DiGA-VerzeichnisErste Sicherheitslücken bei digitalen Gesundheits-Apps entdeckt

Kurz nach dem Start der „Apps auf Rezept“ finden unabhängige Forscher Sicherheitslücken in einer der Anwendungen. Der Fall wirft grundlegende Fragen zum Prüfungsverfahren auf.

Schlüssel steckt im Schloss
Die Hersteller von Velibra schlossen zwar die Tür zu den Daten ab, ließen aber den Schlüssel stecken, ohne dass es jemandem auffiel. – Vereinfachte Pixabay Lizenz MasterTux

In der vergangenen Woche ging das Verzeichnis der digitalen Gesundheitsanwendungen (DiGA) an den Start, die Ärzt:innen verschreiben und Krankenkassen erstatten dürfen. Zu Beginn schafften es lediglich zwei Anwendungen auf die Liste: Kalmeda gegen Tinnitusbeschwerden und Velibra gegen Angststörungen.

Schon einige Tage später haben Forscher in der Gesundheitsanwendung Velibra mehrere Sicherheitslücken entdeckt. Wie das Handelsblatt berichtet, konnten sich zwei Sicherheitsexperten mit einfachsten Mitteln Zugriff auf Konten von Nutzer:innen verschaffen.

Der Weg war trivial: Während der Registrierung konnten die IT-Experten André Zilch und Martin Tschirsich ausprobieren, ob eine bestimmte E-Mailadresse bereits einem Nutzerkonto bei Velibra zugeordnet war. So könne jeder ohne Probleme Rückschlüsse darauf ziehen, ob Familienmitglieder oder Freund:innen, deren Mailadresse bekannt ist, sich wegen Angststörungen in der App behandeln lassen. Auch Arbeitgeber:innen könnten so theoretisch die Mailadressen von Bewerber:innen testen.

Experten verschafften sich Zugang zu Nutzerkonten

Über die Passwort-Zurücksetzen-Funktion hatten Nutzer:innen der App per Mail einen vierstelligen Code zugesandt bekommen, mit dem sie ihr Passwort ändern konnten. Dieser Code sei 24 Stunden lang gültig gewesen. Es war den beiden Experten problemlos möglich, alle möglichen Kombinationen auszutesten und sich so Zugang zu Nutzerkonten zu verschaffen.

Außerdem habe eine Komponente der Anwendung nicht zwischen Nutzer:innen und Administrator:innen unterschieden, sodass auch einfach Nutzer:innen sich Namen und Mailadressen der anderen Nutzer:innen ausgeben lassen konnten.

Nach eigenen Angaben hat der Hersteller Gaia AG die Sicherheitslücke nach der Warnung der Experten geschlossen, noch bevor das Verzeichnis mit den digitalen Gesundheitsanwendungen veröffentlicht wurde.

Zuständiges Bundesinstitut prüft Anwendungen gar nicht

Dennoch wirft der Fall grundlegende Fragen über das Prüfverfahren des zuständigen Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) auf. Das Institut ist vom Gesundheitsministerium damit betraut, Datenschutz und Datensicherheit der Anwendungen zu überprüfen.

Bei dieser Überprüfung scheinen die Mitarbeiter:innen des BfArM allerdings nur die Plausibilität der Herstellerangaben zu Datenschutz und Sicherheit zu kontrollieren. Für eine unabhängige Prüfung der Anwendungen sieht sich das BfArM nicht zuständig.

Vor der Nennung von Velibra im DiGA-Verzeichnis fiel nicht einmal auf, dass der Hersteller Gaia AG auch nach Ende eines Datenabkommens offenbar weiter personenbezogene Daten in den Vereinigten Staaten verarbeitet. Der Europäische Gerichtshof hatte das Abkommen zwischen der EU und den USA vor einigen Monaten für unwirksam erklärt, weil die Daten aus der Europäischen Union nicht ausreichend vor dem Zugriff durch US-amerikanische Geheimdienste geschützt seien.

Daten zu psychischer Erkrankung haben nicht den höchsten Schutzbedarf

Im DiGA-Verzeichnis steht derweil explizit, dass Velibra-Daten in Deutschland verarbeitet werden. Obwohl die Anwendung im Zusammenhang mit psychischen Erkrankungen zum Einsatz kommt, ist ihr nicht der höchst mögliche Schutzbedarf zugeordnet. Bei diesem höchsten Niveau wäre beispielsweise eine Zwei-Faktor-Authentifizierung für die Anmeldung notwendig. Diese ist bei Velibra nicht nötig. Die Sicherheitsexperten Tschirsich und Zilch sehen hier sogar eine Verstoß gegen die Datenschutzgrundverordnung.

Bereits im Vorfeld der Veröffentlichung des Verzeichnisses hat die Antwort der Bundesregierung auf eine Kleine Anfrage der FDP Fragen zum Datenschutz aufgeworfen. darin wurden Unsicherheiten für die andere derzeit gelistete Anwendung, Kalmeda, öffentlich.

Dieses Programm ist als App nur über die Stores von Apple oder Google verfügbar. Die Bundesregierung ließ in ihrer Antwort jede Strategie vermissen, wie verhindert werden soll, dass die beiden Konzerne mit den Gesundheitsdaten der Nutzer:innen, die die Apps herunterladen, Profile anlegen.

2 Ergänzungen

  1. Das wird auch kein Ende nehmen.

    So wie das Urheberrecht ausgewalzt wird, sollte man sichere Systeme zur Voraussetzung für Apps mit irgendwas mit Staat machen. Also kein Google, Microsoft, Apple, HuaWei…

    baut doch mal was neues!

  2. Ich hab ja schon Schwierigkeiten den Sinn der beiden APPs zu erkennen.
    Aber wenn ich Kaldera ansehe, fällt mir kein Wort ein, was es in mir auslöst, wenn ich lese:
    „Angaben zum Datenschutz und zur Datensicherheit“ – https://diga.bfarm.de/de/verzeichnis/350

    Die digitale Gesundheitsanwendung nutzt keine Konfigurationsdateien bzw. diese sind für den sicheren Betrieb der digitalen Gesundheitsanwendung nicht relevant.

    Oder noch besser:

    Führt der Hersteller eine vollständige Aufstellung aller in der digitalen Gesundheitsanwendung verwendeten Bibliotheken und anderen Software-Produkte, die nicht durch den Hersteller der digitalen Gesundheitsanwendung selbst entwickelt wurden?
    Zutreffend

    Aber wo man die einlesen kann steht nirgend.
    Also versucht man die angegebene Adresse support.kalmeda.de
    Überraschung: Weiterleitung auf https://kalmeda.freshdesk.com/support/login
    Wenigstens SSL.
    Nichts geht ohne Anmeldung.
    Freshdesk? Ach ja ist ja nichts europäisches; löst (hier aktuell) nach 23.20.254.19 (Amazon S3) auf.
    Damit wäre das Thema erledigt. Also schnell noch unter „Datenschutz“ geschaut, wie der von Kalmeda aussieht. Den gibt es da nicht. Die verlinkte Freshdeskrichtlinie ist vom März 2019.

    Das Highlight aus einem der Java-Scripte der Loginseite – https://assets8.freshdesk.com/assets/cdn/i18n/portal/de-59e84a032240df4f10f89f8b3aafe978.js :
    twitter_limit_exceed:“Sie haben das Maximum an Zeichen \xfcberschritten, dass Twitter zul\xe4sst. Bitte k\xfcrzen Sie Ihre Antwort.“

    Ich möchte nicht wissen, was da alles wo landen kann.

    Nun noch kurz bei kalmera.de in die Datenschutzerklärung gelesen:
    Das Zitat ist echt:
    „Im Rahmen der Funktionsgewährleistung ist in der Kalmeda-App zusätzlich die Funktionsstatusmeldung bei Abstürzen vom Microsoft AppCenter ( http://appcenter.ms ) hinterlegt der Drittanbieter (Microsoft Corporation) fragt bei Abstürzen folgende Informationen ab:

    Geräteart (Hersteller und Version),
    Betriebssystemversion,
    App-Version der Kalmeda-App sowie
    Screen beziehungsweise Funktionsaufruf (Ort, nicht Ort des Users) des Absturzes.

    Die Speicherung dieser gesonderten Daten übernimmt Microsoft – wir haben auf den Speicherort keinen Einfluss. “

    Schlimm genug, das nicht wenigstens das BSI einfach mal verpflichtend drüber schaut, wie das Gesamtkonstrukt aufgebaut ist und funktioniert; Wer sich dem anvertraut, kann sich auch mit nem Schild in der Hand an den Strassenrand stellen.
    Die „Gefahr“ von nem Streetview-Auto erfasst zu werden ist wohl ungleich geringer.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.