NewsPolitikSicherheitslücke in „AOK Bonus-App“ entdeckt
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Sicherheitslücke in „AOK Bonus-App“ entdeckt

Mittwoch, 10. Oktober 2018

/SolisImages, stockadobecom

Berlin – In der „AOK Bonus-App“ ließen sich vermutlich seit Januar 2017 die Passwörter der Nutzer auslesen. Das teilte heute der MDR mit. Die Sicherheitslücke hätten MDR-Redakteure und ein unabhängiger IT-Experte während Recherchen zur Datensicherheit von Krankenkassen-Apps entdeckt, hieß es heute. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“.

Die AOK Plus reagierte nach Angaben des MDR inzwischen auf die Recherchen und habe eine aktualisierte Version der Bonus-App veröffentlicht. „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ,Schwachstelle’ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern“, teilte die AOK dem MDR demnach mit.

Anzeige

Mit der Krankenkassen-App können Versicherte Punkte sammeln und so Bonus­zahlungen erhalten. Die Versicherten müssen dafür eine zweite Fitness-App benutzen, die ihre Gesundheitsdaten verarbeitet. Die MDR-Recherchen zeigten außerdem, dass dabei die Gesundheitsdaten der Versicherten in die USA übertragen werden. Die AOK Plus begründetet das mit mangelnden Alternativen: „Es gibt leider keinen deutschen Schrittzähler, der an Google und Co vorbeiführt.“

Die Datenschutzexpertin und Netzaktivistin Katharina Nocun kritisiert den Umgang der Krankenkassen mit Gesundheitsdaten. „Die einzig richtige Lösung für Krankenkassen kann sein, möglichst wenig Daten zu sammeln und die Daten auf den Geräten der Nutzer zu lassen“, sagte die ehemalige Politikerin der Piratenpartei.

Erst vor rund einer Woche hatte die Gesellschaft für Informatik (GI) vor einem „allzu unbegründeten Vertrauen in die bisherigen Entwicklungen und die nicht überprüften Versprechungen hinsichtlich Datenschutz und IT-Sicherheit“ bei Gesundheits-Apps gewarnt.

Das Sicherheitsniveau solcher Applikationen hänge von verschiedenen Aspekten und Komponenten ab: So enthielten Hardware wie Handys und Tablets sowie Betriebssysteme in der Regeln Sicherheitslücken, die von Angreifern ausgenutzt werden können. Ein Handy könne etwa von Angreifern auch dann erfolgreich manipuliert werden, wenn es ausgeschaltet ist – unbemerkt vom Nutzer wird dann laut GI das Handy über das Mobilfunknetz wieder eingeschaltet und missbraucht.

Alle mit der App kommunizierenden Server von Krankenhäusern, Arztpraxen, Laboren und andere zur Verwaltung der medizinischen Daten (Krankenkassen, Versicherungen) verwendete Rechner, Service Provider oder Clouds stellen laut GI ein Risiko für die Vertraulichkeit und Integrität der gespeicherten und bearbeiteten Gesundheitsdaten dar.

Verbindung mit Trackingdiensten

Dazu gehören neben den explizit für die Verarbeitung dieser Daten eingesetzten Server auch Zwischenknoten. Zudem könnten Gesundheits-Apps durch andere Apps manipuliert werden und als Folge dessen wiederum andere Apps infizieren, die auf einem von Schadsoftware befallenen Endgerät des Nutzers laufen (Viren, Würmer, Trojanische Pferde). Selbst die zur Verschlüsselung eingesetzten kryptografischen Schlüssel sind in solchen Fällen laut GI nicht sicher.

Einige Gesundheits-Apps verbinden sich laut GI zudem unmittelbar nach dem Start noch vor der allerersten Benutzereingabe (Versichertennummer, Passwort) mit Trackingdiensten auch außerhalb der EU und übermitteln diverse Daten an diese Dienste. Hierzu gehört unter anderem auch die IP-Adresse des Versicherten, sodass eine Re-Identifikation des Gerätes und Verknüpfungen mit anderen personenbezogenen Daten möglich werden, die andere Apps auf demselben Gerät an den betreffenden Trackingdienst übermitteln.

Welche Daten übermittelt werden, sei dabei weder ausreichend dokumentiert noch wegen der teilweise verwendeten Verschlüsselung vollständig überprüfbar. Als Stand der Technik zur Sicherheitsüberprüfung verweist die GI auf den internationalen Standard ISO/EC 27034, der Vorgaben für die Entwicklung sicherer Software und Apps mache. Mindestens diese Norm sei zugrunde zu legen, und die entsprechenden Prüfberichte und Zertifikate müssten veröffentlicht werden. © may/KBr/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

12. Oktober 2018
Düsseldorf – Mehr Kurzzeitpflegeplätze, Pflegeplatzsuche per Smartphone-App, Internet in allen Heimen – das sind Kernziele einer Gesetzesreform, die der Düsseldorfer Landtag heute beraten hat.
Mehr Kurzzeitpflegeplätze und Pflegeplatzsuche per App
12. Oktober 2018
Köln – Im Fall des möglichen Diebstahls von Daten aus Krankenhäusern in Nordrhein-Westfalen hat der betroffene Krankenhauszweckverband Rheinland (KHZV) Entwarnung gegeben. Es habe sich herausgestellt,
Verband gibt bei möglichem Diebstahl von Klinikdaten Entwarnung
4. Oktober 2018
Hannover – Die Kassenärztliche Vereinigung Niedersachsen (KVN) hat vor einer neuen Datenschutzfalle gewarnt. Demnach werden Praxisinhaber derzeit vermehrt aufgefordert, Formulare einer
KV Niedersachsen warnt vor neuer Datenschutzfalle
2. Oktober 2018
Berlin – Eine App namens „Egopulse“ haben der Deutsche Hausärzteverband zusammen mit der GWQ ServicePlus AG und der Egopulse Deutschland GmbH vorgestellt. „Über diese TÜV-zertifizierte App können
Hausärzte stellen eigene Versorgungs-App vor
1. Oktober 2018
Berlin – Das Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) hat einen Katalog mit weit mehr als 200 Metakriterien für die Beschreibung und Bewertung von Gesundheits-Apps erstellt. Unter
Mit der Webanwendung Appkri sollen Fachgruppen Gesundheits-Apps bewerten
26. September 2018
Dresden – Eine Smartphone-Applikation (App) für mehr Kinderschutz haben die Sächsische Lan­des­ärz­te­kam­mer und die Techniker Krankenkasse (TK) vorgestellt. Die App namens „Hans und Gretel“ ist eine für
Neue App für Ärzte zur Kindswohlgefährdung vorgestellt
25. September 2018
Berlin – Medizinische Apps für das Smartphone müssen auch für sehbehinderte Menschen nutzbar sein. Das fordern die Deutsche Ophthalmologische Gesellschaft (DOG) und der Deutsche Blinden- und
LNS LNS

Fachgebiet

Anzeige

Weitere...

Anzeige

Aktuelle Kommentare

Archiv

NEWSLETTER