In der vergangenen Woche ging das Verzeichnis der digitalen Gesundheitsanwendungen (DiGA) an den Start, die Ärzt:innen verschreiben und Krankenkassen erstatten dürfen. Zu Beginn schafften es lediglich zwei Anwendungen auf die Liste: Kalmeda gegen Tinnitusbeschwerden und Velibra gegen Angststörungen.
Schon einige Tage später haben Forscher in der Gesundheitsanwendung Velibra mehrere Sicherheitslücken entdeckt. Wie das Handelsblatt berichtet, konnten sich zwei Sicherheitsexperten mit einfachsten Mitteln Zugriff auf Konten von Nutzer:innen verschaffen.
Der Weg war trivial: Während der Registrierung konnten die IT-Experten André Zilch und Martin Tschirsich ausprobieren, ob eine bestimmte E‑Mailadresse bereits einem Nutzerkonto bei Velibra zugeordnet war. So könne jeder ohne Probleme Rückschlüsse darauf ziehen, ob Familienmitglieder oder Freund:innen, deren Mailadresse bekannt ist, sich wegen Angststörungen in der App behandeln lassen. Auch Arbeitgeber:innen könnten so theoretisch die Mailadressen von Bewerber:innen testen.
Experten verschafften sich Zugang zu Nutzerkonten
Über die Passwort-Zurücksetzen-Funktion hatten Nutzer:innen der App per Mail einen vierstelligen Code zugesandt bekommen, mit dem sie ihr Passwort ändern konnten. Dieser Code sei 24 Stunden lang gültig gewesen. Es war den beiden Experten problemlos möglich, alle möglichen Kombinationen auszutesten und sich so Zugang zu Nutzerkonten zu verschaffen.
Außerdem habe eine Komponente der Anwendung nicht zwischen Nutzer:innen und Administrator:innen unterschieden, sodass auch einfach Nutzer:innen sich Namen und Mailadressen der anderen Nutzer:innen ausgeben lassen konnten.
Nach eigenen Angaben hat der Hersteller Gaia AG die Sicherheitslücke nach der Warnung der Experten geschlossen, noch bevor das Verzeichnis mit den digitalen Gesundheitsanwendungen veröffentlicht wurde.
Zuständiges Bundesinstitut prüft Anwendungen gar nicht
Dennoch wirft der Fall grundlegende Fragen über das Prüfverfahren des zuständigen Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) auf. Das Institut ist vom Gesundheitsministerium damit betraut, Datenschutz und Datensicherheit der Anwendungen zu überprüfen.
Bei dieser Überprüfung scheinen die Mitarbeiter:innen des BfArM allerdings nur die Plausibilität der Herstellerangaben zu Datenschutz und Sicherheit zu kontrollieren. Für eine unabhängige Prüfung der Anwendungen sieht sich das BfArM nicht zuständig.
Vor der Nennung von Velibra im DiGA-Verzeichnis fiel nicht einmal auf, dass der Hersteller Gaia AG auch nach Ende eines Datenabkommens offenbar weiter personenbezogene Daten in den Vereinigten Staaten verarbeitet. Der Europäische Gerichtshof hatte das Abkommen zwischen der EU und den USA vor einigen Monaten für unwirksam erklärt, weil die Daten aus der Europäischen Union nicht ausreichend vor dem Zugriff durch US-amerikanische Geheimdienste geschützt seien.
Daten zu psychischer Erkrankung haben nicht den höchsten Schutzbedarf
Im DiGA-Verzeichnis steht derweil explizit, dass Velibra-Daten in Deutschland verarbeitet werden. Obwohl die Anwendung im Zusammenhang mit psychischen Erkrankungen zum Einsatz kommt, ist ihr nicht der höchst mögliche Schutzbedarf zugeordnet. Bei diesem höchsten Niveau wäre beispielsweise eine Zwei-Faktor-Authentifizierung für die Anmeldung notwendig. Diese ist bei Velibra nicht nötig. Die Sicherheitsexperten Tschirsich und Zilch sehen hier sogar eine Verstoß gegen die Datenschutzgrundverordnung.
Bereits im Vorfeld der Veröffentlichung des Verzeichnisses hat die Antwort der Bundesregierung auf eine Kleine Anfrage der FDP Fragen zum Datenschutz aufgeworfen. darin wurden Unsicherheiten für die andere derzeit gelistete Anwendung, Kalmeda, öffentlich.
Dieses Programm ist als App nur über die Stores von Apple oder Google verfügbar. Die Bundesregierung ließ in ihrer Antwort jede Strategie vermissen, wie verhindert werden soll, dass die beiden Konzerne mit den Gesundheitsdaten der Nutzer:innen, die die Apps herunterladen, Profile anlegen.
