Sicherheitslücken bei drei Apps auf Rezept entdeckt: DiGA: Nutzerdaten nicht immer sicher
Seit Ende 2019 können digitale Gesundheitsanwendungen – kurz DiGA – vom Arzt verschrieben und von der gesetzlichen Krankenversicherung (GKV) erstattet werden. Die als Medizinprodukt zertifizierten Apps sollen Patienten u. a. bei der Therapie bestimmter Erkrankungen unterstützen.
Voraussetzung für die Erstattungsfähigkeit ist die Aufnahme in das vom BfArM (Bundesinstitut für Arzneimittel und Medizinprodukte) geführte DiGA-Verzeichnis. Um dorthin zu gelangen, muss für die jeweilige digitale Anwendung unter anderem auch Datenschutz und Informationssicherheit belegt werden. Jüngst haben IT-Experten jedoch erhebliche Sicherheitsmängel entdeckt.
Zugriff auf Nutzerdaten bei Novego und Cankado PRO-React Onco
Wie das Handelsblatt im Juni berichtete, hat das ehrenamtliche Kollektiv „Zerforschung“ auf einfachem Wege Zugriff auf sensible Nutzerdaten von „Novego“ (DiGA bei depressiven Episoden) und „Cankado PRO-React Onco“ (DiGA für Brustkrebspatientinnen) erlangt. Ein wesentliches Manko: Zum Zeitpunkt der Tests wiesen beide Anwendungen keine Zweifaktor-Authentifizierung auf.
Den Sicherheitsexperten war es dem IT- und Technik-Portal Golem.de zufolge z. B. möglich, auf Ergebnisse eines psychologischen Fragebogens (Novego) bzw. auf Tagebuchdaten, Diagnosen sowie Arztberichte (Cankado) zuzugreifen. Dazu mussten die Experten im Falle von Novego lediglich die Nummern innerhalb einer URL für den Datenexport austauschen. Bei Cankado konnten die Experten unter anderem durch Anlegen eines Ärztekontos auf beliebige Patientendaten zugreifen.
Gut zu wissen: Sicherheitsmängel trotz Datenschutznachweis?
Im Rahmen des DiGA-Antrags prüft das BfArM eigenen Aussagen zufolge die Plausibilität der vom Hersteller in den Formularen gemachten Angaben. Zudem werden über Testzugänge z. B. die Datenschutzerklärungen, die Authentisierungsmethoden und die Datenverbindungen geprüft. Die zuvor genannten Sicherheitslücken bleiben laut Handelsblatt bei diesen Tests jedoch unentdeckt.
Gegenüber der Tagesschau räumt das BfArM zudem ein, dass eine „eigene technische Überprüfung“ nicht stattfindet. Es handele sich lediglich um eine Prüfung der eingereichten Unterlagen.
Daher ist es auch wenig verwunderlich, dass bislang lediglich eine Anwendung allein aufgrund von mangelhaftem Datenschutz und Datensicherheit durch das BfArM abgelehnt wurde.
Laut Cankado-Geschäftsführer Timo Schinköthe wurde die Sicherheitslücke mittlerweile geschlossen. Dritte, außerhalb des Kollektivs „Zerforschung“, hätten keine Einsicht in die Daten erlangt. Und auch der Novego-Hersteller IVPNetworks gibt an, die entsprechenden Schwachstellen rasch behoben zu haben.
Sicherheitslücken bei DiGA bereits 2020 entdeckt
IT-Sicherheitsberater Martin Tschirsich schätzt im Interview mit dem Handelsblatt, dass die meisten digitalen Gesundheitsanwendungen sicher sind. Allerdings seien ähnliche Mängel auch in der Vergangenheit bereits bei DiGA aufgetreten.
Noch bevor „Velibra“ (DiGA bei Angst und Panikstörungen) am 1. Oktober 2020 offiziell ins DiGA-Verzeichnis aufgenommen wurde, nahmen es Sicherheitsexperten unter die Lupe. Dabei entdeckten sie unter anderem, dass sich durch Zurücksetzen des Passworts feststellen ließ, welche E-Mail-Adressen bei Velibra registriert waren – und damit vermutlich die Anwendung aufgrund von psychischen Beschwerden nutzten. Auch war der Code zum Zurücksetzen des Passwortes zu diesem Zeitpunkt so kurz (4 Zeichen), dass er durch bloßes Ausprobieren ermittelt hätte werden können. Damit wäre der Zugriff auf das Nutzerkonto durch Unbefugte möglich gewesen, schlussfolgerte Golem.de.
Die Sicherheitslücken wurden laut Hersteller umgehend behoben. Dennoch zeigte dieser Fall bereits 2020, wie riskant eine mangelnde Überprüfung der DiGA für die Anwender sein kann.
Gut zu wissen: Höhere Datenschutz-Standards ab 2023
Ab 2023 gelten höhere Datenschutzstandards für DiGA: Dann müssen die Anwendungen ein Datensicherheitszertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) nachweisen. Wenig später (ab 1. April 2023) ist zudem ein Datenschutz-Zertifikat nach Art. 42 DSGVO notwendig.