ sich jedoch über die API für Abteilungen umgehen. So konnten die Sicherheitsforscher beim Anlegen eines Ärztekontos nicht nur auf die eigenen Abteilungen, sondern auf alle Abteilungen zugreifen und entsprechend die Daten der Patienten abrufen.
Es gab jedoch noch eine weitere Möglichkeit, um mit einem Arztkonto an die Daten beliebiger Patienten zu gelangen. Hierzu musste ein Promotionscode generiert werden, der an Patienten weitergegeben werden kann. Geben die Patienten den Code in ihrer App ein, werden sie den entsprechenden Ärzten zugeordnet. Allerdings gelang es den Sicherheitsforschern, den von ihnen generierten Promotionscode im Namen eines realen Patienten einzulösen und anschließend mit dem Arztkonto auf die persönlichen Daten zuzugreifen.
Zerforschung meldete die Sicherheitslücken an die Hersteller, die sie nach eigener Aussage behoben haben. "Es ist erschütternd, wie egal Unternehmen die Sicherheit von Patient*innen-Daten zu sein scheint und mit welcher Leichtfertigkeit staatliche Stellen ihnen Zugang zu diesen Daten geben," konstatiert Zerforschung. Ende-zu-Ende-Verschlüsselung sei heute der Standard in Messengern wie Whatsapp oder Signal. Entsprechend sei jede Familien-Chatgruppe besser geschützt als die Kommunikation zwischen Ärzten und Patienten der untersuchten Apps.
Bessere Prüfung von Gesundheitsapps gefordert
Zerforschung fordert das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), das für die Zulassung der DiGAs zuständig ist, dazu auf, diese ordentlich zu prüfen und sich nicht auf die Herstellerangaben zu verlassen. Ähnliches hatten Sicherheitsforscher Martin Tschirsich und André Zilch bereits bei einer DiGA-Analyse im Oktober 2020 kritisiert .
"Außerdem schließen wir uns der Forderung verschiedener Ärzt*innen- und Patient*innenverbände an, dass nur Apps mit einem nachgewiesenen Nutzen von Krankenversicherungen bezahlt werden sollten," erklärt Zerforschung. Denn wenn man schon Patientendaten in die Hand einer App gebe, dann sollte das wenigstens einen Versorgungsnutzen haben.
Seit 1. Januar 2020 gehören Gesundheitsapps zur Regelleistung der gesetzlichen Krankenkassen: Die Apps können also von Ärzten verschrieben werden, die Kosten werden von den Krankenkassen übernommen. "Die von der vorigen Regierung eingeführte Gesetzgebung macht es sehr einfach, solche Apps zu entwickeln. Daher werden es jeden Monat mehr," schreibt Zerforschung. Das lohne sich vor allem für die App-Hersteller, die für jede Verschreibung zwischen 200 und 700 Euro kassierten - pro Quartal.