Zum Inhalt springen Zur Navigation springen
Sicherheitslücken bei DiGA-Gesundheits-Apps

Sicherheitslücken bei DiGA-Gesundheits-Apps

Der jüngste Test des gemeinnützigen Hacker-Kollektivs „zerforschung“ hat ergeben, dass es zumindest um zwei der Gesundheits-Apps, die als DiGA zur Verfügung stehen, datenschutztechnisch nicht gut bestellt ist bzw. war. Auch wenn die Sicherheitslücken nach Angaben der Unternehmen gleich geschlossen wurden, bleibt die Frage nach der Qualitätssicherung der DiGA-Gesundheits-Apps am Markt. Ein Überblick.

Die App auf Rezept

Die „App auf Rezept“ – mit den „digitalen Gesundheitsanwendungen“ – kurz DiGAs – in Deutschland als immerhin weltweit erstem Land bereits gelebte Praxis.

Was sind DiGAs?

Bei den DiGAs handelt es sich um Produkte, die z.B. dazu bestimmt sind, Erkrankungen zu erkennen oder zu lindern, die bei der Diagnosestellung unterstützen und die dabei maßgeblich auf digitaler Technologie beruhen. Es können entweder Apps oder auch browserbasierte Anwendungen sein, die entweder nur vom Patienten oder von Patient und Arzt gemeinsam genutzt werden. Für jede DiGA-App gilt, dass sie jeweils:

„…durch ihre Technologie einen „positiven Versorgungseffekt“ für ihre individuelle Situation bieten muss.“

Rechtliche Grundlagen der DiGAs

Rechtlich wurde die „App auf Rezept“ mit dem Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) am 19.12.2019 für PatientInnen in die Gesundheitsversorgung eingeführt (§ 33a und 139e SGB V). Mit der Errichtung des Verzeichnisses für digitale Gesundheitsanwendungen am 06.10.2020 durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ging es dann tatsächlich los: Seitdem können Ärzte und Psychotherapeuten ihren Patienten DiGAs auf Rezept verschreiben, die dann von der Krankenkasse erstattet werden. Außerdem wird das Verfahren geregelt durch die „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV) und den Leitfaden des BfArM (hier die jeweils aktualisierten Fassungen).

Zu verstehen sind die DiGAs als ein Baustein der Digitalisierungsstrategie der Bundesregierung und des Bundesgesundheitsministeriums.

Zulassungsverfahren der DiGAs

Doch eine Anwendung geht nicht ungeprüft als DiGA an den Start, sondern das BfArM prüft nach eigenen Angaben „sämtliche Anforderungen, die dem Gesetzgeber als Voraussetzungen für die Kostenübernahme durch die gesetzlichen Krankenkassen wichtig waren“. Das Verfahren wird als „Fast-Track“-Verfahren bezeichnet, da die Bewertungszeit für das Institut lediglich drei Monate nach Eingang des vollständigen Antrags beträgt. Dieses Verfahren soll es Start-Ups ermöglichen, DiGAs erfolgreich an den Markt zu bringen – zunächst einmal ein guter Gedanke, will man die Digitalisierung des Gesundheitswesens zügig vorantreiben.

Alle DiGAs, die das dafür vorgesehene Bewertungsverfahren beim BfArM erfolgreich durchlaufen haben, finden sich dann in dem öffentlichen DiGA-Verzeichnis (§ 139e SGB V) wieder. Dieses soll eine vertrauensvolle Nutzung von DiGA durch Patienten ermöglichen und den Beteiligten helfen, geeignete DiGA zu finden.

Das DiGA-Verzeichnis besitzt zurzeit 33 (bzw. nunmehr 31) Eintragungen, die für die Nutzer zur Wahl stehen.

So viel zur Theorie.

Test des Hacker-Kollektivs „zerforschung“ deckt Sicherheitslücken auf

Nachdem bereits in der Vergangenheit Sicherheitslücken im Zusammenhang mit den DiGAs bekannt wurden, hat das ehrenamtliche Hackerkollektiv „zerforschung“ am 16.06.2022 bekannt gegeben, dass die wenigen DiGA-Anwendungen, die sie sich angeschaut haben, einen „massiven Datenabfluss“ hatten, insgesamt hätten sie Daten von mehr als 20.000 PatientInnen verloren.

Gefunden wurden folgende Lücken in den Apps „Novego“ und „Cankado“:

Novego (Preis: 249,00 Euro für 12 Wochen)

Die App „Novego“ kann verschrieben werden zur Behandlung von Depressionen mittels kognitiver Verhaltenstherapie. In dieser App gab es laut des Kollektivs die von der DSGVO vorgesehene Möglichkeit des Herunterladens der eigenen Daten.

Die Hacker änderten nun jedoch einfach die Abfrage zu ihrer Nutzer-ID und konnten so ohne weitere Probleme das Datenarchiv einer anderen Person herunterladen. Die abrufbaren Daten enthielten u.a. Mailadressen, Username (häufig Vor- und Nachnamen) der Betroffenen sowie den Namen des konkreten Programms (z.B. „Burn-Out“, „Depression“ oder „Angststörung“) das in der App absolviert wird.

Cankado (Preis: ca. 500 Euro für 12 Wochen)

Zudem wurde die App „Cankado“ als App für Brustkrebs-PatientInnen untersucht, in die Erkrankte Beschwerden eingeben können und eine automatische Empfehlung bekommen, ob sie diese mit den Ärzten abklären sollen.

Hier registrierte sich der Hacker ohne Probleme über das entsprechende Anmeldeformular als Arzt einer beliebigen Klinik und legte einen Account an. Und auch hier gelang es ohne große Mühe, dem fiktiven Arzt kurzerhand Zugriff auf die Patientendaten aller Abteilungen zu ermöglichen. Die Liste der personenbezogenen Daten, auf die Zugriff bestand, war in dieser App noch umfangreicher, u.a. Name, Adresse, Mail-Adresse, Passwort im Klartext, Diagnose, Arztberichte, Tagebuchdaten etc..

Nach einem Interview mit einer der beteiligten HackerInnen handelte es sich jeweils um Sicherheitslücken, die Personen mit ein wenig Fachkenntnissen einfach ausnutzen konnten. Die betroffenen Entwicklungsunternehmen versicherten in der Folge, die Sicherheitslücken umgehend geschlossen zu haben, die Apps sind weiter verfügbar.

Probleme mit den Anforderungen an IT-Sicherheit und Datenschutz in DiGA-Anwendungen

Und wir Datenschützer? Wir bekommen zunächst einmal spontan „Schnappatmung“ angesichts der Masse der Betroffenen, nach Art. 9 Abs. 1 DSGVO noch dazu besonders schutzwürdigen Gesundheitsdaten, die flächendeckend von diesen Sicherheitslücken betroffen sind und fragen uns, ob den Beteiligten die Sensibilität dieser Daten überhaupt bewusst ist und ob dem Datenschutz in dem ganzen Verfahren tatsächlich die notwendige höchste Priorität zukommt.

Wir machten uns auch schon Sorgen zum Thema und wir ärgern uns jetzt, denn das Problem ist nicht neu und die vermeintliche Ursache sogar bekannt – erste Berichte über mangelnden Datenschutz bei DiGA-Apps gab es gleich nach dem Start des DiGA-Verzeichnisses im Oktober 2020. Bereits zu diesem Zeitpunkt hatten Forscher in den bis dahin einzigen zwei DiGA-Apps Sicherheitslücken entdeckt. Und bereits damals war zu dem Zulassungsverfahren moniert worden, dass das BfArM zwar die Zulassungskriterien für die Aufnahme in das DiGA-Verzeichnis prüfe und auch mit der Prüfung von Datenschutz in Datensicherheit der Anwendung betraut sei, diese Prüftätigkeiten jedoch lediglich auf Plausibilität der Herstellerangaben zu Datenschutz und Datensicherheit beschränkt sei (s.o.).

Rechtliche Regelungen zu Prüfungen durch das BfArM

Und so ist es auch heute noch. Ausreichende Regelungen dürfte es – insbesondere mit der DiGAV – geben. So fordert § 4 Abs. 1 DiGAV:

„Digitale Gesundheitsanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten.“

In den Anlagen 1 und 2 zur DiGAV sind dann umfangreiche Checklisten vorhanden, die die Anforderungen für die DiGA definieren und die mit der Antragstellung von dem Hersteller der App einzureichen sind. Diese Checklisten umfassen auch die Themenfelder „Datenschutz“ und „IT-Sicherheit“, siehe DiGA-Leitfaden (S. 38 ff.).

Prüfungen des BfArM

Doch in dem DiGA-Leitfaden (S. 8) wird zum Prüfverfahren bei dem BfArM auch ausgeführt:

„Kern des Verfahrens sind die Prüfung der Herstellerangaben zu den geforderten Produkteigenschaften – vom Datenschutz bis zur Benutzerfreundlichkeit – sowie die Prüfung eines durch den Hersteller beizubringenden Nachweises für die mit der DiGA realisierbaren positiven Versorgungseffekte.“

Und an Formulierungen wie diesen zeigt sich, dass die durch das BfArM vorgesehenen Prüfungen tatsächlich immer noch eher theoretischer Natur sind, werden doch insbesondere die Angaben der Hersteller geprüft. Das kann nicht genügen!

Die entsprechende Prüfung des BfArM im Bereich Datenschutz und Datensicherheit läuft zurzeit wie folgt ab:

  1. Plausibilitätsprüfung der Angaben der Antragsteller zu den Anlagen 1 und 2 der DiGAV (auf Vollständigkeit der Unterlagen und Schlüssigkeit der Angaben),
  2. inhaltliche Prüfung der Angaben der Checkliste mit Hilfe des zur Verfügung gestellten Zugangs zur Anwendung bzw. der eingereichten Unterlagen.

Praktische IT-technische Sicherheitsuntersuchungen der jeweiligen Anwendung sucht man indes vergebens. Das könnte im Übrigen ein Grund dafür sein, dass es anscheinend erst eine einzige App nicht durch die BfArM-Prüfung geschafft hat.

Das muss sich ändern – jetzt!

Aus alledem zeigt sich:

  1. Das derzeitige „Fast-Track-Verfahren“ setzt auf das datenschutz- und IT-sicherheitstechnische Know-How bzw. schlichtweg auf das Verantwortungsgefühl der App-Anbieter für die Sensibilität der von ihnen verarbeiteten besonderen Kategorien personenbezogener Daten. Wie auch das Hackerkollektiv in seinem Bericht betont, sind DiGA-App-Anbieter bereits heute in der Pflicht, ihre Apps z.B. nach dem Stand der Technik umzusetzen. Dieses System funktioniert aber augenscheinlich nicht, worauf Art und Umfang der offengelegten Lücken hindeuten. Das Verfahren muss zumindest dringend kurzfristig nachgezogen werden.
  2. Der Gesetzgeber sieht an dieser Stelle nicht das BfArM in der Pflicht, IT-technische Sicherheitsuntersuchungen vorzunehmen. Diese Untersuchungen sind aber augenscheinlich ab der ersten Sekunde der Verfügbarkeit der Anwendung dringend erforderlich. DiGA-Apps dürfen erst am Markt sein, wenn feststeht, dass die Anforderungen zu Datenschutz und IT-Sicherheit tatsächlich und faktisch eingehalten sind.

Die gute Nachricht am Schluss: Änderungen sind geplant

Aber es soll besser werden: Aus § 7 Abs. 3 DiGAV ergibt sich, dass bereits seit dem 01.04.2022 der Nachweis eines Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001 oder gemäß ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik) vorgelegt werden muss. Außerdem muss ab dem 01.01.2023 durch ein Zertifikat vom BSI nachgewiesen werden, dass die Anforderungen an die Datensicherheit erfüllt werden und ab dem 01.04.2023 dann auch, dass die Anforderungen an den Datenschutz erfüllt werden (siehe auch DiGA-Leitfaden ab S. 39).

Und in der Zwischenzeit? Die Frage bleibt offen. Man kann leider unter den derzeitigen Umständen vor dem Einsatz von DiGA-Apps nur warnen, dies vor dem Hintergrund der unzureichenden Qualitätsprüfungen und hoffen, dass größere Schäden ausbleiben, etwa durch massenhafte Offenlegung solcher sensiblen Daten. Und man kann immer wieder darauf hinweisen, dass Datenschutz und IT-Sicherheit bei jeder neuen Verarbeitungstätigkeit von Anfang an sorgfältig mitgedacht werden müssen, um unnötige Risiken für die Nutzer auszuschließen, erst recht bei Anwendungen, die sensible Daten verarbeiten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Die Anforderungen bei DiGA sind ja viel höher als in anderen Bereichen des Gesundheitswesens und werden hier immerhin überhaupt vorab geprüft. Würden Sie dann auch empfehlen, dass ich nicht mehr zum Arzt, nicht mehr ins Krankenhaus und nicht mehr in die Apotheke gehen sollte, weil dort niemals jemand die lokalen Systeme vorher prüft und dort viel mehr Patienten mit viel mehr Daten vorhanden sind?

    Ich wundere mich etwas, dass man die Kritik genau dort so scharf formuliert, wo der Gesetzgeber endlich überhaupt mal einen Prüfmechanismus eingezogen hat. Ich sehe hier aber keine Kritik an den untätigen Datenschutzaufsichtsbehörden, keine Kritik an fehlenden allgemeinen DS-GVO-Zertifikaten und keine Einordnung in andere Bereiche des Gesundheitswesens. Datenschutz ist doch schon medizinprodukterechtlich erforderlich. Am Medizinprodukterecht sehe ich keine Kritik. Auch irritierend ist für mich, dass man vom Einzelfall auf die Gattung schließt. Das passiert nämlich nur bei negativen Nachrichten. Wieso ist dieser Beitrag nicht über die zwei betroffenen DiGA sondern über DiGA allgemein? Es gibt doch auch Apps in der GKV-Versorgung, die nicht als DiGA sondern als Satzungsleistungen, Hilfsmittel oder über Selektivverträge erstattet werden. Da prüft niemand. Das bleibt hier völlig unerwähnt.

    • Es erschließt sich uns nicht, wie Sie aus unserem Plädoyer für einen zeitweiligen Verzicht auf Gesundheitsapps, die in erster Linie der Unterstützung von Patient:innen dienen, ein Abraten von (notwendigen) Arzt- oder Apothekenbesuchen aufgrund fehlender Datensicherheit herleiten. Denn dabei stehen – anders als beim Plädoyer – jegliche Datenschutzbedenken offensichtlich im grotesken Missverhältnis zu den möglichen gesundheitlichen Folgen.

      Sicherlich hätte man noch einige der von Ihnen erwähnten Punkte ansprechen können. Aber wir müssen hier Ihre Erwartungshaltung etwas managen. Denn der Beitrag fällt mit knapp 1500 Wörtern über 4 Wordseiten für einen täglichen Blog sowieso schon überdurchschnittlich lang aus und keiner Ihrer angesprochenen Punkte lässt sich in dem Zusammenhang mal eben schnell in einem Satz abbügeln. Zudem ist es nicht so, als würden wir nur Gesundheitsapps kritisieren. Wenn Sie uns öfters lesen oder unsere Suche betätigen, werden Sie feststellen, dass wir sowohl zum Gesundheitswesen als auch zum Umgang mit Gesundheitsdaten, sowie den weiteren von Ihnen angesprochenen Themengebieten wie Untätigkeit der Aufsichtsbehörden und fehlende Zertifizierungen einige (auch teilweise durchaus) kritische Beiträge geschrieben haben.

  • Och… die Angaben der Hersteller ließen sich bei der Zulassung schon sinnvoll abhaken. Dazu müssten sie aber Nachweise enthalten, in denen externe Stellen das Einhalten bestimmter Anforderungen bzw. Eignung gegenüber bestimmten Risiken bestätigen (Zertifizierung).

    Von nix kommt nix. Da könnten die Hersteller auch gleich alles richtig machen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.