Zum Inhalt springen Zur Navigation springen
Gefahr Gesundheits-App – Sicherheitslücke führt zu Datenabfluss

Gefahr Gesundheits-App – Sicherheitslücke führt zu Datenabfluss

Artikel von Corinna Fleig·11. Mai 2023

Es ist mal wieder passiert. Eine Gesundheits-App „verliert“ Daten. Betroffen sind psychisch kranke Menschen. Das Kollektiv zerforschung konnte über eine Sicherheitslücke in der österreichischen Depressions-App edupression auf höchst sensible Gesundheitsdaten zugreifen. Dies teilten die Aktivisten Anfang Mai dem Unternehmen Sofy GmbH, welche Betreiberin dieser App ist, mit. Nach Angaben des Unternehmens sei die Lücke daraufhin innerhalb weniger Stunden geschlossen worden. Die österreichische Datenschutzbehörde ist wohl informiert.

Wer steckt hinter dem Kollektiv zerforschung?

zerforschung ist ein Kollektiv aus Forschern, die laut ihrer eigenen Webseite „Spaß daran haben, Technik auseinander zu nehmen, um zu verstehen, wie diese funktioniert.“ Ziel ist es, auf Schwachstellen in Anwendungen und Systemen aufmerksam zu machen, um somit nicht sich selbst zu bereichern, sondern die Sicherheit zu erhöhen und ggf. auf Schließungen zu drängen. In der Vergangenheit wurde das Kollektiv bereits mehrfach tätig. Sie deckten unter anderem Sicherheitslücken in Corona-Testzentren auf, wodurch Nutzer mit wenig Aufwand auf fremde Datensätze zugreifen konnten.

Die App als Hilfsmittel

Die nun betroffene App edupression soll den Patienten dabei helfen mit ihrer psychischen Krankheit zurechtzukommen. Laut DiGA-Verzeichnis leitet die Anwendung Patienten entlang des „Activity Feeds“ durch das Programm und spielt dabei täglich multimedial aufbereitete Informationen und Übungen aus der Psychodedukation zur Selbsthilfe aus. Patienten können hierbei Wochenziele bestimmen, für die sodann Informationen und Empfehlungen ausgespielt werden. Sie werden zudem täglich erinnert, ein Stimmungsdiagramm auszufüllen und so ihre Stimmung aufzuzeichnen. Mit der App soll ein digitales Selbsthilfe-Therapieprogramm erhalten werden, mit dem das Wissen um die Erkrankung erweitert werden kann. Ziel ist die positive Beeinflussung des Krankheitsverlaufes und die Verhinderung von Rückfällen.

Digitalisierung und Datenschutz

Die Gesundheitswirtschaft ist einer der größten Wirtschaftssektoren in Deutschland. Auch die Digitalisierung ist hier bereits angekommen. Unternehmen entwickeln neue digitale Lösungen, innovative Geschäftsmodelle werden vorangetrieben. Eine besondere Herausforderung stellen dabei die datenschutzrechtlichen Anforderungen dar.

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, Art. 4 Nr. 15 DSGVO. Der Begriff „Gesundheitsdaten“ wird sehr weit verstanden. Das soll der gesteigerten Schutzbedürftigkeit dieser sensiblen Daten Rechnung tragen. Erfasst sind jegliche Informationen, die die Gesundheit einer Person unter allen Aspekten – körperlichen wie psychischen – betreffen. Gesundheitsdaten sind besonders sensible Daten und daher umfassend zu schützen. Der Datenschutz im Bereich der Gesundheitswirtschaft ist daher besonders bedeutsam.

Eine Verarbeitung personenbezogener Daten ist grundsätzlich nur erlaubt, wenn besondere Rechtfertigungsgründe vorliegen. Bei den sensiblen Gesundheitsdaten gelten daher neben den allgemeinen datenschutzrechtlichen Anforderungen noch weitere zusätzliche Voraussetzungen. Rechtsgrundlage ist Art. 9 DSGVO.

Damit es zu keinen schwerwiegenden Sicherheitslücken wie der hier thematisierten kommt, hat das Bundesministerium für Wirtschaft und Energie (BMWi) mit einer Orientierungshilfe den Entwicklern und Anbietern von digitalen Gesundheitsprodukten einen Einstieg in den Bereich geboten. Sie stellt sowohl die allgemeinen datenschutzrechtlichen Anforderungen als auch die Bestimmungen für besondere Bereiche, wie z. B. die automatisierte Entscheidungsfindung, Big-Data-Anwendungen und die Entwicklung von Apps dar. Um die erforderliche Praxisnähe zu gewährleisten, ist sie in Abstimmung mit Unternehmen aus der Digitalwirtschaft entstanden.

Sicherheitsfaktor DiGA-Anwendung?

Mit dem Digitale-Versorgung-Gesetz (DVG) ebnete der Gesetzgeber 2019 den Weg für Digitale Gesundheitsanwendungen in die Regelversorgung. DiGA sind Gesundheits- beziehungsweise Medizin-Apps, die von gesetzlich Versicherten zum Management ihrer Krankheiten, Verletzungen oder Behinderungen eingesetzt werden können. Da sie per Rezept verschrieben werden können, sind sie auch bekannt unter dem Namen „App auf Rezept“. DiGA gelten als digitale Helfer in der Hand von Patienten.

Für eine Listung im DiGA müssen im Wesentlichen zwei Punkte nachgewiesen werden: die Wirksamkeit der App und ihre Sicherheit. Weil der Gesetzgeber jedoch Innovationen im Gesundheitsbereich fördern möchte, wurde ein Fast-Track-Verfahren eingerichtet. Zuständig ist das Bundesamt für Arzneimittel und Medizinprodukte (BfArM). Um die IT-Sicherheit der App nachzuweisen, wird bisher lediglich ein sog. Penetrationstest verlangt. Dafür muss der App-Anbieter einen externen Dienstleister damit beauftragen, die Sicherheit der App zu überprüfen – indem dieser versucht, Schwachstellen zu finden. Ein solcher Test hat wohl im vorliegenden Fall vorgelegen. Die Behörde hat daher keine Anzeichen bestehender Sicherheitsprobleme erkennen können, denn die oben genannten Anforderungen seien erfüllt worden. Zweifelhaft ist, ob die DiGA-Listung als Sicherheitsfaktor angesehen werden kann.

Prüfergebnis entscheidend

Problematisch ist, dass es keinen zentralen Dienstleister gibt, welcher die Penetrationstests in solchen Fällen durchführt. Der Anbieter beauftragt selbstständig einen externen Dienstleister, um die Sicherheit der App zu überprüfen. Es werden seitens des BfArM keine Prüfstellen vorgegeben. Es liegt denke ich in der Natur der Sache, dass ein solcher Penetrationstest gründlich oder weniger gründlich durchgeführt werden kann. Falsche Anreize könnten gesetzt werden.

An dem Prüfergebnis des oben genannten Penetrationstest hängt jedoch viel. Es entscheidet darüber, ob bzw. wie schnell eine lukrative Listung bei der BfArM vorgenommen wird. Laut Lilith Wittmann, die Teil der Gruppe zerforschung ist, kann es nicht gut gehen, wenn ein Unternehmen auf sich selbst aufpassen muss. Sie befürchtet, dass Anbieter ausgewählt werden könnten, die bekannt dafür sind, ein Auge oder gar beide Augen zuzudrücken. Im vorliegenden Fall konnte zerforschung innerhalb weniger Stunden zwei Sicherheitslücken finden, durch die es möglich gewesen ist, sowohl die Daten als auch die Berichte über Suizidalität der Betroffenen und andere sehr persönliche Berichte über ihre verzweifelte Lage herunterzuladen. Betroffenen waren wohl mehr als 2000 Nutzer der App.

Das BfArM muss laut Vorgabe den Penetrationstest eines beliebigen Dienstleisters akzeptieren. Das Institut kann die Sicherheit kaum selbst überprüfen. So kommen Schwachstellen erst ans Licht, wenn ethische Hackerinnen oder gar Kriminelle an die Daten gelangen. Das hier ggf. Anpassungen vorzunehmen sind, liegt meines Erachtens auf der Hand. Zumindest sollte eine gründliche Überprüfung und Aufarbeitung stattfinden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.