• IT-Karriere:
  • Services:

Gesundheitsapp: Trotz Zulassung Sicherheitslücken in App auf Rezept

Zwei Sicherheitsforscher finden in einer frisch geprüften Gesundheitsapp im DiGA-Verzeichnis gleich mehrere triviale Sicherheitslücken.

Artikel veröffentlicht am ,
Auch Anwendungen im DiGA-Verzeichnis können noch Sicherheitslücken enthalten.
Auch Anwendungen im DiGA-Verzeichnis können noch Sicherheitslücken enthalten. (Bild: BfArM)

In der Gesundheitsanwendung Velibra haben Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hatte die App, die Patienten mit Angst- und Panikstörungen helfen soll, erst kürzlich für sicher befunden und sie für eine Verschreibung auf Kosten der Krankenkassen zugelassen. Wirklich geprüft wurde offenbar nicht.

Stellenmarkt
  1. ESWE Versorgungs AG, Wiesbaden
  2. Hays AG, Karlsruhe

Die Sicherheitsforscher Martin Tschirsich und André Zilch sahen sich die Web-App an, kurz bevor Velibra offiziell ins Verzeichnis für digitale Gesundheitsanwendungen (DiGA) aufgenommen wurde. Über die Angabe einer E-Mail-Adresse bei der Passwort-zurücksetzen-Funktion konnte Tschirsich herausfinden, ob die entsprechende Mailadresse bei dem Dienst registriert ist. Darüber lässt sich beispielsweise feststellen, ob jemand den Dienst nutzt und entsprechend psychische Probleme hat.

Konten ließen sich einfach übernehmen

Noch schwerwiegender war, dass der Code zum Zurücksetzen des Kontos, der an die registrierte E-Mail-Adresse geschickt wurde, nur vier Zeichen lang und 24 Stunden gültig war. Unbefugte hätten durch schlichtes Durchprobieren und Erraten des kurzen Codes das Konto des Betroffenen übernehmen können.

Über eine API konnten zudem ohne Authentifizierung die Nutzernamen und E-Mail-Adressen der registrieren Personen abgefragt werden. Selbst die DiGA-Vouchers, die die Krankenkassen für die Nutzung des Dienstes ausgeben, waren laut Tschirsich einsehbar - sowohl genutzte als auch ungenutzte. Der Velibra-Hersteller Gaia AG hat die Sicherheitslücken nach einer Meldung umgehend behoben. Eine zuvor beauftragte Pentesting-Firma hatte die offensichtlichen Sicherheitslücken nicht entdeckt oder angemahnt.

Prüft das BfArM überhaupt?

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Data Engineering mit Apache Spark
    27.-28. September 2021, online
Weitere IT-Trainings

Noch schwerer wiegt aus Sicht der Sicherheitsforscher, dass das BfArM die digitalen Gesundheitsanwendungen nicht einmal oberflächlich prüft. So dürften nach der DiGA-Verordnung ohne Privacy Shield keine Daten in die USA übertragen werden, auch nicht mit Standardvertragsklauseln, doch Velibra hatte externe Schriftarten und ein Tool zum Bugreporting aus den USA eingebunden.

Laut Handelsblatt sieht sich das BfArM nicht in der Verantwortung. Wie vom Gesetzgeber vorgegeben, prüfe man die Herstellerangaben auf Plausibilität: "Bei unwahren Angaben muss mit Konsequenzen, wie zum Beispiel der Streichung aus dem Verzeichnis, gerechnet werden", teilte die Behörde dem Handelsblatt mit. Für umfangreiche Prüfungen zu Datenschutz und Sicherheit habe das Bundesgesundheitsministerium das Bundesinstitut schlicht nicht ausgestattet.

"Bei Arzneimitteln verlässt man sich ja auch nicht auf die Herstellerangaben, sondern verlangt Evidenz", kritisierte Tschirsich. Er hofft, dass das BfArM in Zukunft seiner Funktion als herstellerunabhängige Prüfinstanz gerecht wird, beispielsweise durch interne oder externe Audits der Gesundheitsanwendungen. Das wäre eine Chance, um in dem mit Datenschutzproblemen und Sicherheitslücken geplagten Markt von Gesundheitsapps wieder etwas Vertrauen, Sicherheit und Datenschutz wettzumachen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. MotoGP 21 für 21,99€, Star Wars Jedi - Fallen Order für 16,29€, Civilization 6 für 6...
  2. 229€
  3. 64,99€ (Release 11. Mai)
  4. (u. a. Sandisk Ultra 3D SATA-SSD 1TB für 85€, Apple MacBook Air M1 für 999€, Sony KE-55A85...

lala1 14. Okt 2020

Dann müsse es eine Gesundungsapp sein aber keine Gesundheitsapp weil eine Gesundheitsapp...

demon driver 13. Okt 2020

Es ist eigentlich erst mal völlig egal, *warum* hier keine oder meinetwegen auch...


Folgen Sie uns
       


Mercedes EQV Probe gefahren

Trotz hohem Stromverbrauch kommt man mit dem EQV gut durch die Republik.

Mercedes EQV Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /