Datenleck: Daten von Brustkrebs- und Depressions-App abrufbar

Zur Behandlung von Depressionen oder Brustkrebs können Ärzte Apps verschreiben. Doch die persönlichen Daten der Patienten konnten einfach abgerufen werden.

Artikel veröffentlicht am ,
Zerforschung stellt Diagnose und Rezept.
Zerforschung stellt Diagnose und Rezept. (Bild: Zerforschung)

In etlichen digitalen Gesundheitsanwendungen (DiGA), die von Ärzten an ihre Patienten verschrieben werden, stecken eklatante Sicherheitslücken. Das hat das Kollektiv Zerforschung herausgefunden. So ließen sich bei mehreren Gesundheitsapps die persönlichen Daten der Patienten abfragen.

Stellenmarkt
  1. Informatiker / Fachinformatiker (m/w/d) Netzwerktechnik und -sicherheit
    ED Netze GmbH, Rheinfelden (Baden)
  2. Mitarbeiter (f/m/d) IT-Service-Desk - 1st-Level-Support
    ITM Isotope Technologies Munich SE, Garching
Detailsuche

Die Webanwendung Novego soll beispielsweise dabei helfen, Depressionen zu bewältigen. Doch die Sicherheitsforscher diagnostizierten Novego einen schwerwiegenden Datenabfluss. Sowohl die Datenschutzgrundverordnung (DSGVO) als auch die DiGA-Richtlinie verlangen eine Exportfunktion der persönlichen Daten.

Diese waren im Falle von Novego über eine URL mit einer numerischen ID abrufbar, die einfach aufsteigend durchnummeriert war, entsprechend konnten durch Abzug und Addition die persönlichen Daten von anderen Nutzern eingesehen werden. Auf diese Weise konnten E-Mail-Adresse, Username, Geschlecht und das Ergebnis eines psychologischen Fragebogens zum gesundheitlichen Zustand abgerufen werden. Zudem konnte eingesehen werden, welches Novego-Programm (zum Beispiel Burn-out, Depression oder Angststörung) absolviert wird.

Daten aus Brustkrebs-App waren abrufbar

Bei Cankado, einer App zur Behandlung von Brustkrebs, konnten die Sicherheitsforscher insgesamt 12.500 Datensätze von Brustkrebspatienten sowie anderen Nutzern des Systems (beispielsweise Medikamentenstudien) abfragen. Neben dem Namen, der Adresse und der E-Mail-Adresse der Patienten waren auch das Passwort im Klartext, Zugangstoken, Diagnose, Tagebuchdaten, Arztberichte, Messdaten und Überweisungen einsehbar.

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
Weitere IT-Trainings

Zwar hat Cankado verschiedene Schnittstellen mit einem umfangreichen Berechtigungsmanagement implementiert, dieses ließ sich jedoch über die API für Abteilungen umgehen. So konnten die Sicherheitsforscher beim Anlegen eines Ärztekontos nicht nur auf die eigenen Abteilungen, sondern auf alle Abteilungen zugreifen und entsprechend die Daten der Patienten abrufen.

Es gab jedoch noch eine weitere Möglichkeit, um mit einem Arztkonto an die Daten beliebiger Patienten zu gelangen. Hierzu musste ein Promotionscode generiert werden, der an Patienten weitergegeben werden kann. Geben die Patienten den Code in ihrer App ein, werden sie den entsprechenden Ärzten zugeordnet. Allerdings gelang es den Sicherheitsforschern, den von ihnen generierten Promotionscode im Namen eines realen Patienten einzulösen und anschließend mit dem Arztkonto auf die persönlichen Daten zuzugreifen.

Zerforschung meldete die Sicherheitslücken an die Hersteller, die sie nach eigener Aussage behoben haben. "Es ist erschütternd, wie egal Unternehmen die Sicherheit von Patient*innen-Daten zu sein scheint und mit welcher Leichtfertigkeit staatliche Stellen ihnen Zugang zu diesen Daten geben", konstatiert Zerforschung. Ende-zu-Ende-Verschlüsselung sei heute der Standard in Messengern wie Whatsapp oder Signal. Entsprechend sei jede Familien-Chatgruppe besser geschützt als die Kommunikation zwischen Ärzten und Patienten der untersuchten Apps.

Bessere Prüfung von Gesundheitsapps gefordert

Zerforschung fordert das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), das für die Zulassung der DiGAs zuständig ist, dazu auf, diese ordentlich zu prüfen und sich nicht auf die Herstellerangaben zu verlassen. Ähnliches hatten Sicherheitsforscher Martin Tschirsich und André Zilch bereits bei einer DiGA-Analyse im Oktober 2020 kritisiert.

"Außerdem schließen wir uns der Forderung verschiedener Ärzt*innen- und Patient*innenverbände an, dass nur Apps mit einem nachgewiesenen Nutzen von Krankenversicherungen bezahlt werden sollten", erklärt Zerforschung. Denn wenn man schon Patientendaten in die Hand einer App gebe, dann sollte das wenigstens einen Versorgungsnutzen haben.

Seit 1. Januar 2020 gehören Gesundheitsapps zur Regelleistung der gesetzlichen Krankenkassen: Die Apps können also von Ärzten verschrieben werden, die Kosten werden von den Krankenkassen übernommen. "Die von der vorigen Regierung eingeführte Gesetzgebung macht es sehr einfach, solche Apps zu entwickeln. Daher werden es jeden Monat mehr", schreibt Zerforschung. Das lohne sich vor allem für die App-Hersteller, die für jede Verschreibung zwischen 200 und 700 Euro kassierten - pro Quartal.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Extrawurst 17. Jun 2022 / Themenstart

Ja, aber diese (permanent verfügbare) Schnittstelle zwischen Frontend und Backend ist ja...

\pub\bash0r 17. Jun 2022 / Themenstart

Klar hat das mit Erfahrung zu tun. Unerfahrene Entwickler treffen naive Entscheidungen...

Datalog 16. Jun 2022 / Themenstart

Numerische IDs haben aber eine Reihe von Problemen, weshalb sie gerade bei sensiblen...

Kommentieren



Aktuell auf der Startseite von Golem.de
Franziska Giffey
Deepfake von Klitschko täuscht Berlins Bürgermeisterin

Berlins Regierende Bürgermeisterin Franziska Giffey (SPD) hat per Videokonferenz mit einem Deepfake von Vitali Klitschko gesprochen. Der Betrug flog auf.

Franziska Giffey: Deepfake von Klitschko täuscht Berlins Bürgermeisterin
Artikel
  1. Mond: US-Sonde findet Einschlagstelle des unbekannten Raketenteils
    Mond
    US-Sonde findet Einschlagstelle des unbekannten Raketenteils

    Die Nasa hat die Stelle auf dem Mond gefunden, wo im März ein noch unidentifiziertes Raketenteil abgestürzt ist. Der Krater ist überraschend groß.

  2. Datenpanne: IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt
    Datenpanne
    IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt

    Die Tasche mit dem USB-Stick wurde über ein in ihr ebenfalls enthaltenes Smartphone geortet und gefunden.

  3. Logistik: Post will mit Solarschiff Pakete in Berlin verteilen
    Logistik
    Post will mit Solarschiff Pakete in Berlin verteilen

    Die Post will Pakettransporte von der Straße aufs Wasser verlagern. Das erste der Schiffe wird mit Solarstrom betrieben. In Zukunft sollen sie autonom fahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI 323CQRDE (WQHD, 165 Hz) 399€ • LG OLED 48C17LB 919€ • Samsung 980 PRO (PS5-komp.) 2 TB 234,45€ • Apple HomePod Mini 84€ • 16.000 Artikel günstiger bei Media Markt • MindStar (u. a. AMD Ryzen 7 5700G 239€, Samsung 970 EVO Plus 250 GB 39€ und Corsair Crystal 680X RGB 159€) [Werbung]
    •  /