Das Kollektiv Zerforschung hat Schwachstellen bei sogenannten Apps auf Rezept entdeckt. Solche Apps können sich Patient:innen ärztlich verschreiben lassen; die Krankenkassen zahlen. Die nun entdeckten Schwachstellen machten unerlaubten Zugriff auf sensible Daten möglich, wie Zerforschung berichtet.
Die betroffenen Hersteller haben sich bereits gegenüber NDR und WDR geäußert und versichert, dass die Lücken nun geschlossen seien. Bei der App Novego, die gegen Depressionen helfen soll, ermöglichte Zerforschung zufolge eine simple Änderung der URL die Einsicht in das Archiv anderer Nutzer:innen. Wer die eigenen Daten abrufen wollte, hätte die Nutzer:innen-ID demnach einfach ändern und damit auf die Daten von Fremden zugreifen können. Dort sollen etwa die E-Mail-Adresse und die Ergebnisse psychologischer Fragebögen einsehbar gewesen sein.
Namen und Diagnosen für Fremde zugänglich
Auch die App Cankado für Brustkrebs-Patient:innen soll gravierende Sicherheitslücken aufgewiesen haben. Den Fachleute von Zerforschung zufolge habe eine Schnittstelle den Abruf tausender Patientinnendaten möglich gemacht . Dabei soll es sich um 12.500 Datensätze gehandelt haben. Nach der Entdeckung der Schwachstellen informierten die Hacker:innen die Hersteller der Apps. Laut Cankado sei das Sicherheitsrisiko nicht ausgenutzt worden.
Seit mehr als zwei Jahren gibt es mittlerweile Apps auf Rezept. Dabei handelt es sich etwa um Anwendungen, die Patient:innen bei Herzproblemen, Diabetes oder psychischen Erkrankungen helfen sollen und die von der Krankenkasse bezahlt werden. Der ehemalige Gesundheitsminister Jens Spahn (CDU) wollte damit das Gesundheitswesen „zukunftsfester“ machen.
Derzeit listet das zuständige Bundesamt für Arzneimittel und Medizinprodukte (BfArM) 31 Apps auf Rezept. Kritik gibt es jedoch am Zulassungsverfahren. Wie NDR und WDR berichten, gebe es dabei keine eigene technische Überprüfung. Die Anforderungen an den Datenschutz seien viel zu niedrig, heißt es vom AOK-Bundesverband.
Krankenkassen würden „völlig utopische“ Preise zahlen
Besonders brisant sind die Erkenntnisse über fehlenden Datenschutz deshalb, weil die Krankenkassen die Kosten der kommerziellen Apps übernehmen. Die Anbieter dürfen den Preis ihrer Apps frei wählen. Gerhard Schillinger vom AOK-Bundesverband bezeichnete die Preise gegenüber WDR/NDR als „völlig utopisch“. Demnach habe eine App gegen Migräne zuvor 64,99 Euro gekostet, der Preis für die Krankenkassen sei dann auf 879,96 Euro pro Jahr gestiegen.
In einem Bericht an den Bundestag stellten die Krankenkassen bereits letztes Jahr klar, dass „keine DiGA eine herkömmliche analoge Leistung“ ersetze. Die Abkürzung DiGa steht für digitale Gesundheitsanwendung. Des Weiteren kritisierten die Krankenkassen die hohen Kosten im Vergleich mit Anwendungen außerhalb des DiGA-Verzeichnisses.
Das Team von Zerforschung fordert nach der Aufdeckung der Sicherheitslücken Konsequenzen: „Daher sehen wir momentan keinen anderen Weg, als alle Apps, die noch keine ausreichenden Sicherheitsvorkehrungen implementiert haben, vorerst vom Markt zu nehmen.“ Es sei gefährlich, das Vertrauen von Bürger:innen in die digitale Gesundheitsversorgung zu verspielen.
“ Die Anbieter dürfen den Preis ihrer Apps frei wählen. “
Das gilt m.W. auch für jedes andere neue Medikament/Heilmittel. oder?
Auch bei Heilmitteln ist kein Nachweis der Wirksamkeit/Unschädlichkeit nötig.
An sich ja, aber wenn es von der Krankenkasse übernommen werden sollen, müssen die Hersteller mit dem Gemeinsamen Bundesauschuss GBA verhandeln, der die Preise dann meist ordentlich nach unten drückt.
Das das bei Apps nicht stattfindet, ist irgendwie krass. Jens Spahn mal wieder ne
Der Preis bei neu zugelassenen Medikamenten misst sich am Nutzen. Das regelt momentan das Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen https://www.iqwig.de/. Bei den Apps ist das allerdings zunächst nicht der Fall.
„Profit first, Bedenken second“, ihre FDP.
Hallo,
thematisch passt das zu einem Artikel bei themarkup.org [1] — die
haben rausgefunden dass Facebook (zumindest in den USA) sensitive
Informationen über Besucher von Krankenhaus-Webseiten abgreift.
Gefunden bei arstechnica [2], der Artikel steht wohl unter einer CC
Lizenz.
Schönes Wochenende
[1]: https://themarkup.org/pixel-hunt/2022/06/16/facebook-is-receiving-sensitive-medical-information-from-hospital-websites
[2]: https://arstechnica.com/tech-policy/2022/06/facebook-is-receiving-sensitive-medical-information-from-hospital-websites/
@Anonymus: Stichwort „Digitale Diktatur“?
Da lässt sich so einiges finden:
https://www.deutschlandfunk.de/datenspuren-im-netz-ueberwachung-in-der-digitalen-diktatur-100.html
Danke an Zerforschung. :)
Werden solche Projekte/… wie Zerforschung, CCC, Digitalcourage usw.usf. eigtl. staatlich (mit-)finanziert und wenn nein, warum nicht? Die machen ja eigtl. das, was z.B. BSI&co machen sollten?
Die werden natürlich *nicht* staatlich finanziert, weil die Politik nicht Datenschutz und Datensicherheit will, sondern die ungestörte Gewinnmaximierung von großen Unternehmen.
Auch hier gilt die Maxime „It‘s the Economy, stupid.“