Gesundheitsapp: Trotz Zulassung Sicherheitslücken in App auf Rezept

Zwei Sicherheitsforscher finden in einer frisch geprüften Gesundheitsapp im DiGA-Verzeichnis gleich mehrere triviale Sicherheitslücken.

Artikel veröffentlicht am ,
Auch Anwendungen im DiGA-Verzeichnis können noch Sicherheitslücken enthalten.
Auch Anwendungen im DiGA-Verzeichnis können noch Sicherheitslücken enthalten. (Bild: BfArM)

In der Gesundheitsanwendung Velibra haben Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hatte die App, die Patienten mit Angst- und Panikstörungen helfen soll, erst kürzlich für sicher befunden und sie für eine Verschreibung auf Kosten der Krankenkassen zugelassen. Wirklich geprüft wurde offenbar nicht.

Stellenmarkt
  1. Senior Consultant Network Security (m/w/d)
    operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main, München
  2. IT-Systemadministrator (m/w/d) für IT-Helpdesk
    ASYS Group - ASYS Automatisierungssysteme GmbH, Dornstadt bei Ulm
Detailsuche

Die Sicherheitsforscher Martin Tschirsich und André Zilch sahen sich die Web-App an, kurz bevor Velibra offiziell ins Verzeichnis für digitale Gesundheitsanwendungen (DiGA) aufgenommen wurde. Über die Angabe einer E-Mail-Adresse bei der Passwort-zurücksetzen-Funktion konnte Tschirsich herausfinden, ob die entsprechende Mailadresse bei dem Dienst registriert ist. Darüber lässt sich beispielsweise feststellen, ob jemand den Dienst nutzt und entsprechend psychische Probleme hat.

Konten ließen sich einfach übernehmen

Noch schwerwiegender war, dass der Code zum Zurücksetzen des Kontos, der an die registrierte E-Mail-Adresse geschickt wurde, nur vier Zeichen lang und 24 Stunden gültig war. Unbefugte hätten durch schlichtes Durchprobieren und Erraten des kurzen Codes das Konto des Betroffenen übernehmen können.

Über eine API konnten zudem ohne Authentifizierung die Nutzernamen und E-Mail-Adressen der registrieren Personen abgefragt werden. Selbst die DiGA-Vouchers, die die Krankenkassen für die Nutzung des Dienstes ausgeben, waren laut Tschirsich einsehbar - sowohl genutzte als auch ungenutzte. Der Velibra-Hersteller Gaia AG hat die Sicherheitslücken nach einer Meldung umgehend behoben. Eine zuvor beauftragte Pentesting-Firma hatte die offensichtlichen Sicherheitslücken nicht entdeckt oder angemahnt.

Prüft das BfArM überhaupt?

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
Weitere IT-Trainings

Noch schwerer wiegt aus Sicht der Sicherheitsforscher, dass das BfArM die digitalen Gesundheitsanwendungen nicht einmal oberflächlich prüft. So dürften nach der DiGA-Verordnung ohne Privacy Shield keine Daten in die USA übertragen werden, auch nicht mit Standardvertragsklauseln, doch Velibra hatte externe Schriftarten und ein Tool zum Bugreporting aus den USA eingebunden.

Laut Handelsblatt sieht sich das BfArM nicht in der Verantwortung. Wie vom Gesetzgeber vorgegeben, prüfe man die Herstellerangaben auf Plausibilität: "Bei unwahren Angaben muss mit Konsequenzen, wie zum Beispiel der Streichung aus dem Verzeichnis, gerechnet werden", teilte die Behörde dem Handelsblatt mit. Für umfangreiche Prüfungen zu Datenschutz und Sicherheit habe das Bundesgesundheitsministerium das Bundesinstitut schlicht nicht ausgestattet.

"Bei Arzneimitteln verlässt man sich ja auch nicht auf die Herstellerangaben, sondern verlangt Evidenz", kritisierte Tschirsich. Er hofft, dass das BfArM in Zukunft seiner Funktion als herstellerunabhängige Prüfinstanz gerecht wird, beispielsweise durch interne oder externe Audits der Gesundheitsanwendungen. Das wäre eine Chance, um in dem mit Datenschutzproblemen und Sicherheitslücken geplagten Markt von Gesundheitsapps wieder etwas Vertrauen, Sicherheit und Datenschutz wettzumachen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Snapdragon 8 Gen1
Der erste ARMv9-Smartphone-Drache ist da

Neuer Name, neue Kerne: Der Snapdragon 8 Gen1 nutzt ARMv9-Technik, auch das 5G-Modem und die künstliche Intelligenz sind viel besser.

Snapdragon 8 Gen1: Der erste ARMv9-Smartphone-Drache ist da
Artikel
  1. 470 - 694 MHz: Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu
    470 - 694 MHz
    Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu

    Nach dem Vorstoß von Baden-Württemberg, einen Teil des Frequenzbereichs an das Militär zu vergeben, gibt es nun Kritiken daran aus anderen Bundesländern.

  2. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

  3. Factorial Energy: Mercedes und Stellantis investieren in Feststoffbatterien
    Factorial Energy
    Mercedes und Stellantis investieren in Feststoffbatterien

    Durch Festkörperakkus sollen Elektroautos sicherer werden und schneller laden. Doch mit einer schnellen Serienproduktion ist nicht zu rechnen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele • AOC 31,5" WQHD 165Hz 289,90€ • Gaming-Sale bei MediaMarkt • G.Skill 64GB Kit DDR4-3800 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook HDD 18TB 329€ • Switch OLED 359,99€ • Xbox Series S 275,99€ [Werbung]
    •  /