Sicherheitslücke in „AOK Bonus-App“ entdeckt

/SolisImages, stockadobecom

Berlin – In der „AOK Bonus-App“ ließen sich vermutlich seit Januar 2017 die Passwörter der Nutzer auslesen. Das teilte heute der MDR mit. Die Sicherheitslücke hätten MDR-Redakteure und ein unabhängiger IT-Experte während Recherchen zur Datensicherheit von Krankenkassen-Apps entdeckt, hieß es heute. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“.

Die AOK Plus reagierte nach Angaben des MDR inzwischen auf die Recherchen und habe eine aktualisierte Version der Bonus-App veröffentlicht. „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ,Schwachstelle’ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern“, teilte die AOK dem MDR demnach mit.

Mit der Krankenkassen-App können Versicherte Punkte sammeln und so Bonus­zahlungen erhalten. Die Versicherten müssen dafür eine zweite Fitness-App benutzen, die ihre Gesundheitsdaten verarbeitet. Die MDR-Recherchen zeigten außerdem, dass dabei die Gesundheitsdaten der Versicherten in die USA übertragen werden. Die AOK Plus begründetet das mit mangelnden Alternativen: „Es gibt leider keinen deutschen Schrittzähler, der an Google und Co vorbeiführt.“

Die Datenschutzexpertin und Netzaktivistin Katharina Nocun kritisiert den Umgang der Krankenkassen mit Gesundheitsdaten. „Die einzig richtige Lösung für Krankenkassen kann sein, möglichst wenig Daten zu sammeln und die Daten auf den Geräten der Nutzer zu lassen“, sagte die ehemalige Politikerin der Piratenpartei.

Erst vor rund einer Woche hatte die Gesellschaft für Informatik (GI) vor einem „allzu unbegründeten Vertrauen in die bisherigen Entwicklungen und die nicht überprüften Versprechungen hinsichtlich Datenschutz und IT-Sicherheit“ bei Gesundheits-Apps gewarnt.

Das Sicherheitsniveau solcher Applikationen hänge von verschiedenen Aspekten und Komponenten ab: So enthielten Hardware wie Handys und Tablets sowie Betriebssysteme in der Regeln Sicherheitslücken, die von Angreifern ausgenutzt werden können. Ein Handy könne etwa von Angreifern auch dann erfolgreich manipuliert werden, wenn es ausgeschaltet ist – unbemerkt vom Nutzer wird dann laut GI das Handy über das Mobilfunknetz wieder eingeschaltet und missbraucht.

Alle mit der App kommunizierenden Server von Krankenhäusern, Arztpraxen, Laboren und andere zur Verwaltung der medizinischen Daten (Krankenkassen, Versicherungen) verwendete Rechner, Service Provider oder Clouds stellen laut GI ein Risiko für die Vertraulichkeit und Integrität der gespeicherten und bearbeiteten Gesundheitsdaten dar.

Verbindung mit Trackingdiensten

Dazu gehören neben den explizit für die Verarbeitung dieser Daten eingesetzten Server auch Zwischenknoten. Zudem könnten Gesundheits-Apps durch andere Apps manipuliert werden und als Folge dessen wiederum andere Apps infizieren, die auf einem von Schadsoftware befallenen Endgerät des Nutzers laufen (Viren, Würmer, Trojanische Pferde). Selbst die zur Verschlüsselung eingesetzten kryptografischen Schlüssel sind in solchen Fällen laut GI nicht sicher.

Einige Gesundheits-Apps verbinden sich laut GI zudem unmittelbar nach dem Start noch vor der allerersten Benutzereingabe (Versichertennummer, Passwort) mit Trackingdiensten auch außerhalb der EU und übermitteln diverse Daten an diese Dienste. Hierzu gehört unter anderem auch die IP-Adresse des Versicherten, sodass eine Re-Identifikation des Gerätes und Verknüpfungen mit anderen personenbezogenen Daten möglich werden, die andere Apps auf demselben Gerät an den betreffenden Trackingdienst übermitteln.

Welche Daten übermittelt werden, sei dabei weder ausreichend dokumentiert noch wegen der teilweise verwendeten Verschlüsselung vollständig überprüfbar. Als Stand der Technik zur Sicherheitsüberprüfung verweist die GI auf den internationalen Standard ISO/EC 27034, der Vorgaben für die Entwicklung sicherer Software und Apps mache. Mindestens diese Norm sei zugrunde zu legen, und die entsprechenden Prüfberichte und Zertifikate müssten veröffentlicht werden. © may/KBr/aerzteblatt.de