NewsPolitikSicherheitslücke in „AOK Bonus-App“ entdeckt
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Sicherheitslücke in „AOK Bonus-App“ entdeckt

Mittwoch, 10. Oktober 2018

/SolisImages, stockadobecom

Berlin – In der „AOK Bonus-App“ ließen sich vermutlich seit Januar 2017 die Passwörter der Nutzer auslesen. Das teilte heute der MDR mit. Die Sicherheitslücke hätten MDR-Redakteure und ein unabhängiger IT-Experte während Recherchen zur Datensicherheit von Krankenkassen-Apps entdeckt, hieß es heute. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“.

Die AOK Plus reagierte nach Angaben des MDR inzwischen auf die Recherchen und habe eine aktualisierte Version der Bonus-App veröffentlicht. „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ,Schwachstelle’ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern“, teilte die AOK dem MDR demnach mit.

Anzeige

Mit der Krankenkassen-App können Versicherte Punkte sammeln und so Bonus­zahlungen erhalten. Die Versicherten müssen dafür eine zweite Fitness-App benutzen, die ihre Gesundheitsdaten verarbeitet. Die MDR-Recherchen zeigten außerdem, dass dabei die Gesundheitsdaten der Versicherten in die USA übertragen werden. Die AOK Plus begründetet das mit mangelnden Alternativen: „Es gibt leider keinen deutschen Schrittzähler, der an Google und Co vorbeiführt.“

Die Datenschutzexpertin und Netzaktivistin Katharina Nocun kritisiert den Umgang der Krankenkassen mit Gesundheitsdaten. „Die einzig richtige Lösung für Krankenkassen kann sein, möglichst wenig Daten zu sammeln und die Daten auf den Geräten der Nutzer zu lassen“, sagte die ehemalige Politikerin der Piratenpartei.

Erst vor rund einer Woche hatte die Gesellschaft für Informatik (GI) vor einem „allzu unbegründeten Vertrauen in die bisherigen Entwicklungen und die nicht überprüften Versprechungen hinsichtlich Datenschutz und IT-Sicherheit“ bei Gesundheits-Apps gewarnt.

Das Sicherheitsniveau solcher Applikationen hänge von verschiedenen Aspekten und Komponenten ab: So enthielten Hardware wie Handys und Tablets sowie Betriebssysteme in der Regeln Sicherheitslücken, die von Angreifern ausgenutzt werden können. Ein Handy könne etwa von Angreifern auch dann erfolgreich manipuliert werden, wenn es ausgeschaltet ist – unbemerkt vom Nutzer wird dann laut GI das Handy über das Mobilfunknetz wieder eingeschaltet und missbraucht.

Alle mit der App kommunizierenden Server von Krankenhäusern, Arztpraxen, Laboren und andere zur Verwaltung der medizinischen Daten (Krankenkassen, Versicherungen) verwendete Rechner, Service Provider oder Clouds stellen laut GI ein Risiko für die Vertraulichkeit und Integrität der gespeicherten und bearbeiteten Gesundheitsdaten dar.

Verbindung mit Trackingdiensten

Dazu gehören neben den explizit für die Verarbeitung dieser Daten eingesetzten Server auch Zwischenknoten. Zudem könnten Gesundheits-Apps durch andere Apps manipuliert werden und als Folge dessen wiederum andere Apps infizieren, die auf einem von Schadsoftware befallenen Endgerät des Nutzers laufen (Viren, Würmer, Trojanische Pferde). Selbst die zur Verschlüsselung eingesetzten kryptografischen Schlüssel sind in solchen Fällen laut GI nicht sicher.

Einige Gesundheits-Apps verbinden sich laut GI zudem unmittelbar nach dem Start noch vor der allerersten Benutzereingabe (Versichertennummer, Passwort) mit Trackingdiensten auch außerhalb der EU und übermitteln diverse Daten an diese Dienste. Hierzu gehört unter anderem auch die IP-Adresse des Versicherten, sodass eine Re-Identifikation des Gerätes und Verknüpfungen mit anderen personenbezogenen Daten möglich werden, die andere Apps auf demselben Gerät an den betreffenden Trackingdienst übermitteln.

Welche Daten übermittelt werden, sei dabei weder ausreichend dokumentiert noch wegen der teilweise verwendeten Verschlüsselung vollständig überprüfbar. Als Stand der Technik zur Sicherheitsüberprüfung verweist die GI auf den internationalen Standard ISO/EC 27034, der Vorgaben für die Entwicklung sicherer Software und Apps mache. Mindestens diese Norm sei zugrunde zu legen, und die entsprechenden Prüfberichte und Zertifikate müssten veröffentlicht werden. © may/KBr/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

20. Februar 2019
Berlin/Köln – Die Barmer Krankenkasse hat ihr sogenanntes Kinder- und Jugend-Programm um ein Modul namens „PädAssist“ erweitert. Dieses beinhaltet eine App zum Langzeitmonitoring junger Patienten
Telemedizinisches Monitoring bei Asthma oder Rheuma per App
6. Februar 2019
Berlin – Die Arbeitsgemeinschaft der Wissenschaftlichen Medizinischen Fachgesellschaften (AWMF) will die evidenzbasierten medizinischen Leitlinien der Fachgesellschaften als Applikation (App) für
Leitlinien der medizinischen Fachgesellschaften sollen digitalisiert werden
6. Februar 2019
Hamburg – Die Zahl der Beschwerden wegen Verstößen gegen den Datenschutz im Gesundheitswesen hat sich in Hamburg im vergangenen Jahr fast verfünffacht. 2018 seien rund 270 Beschwerden zum
Beschwerden über Datenschutzverstöße in Hamburg stark gestiegen
31. Januar 2019
Berlin – Bei den kürzlich in Berlin gefundenen Klinikunterlagen auch aus DDR-Zeiten handelt es sich nach erster Einschätzung der Stasiunterlagenbehörde nicht um Stasiakten. Zwei Archivare seien bei
Gefundene Klinikunterlagen: Keine Hinweise auf Stasiunterlagen
30. Januar 2019
Berlin – Rund zwei Wochen nach einem großen Dokumentenfund auf dem Gelände einer früheren Klinik der DDR-Staatssicherheit in Berlin haben sich Experten für Stasiunterlagen persönlich eingeschaltet.
Stasiunterlagenbehörde prüft Aktenfund von Ex-Klinik in Berlin
28. Januar 2019
Berlin – Der Gesundheitsakte Vivy wird von sieben weiteren Krankenkassen und zwei Privatversicherern genutzt. Das teilte heute Vivy mit. Demnach können nun auch Versicherte von Audi BKK, Bahn-BKK, BKK
Weitere Kassen und Privatversicherer setzten auf Vivy-Gesundheitsakte
28. Januar 2019
Singapur – In Singapur sind durch ein Datenleck die Namen und persönlichen Angaben von rund 14.200 HIV-infizierten Patienten an die Öffentlichkeit gelangt. Darunter sind auch die Daten von 8.800
LNS LNS

Fachgebiet

Anzeige

Weitere...

Aktuelle Kommentare

Archiv

Anzeige
NEWSLETTER