GesundheitsdatenApps auf Rezept teilweise unsicher

Manche Gesundheits-Apps bekommen Patient:innen von der Krankenkasse erstattet – das heißt aber nicht automatisch, dass man ihnen vertrauen kann. Recherchen des Kollektivs Zerforschung zeigen gravierende Sicherheitslücken bei zwei Anwendungen.

ein arzt mit weißem kittel und stethoskop um den hals hält ein handy in der hand
Bei manchen Gesundheitsapps sind die eigenen Daten wohl schlechter aufgehoben als bei anderen. Gemeinfrei-ähnlich freigegeben durch unsplash.com National Cancer Institute

Das Kollektiv Zerforschung hat Schwachstellen bei sogenannten Apps auf Rezept entdeckt. Solche Apps können sich Patient:innen ärztlich verschreiben lassen; die Krankenkassen zahlen. Die nun entdeckten Schwachstellen machten unerlaubten Zugriff auf sensible Daten möglich, wie Zerforschung berichtet.

Die betroffenen Hersteller haben sich bereits gegenüber NDR und WDR geäußert und versichert, dass die Lücken  nun geschlossen seien. Bei der App Novego, die gegen Depressionen helfen soll, ermöglichte Zerforschung zufolge eine simple Änderung der URL die Einsicht in das Archiv anderer Nutzer:innen. Wer die eigenen Daten abrufen wollte, hätte die Nutzer:innen-ID demnach einfach ändern und damit auf die Daten von Fremden zugreifen können. Dort sollen etwa die E-Mail-Adresse und die Ergebnisse psychologischer Fragebögen einsehbar gewesen sein.

Namen und Diagnosen für Fremde zugänglich

Auch die App Cankado für Brustkrebs-Patient:innen soll gravierende Sicherheitslücken aufgewiesen haben. Den Fachleute von Zerforschung zufolge habe eine Schnittstelle den Abruf tausender Patientinnendaten möglich gemacht . Dabei soll es sich um 12.500 Datensätze gehandelt haben. Nach der Entdeckung der Schwachstellen informierten die Hacker:innen die Hersteller der Apps. Laut Cankado sei das Sicherheitsrisiko nicht ausgenutzt worden.

Seit mehr als zwei Jahren gibt es mittlerweile Apps auf Rezept. Dabei handelt es sich etwa um Anwendungen, die Patient:innen bei Herzproblemen, Diabetes oder psychischen Erkrankungen helfen sollen und die von der Krankenkasse bezahlt werden. Der ehemalige Gesundheitsminister Jens Spahn (CDU) wollte damit das Gesundheitswesen „zukunftsfester“ machen.

Derzeit listet das zuständige Bundesamt für Arzneimittel und Medizinprodukte (BfArM) 31 Apps auf Rezept. Kritik gibt es jedoch am Zulassungsverfahren. Wie NDR und WDR berichten, gebe es dabei keine eigene technische Überprüfung. Die Anforderungen an den Datenschutz seien viel zu niedrig, heißt es vom AOK-Bundesverband.

Krankenkassen würden „völlig utopische“ Preise zahlen

Besonders brisant sind die Erkenntnisse über fehlenden Datenschutz deshalb, weil die Krankenkassen die Kosten der kommerziellen Apps übernehmen. Die Anbieter dürfen den Preis ihrer Apps frei wählen. Gerhard Schillinger vom AOK-Bundesverband bezeichnete die Preise gegenüber WDR/NDR als „völlig utopisch“. Demnach habe eine App gegen Migräne zuvor 64,99 Euro gekostet, der Preis für die Krankenkassen sei dann auf 879,96 Euro pro Jahr gestiegen.

In einem Bericht an den Bundestag stellten die Krankenkassen bereits letztes Jahr klar, dass „keine DiGA eine herkömmliche analoge Leistung“ ersetze. Die Abkürzung DiGa steht für digitale Gesundheitsanwendung. Des Weiteren kritisierten die Krankenkassen die hohen Kosten im Vergleich mit Anwendungen außerhalb des DiGA-Verzeichnisses.

Das Team von Zerforschung fordert nach der Aufdeckung der Sicherheitslücken Konsequenzen: „Daher sehen wir momentan keinen anderen Weg, als alle Apps, die noch keine ausreichenden Sicherheitsvorkehrungen implementiert haben, vorerst vom Markt zu nehmen.“ Es sei gefährlich, das Vertrauen von Bürger:innen in die digitale Gesundheitsversorgung zu verspielen.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

8 Ergänzungen

  1. “ Die Anbieter dürfen den Preis ihrer Apps frei wählen. “

    Das gilt m.W. auch für jedes andere neue Medikament/Heilmittel. oder?
    Auch bei Heilmitteln ist kein Nachweis der Wirksamkeit/Unschädlichkeit nötig.

    1. An sich ja, aber wenn es von der Krankenkasse übernommen werden sollen, müssen die Hersteller mit dem Gemeinsamen Bundesauschuss GBA verhandeln, der die Preise dann meist ordentlich nach unten drückt.

      Das das bei Apps nicht stattfindet, ist irgendwie krass. Jens Spahn mal wieder ne

    2. Der Preis bei neu zugelassenen Medikamenten misst sich am Nutzen. Das regelt momentan das Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen https://www.iqwig.de/. Bei den Apps ist das allerdings zunächst nicht der Fall.

  2. Hallo,

    thematisch passt das zu einem Artikel bei themarkup.org [1] — die
    haben rausgefunden dass Facebook (zumindest in den USA) sensitive
    Informationen über Besucher von Krankenhaus-Webseiten abgreift.
    Gefunden bei arstechnica [2], der Artikel steht wohl unter einer CC
    Lizenz.

    Schönes Wochenende

    [1]: https://themarkup.org/pixel-hunt/2022/06/16/facebook-is-receiving-sensitive-medical-information-from-hospital-websites
    [2]: https://arstechnica.com/tech-policy/2022/06/facebook-is-receiving-sensitive-medical-information-from-hospital-websites/

  3. Danke an Zerforschung. :)
    Werden solche Projekte/… wie Zerforschung, CCC, Digitalcourage usw.usf. eigtl. staatlich (mit-)finanziert und wenn nein, warum nicht? Die machen ja eigtl. das, was z.B. BSI&co machen sollten?

    1. Die werden natürlich *nicht* staatlich finanziert, weil die Politik nicht Datenschutz und Datensicherheit will, sondern die ungestörte Gewinnmaximierung von großen Unternehmen.
      Auch hier gilt die Maxime „It‘s the Economy, stupid.“

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.