Datenleck: Daten von Brustkrebs- und Depressions-App abrufbar

Zur Behandlung von Depressionen oder Brustkrebs können Ärzte Apps verschreiben. Doch die persönlichen Daten der Patienten konnten einfach abgerufen werden.

Artikel veröffentlicht am ,
Zerforschung stellt Diagnose und Rezept.
Zerforschung stellt Diagnose und Rezept. (Bild: Zerforschung)

In etlichen digitalen Gesundheitsanwendungen (DiGA), die von Ärzten an ihre Patienten verschrieben werden, stecken eklatante Sicherheitslücken. Das hat das Kollektiv Zerforschung herausgefunden. So ließen sich bei mehreren Gesundheitsapps die persönlichen Daten der Patienten abfragen.

Stellenmarkt
  1. Wissenschaftliche Mitarbeiterin (m/w/d) an der Fakultät für Informatik
    Universität der Bundeswehr München, Neubiberg (Home-Office möglich)
  2. Frontend Entwickler/C ++ Entwickler (m/w/d) im Bereich Qt/QML
    Vemcon GmbH, München
Detailsuche

Die Webanwendung Novego soll beispielsweise dabei helfen, Depressionen zu bewältigen. Doch die Sicherheitsforscher diagnostizierten Novego einen schwerwiegenden Datenabfluss. Sowohl die Datenschutzgrundverordnung (DSGVO) als auch die DiGA-Richtlinie verlangen eine Exportfunktion der persönlichen Daten.

Diese waren im Falle von Novego über eine URL mit einer numerischen ID abrufbar, die einfach aufsteigend durchnummeriert war, entsprechend konnten durch Abzug und Addition die persönlichen Daten von anderen Nutzern eingesehen werden. Auf diese Weise konnten E-Mail-Adresse, Username, Geschlecht und das Ergebnis eines psychologischen Fragebogens zum gesundheitlichen Zustand abgerufen werden. Zudem konnte eingesehen werden, welches Novego-Programm (zum Beispiel Burn-out, Depression oder Angststörung) absolviert wird.

Daten aus Brustkrebs-App waren abrufbar

Bei Cankado, einer App zur Behandlung von Brustkrebs, konnten die Sicherheitsforscher insgesamt 12.500 Datensätze von Brustkrebspatienten sowie anderen Nutzern des Systems (beispielsweise Medikamentenstudien) abfragen. Neben dem Namen, der Adresse und der E-Mail-Adresse der Patienten waren auch das Passwort im Klartext, Zugangstoken, Diagnose, Tagebuchdaten, Arztberichte, Messdaten und Überweisungen einsehbar.

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.09.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
Weitere IT-Trainings

Zwar hat Cankado verschiedene Schnittstellen mit einem umfangreichen Berechtigungsmanagement implementiert, dieses ließ sich jedoch über die API für Abteilungen umgehen. So konnten die Sicherheitsforscher beim Anlegen eines Ärztekontos nicht nur auf die eigenen Abteilungen, sondern auf alle Abteilungen zugreifen und entsprechend die Daten der Patienten abrufen.

Es gab jedoch noch eine weitere Möglichkeit, um mit einem Arztkonto an die Daten beliebiger Patienten zu gelangen. Hierzu musste ein Promotionscode generiert werden, der an Patienten weitergegeben werden kann. Geben die Patienten den Code in ihrer App ein, werden sie den entsprechenden Ärzten zugeordnet. Allerdings gelang es den Sicherheitsforschern, den von ihnen generierten Promotionscode im Namen eines realen Patienten einzulösen und anschließend mit dem Arztkonto auf die persönlichen Daten zuzugreifen.

Zerforschung meldete die Sicherheitslücken an die Hersteller, die sie nach eigener Aussage behoben haben. "Es ist erschütternd, wie egal Unternehmen die Sicherheit von Patient*innen-Daten zu sein scheint und mit welcher Leichtfertigkeit staatliche Stellen ihnen Zugang zu diesen Daten geben", konstatiert Zerforschung. Ende-zu-Ende-Verschlüsselung sei heute der Standard in Messengern wie Whatsapp oder Signal. Entsprechend sei jede Familien-Chatgruppe besser geschützt als die Kommunikation zwischen Ärzten und Patienten der untersuchten Apps.

Bessere Prüfung von Gesundheitsapps gefordert

Zerforschung fordert das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), das für die Zulassung der DiGAs zuständig ist, dazu auf, diese ordentlich zu prüfen und sich nicht auf die Herstellerangaben zu verlassen. Ähnliches hatten Sicherheitsforscher Martin Tschirsich und André Zilch bereits bei einer DiGA-Analyse im Oktober 2020 kritisiert.

"Außerdem schließen wir uns der Forderung verschiedener Ärzt*innen- und Patient*innenverbände an, dass nur Apps mit einem nachgewiesenen Nutzen von Krankenversicherungen bezahlt werden sollten", erklärt Zerforschung. Denn wenn man schon Patientendaten in die Hand einer App gebe, dann sollte das wenigstens einen Versorgungsnutzen haben.

Seit 1. Januar 2020 gehören Gesundheitsapps zur Regelleistung der gesetzlichen Krankenkassen: Die Apps können also von Ärzten verschrieben werden, die Kosten werden von den Krankenkassen übernommen. "Die von der vorigen Regierung eingeführte Gesetzgebung macht es sehr einfach, solche Apps zu entwickeln. Daher werden es jeden Monat mehr", schreibt Zerforschung. Das lohne sich vor allem für die App-Hersteller, die für jede Verschreibung zwischen 200 und 700 Euro kassierten - pro Quartal.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Extrawurst 17. Jun 2022 / Themenstart

Ja, aber diese (permanent verfügbare) Schnittstelle zwischen Frontend und Backend ist ja...

\pub\bash0r 17. Jun 2022 / Themenstart

Klar hat das mit Erfahrung zu tun. Unerfahrene Entwickler treffen naive Entscheidungen...

Datalog 16. Jun 2022 / Themenstart

Numerische IDs haben aber eine Reihe von Problemen, weshalb sie gerade bei sensiblen...

Kommentieren



Aktuell auf der Startseite von Golem.de
Microsoft
Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Microsoft: Exchange Server von gut versteckter Hintertür betroffen
Artikel
  1. Wochenrückblick: Solide Leistung
    Wochenrückblick
    Solide Leistung

    Golem.de-Wochenrückblick Der M2-Chip im Test und Neues von Sony und VW: die Woche im Video.

  2. US-Streaming: Immer mehr Netflix-Abonnenten kündigen nach einem Monat
    US-Streaming
    Immer mehr Netflix-Abonnenten kündigen nach einem Monat

    Netflix hat zunehmend Probleme, neue Abonnenten zu halten. Der Anteil an Neukunden, die nach einem Monat wieder kündigen, steigt.

  3. Ayn Loki Zero: Dieses PC-Handheld kostet nur 200 US-Dollar
    Ayn Loki Zero
    Dieses PC-Handheld kostet nur 200 US-Dollar

    Es ist das bisher günstigste Modell in einer Reihe von vielen: Der Loki Zero mit 6-Zoll-Display nutzt einen Athlon-Prozessor mit Vega-Grafik.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. G.Skill Trident Z Neo 32 GB DDR4-3600 149€ und Patriot P300 512 GB M.2 39€) • Alternate (u. a. Acer Nitro XZ270UP QHD/165 Hz 246,89€ und Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Alterrnate Weekend Sale [Werbung]
    •  /