NewsPolitikSicherheitslücke in „AOK Bonus-App“ entdeckt
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Sicherheitslücke in „AOK Bonus-App“ entdeckt

Mittwoch, 10. Oktober 2018

/SolisImages, stockadobecom

Berlin – In der „AOK Bonus-App“ ließen sich vermutlich seit Januar 2017 die Passwörter der Nutzer auslesen. Das teilte heute der MDR mit. Die Sicherheitslücke hätten MDR-Redakteure und ein unabhängiger IT-Experte während Recherchen zur Datensicherheit von Krankenkassen-Apps entdeckt, hieß es heute. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“.

Die AOK Plus reagierte nach Angaben des MDR inzwischen auf die Recherchen und habe eine aktualisierte Version der Bonus-App veröffentlicht. „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ,Schwachstelle’ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern“, teilte die AOK dem MDR demnach mit.

Anzeige

Mit der Krankenkassen-App können Versicherte Punkte sammeln und so Bonus­zahlungen erhalten. Die Versicherten müssen dafür eine zweite Fitness-App benutzen, die ihre Gesundheitsdaten verarbeitet. Die MDR-Recherchen zeigten außerdem, dass dabei die Gesundheitsdaten der Versicherten in die USA übertragen werden. Die AOK Plus begründetet das mit mangelnden Alternativen: „Es gibt leider keinen deutschen Schrittzähler, der an Google und Co vorbeiführt.“

Die Datenschutzexpertin und Netzaktivistin Katharina Nocun kritisiert den Umgang der Krankenkassen mit Gesundheitsdaten. „Die einzig richtige Lösung für Krankenkassen kann sein, möglichst wenig Daten zu sammeln und die Daten auf den Geräten der Nutzer zu lassen“, sagte die ehemalige Politikerin der Piratenpartei.

Erst vor rund einer Woche hatte die Gesellschaft für Informatik (GI) vor einem „allzu unbegründeten Vertrauen in die bisherigen Entwicklungen und die nicht überprüften Versprechungen hinsichtlich Datenschutz und IT-Sicherheit“ bei Gesundheits-Apps gewarnt.

Das Sicherheitsniveau solcher Applikationen hänge von verschiedenen Aspekten und Komponenten ab: So enthielten Hardware wie Handys und Tablets sowie Betriebssysteme in der Regeln Sicherheitslücken, die von Angreifern ausgenutzt werden können. Ein Handy könne etwa von Angreifern auch dann erfolgreich manipuliert werden, wenn es ausgeschaltet ist – unbemerkt vom Nutzer wird dann laut GI das Handy über das Mobilfunknetz wieder eingeschaltet und missbraucht.

Alle mit der App kommunizierenden Server von Krankenhäusern, Arztpraxen, Laboren und andere zur Verwaltung der medizinischen Daten (Krankenkassen, Versicherungen) verwendete Rechner, Service Provider oder Clouds stellen laut GI ein Risiko für die Vertraulichkeit und Integrität der gespeicherten und bearbeiteten Gesundheitsdaten dar.

Verbindung mit Trackingdiensten

Dazu gehören neben den explizit für die Verarbeitung dieser Daten eingesetzten Server auch Zwischenknoten. Zudem könnten Gesundheits-Apps durch andere Apps manipuliert werden und als Folge dessen wiederum andere Apps infizieren, die auf einem von Schadsoftware befallenen Endgerät des Nutzers laufen (Viren, Würmer, Trojanische Pferde). Selbst die zur Verschlüsselung eingesetzten kryptografischen Schlüssel sind in solchen Fällen laut GI nicht sicher.

Einige Gesundheits-Apps verbinden sich laut GI zudem unmittelbar nach dem Start noch vor der allerersten Benutzereingabe (Versichertennummer, Passwort) mit Trackingdiensten auch außerhalb der EU und übermitteln diverse Daten an diese Dienste. Hierzu gehört unter anderem auch die IP-Adresse des Versicherten, sodass eine Re-Identifikation des Gerätes und Verknüpfungen mit anderen personenbezogenen Daten möglich werden, die andere Apps auf demselben Gerät an den betreffenden Trackingdienst übermitteln.

Welche Daten übermittelt werden, sei dabei weder ausreichend dokumentiert noch wegen der teilweise verwendeten Verschlüsselung vollständig überprüfbar. Als Stand der Technik zur Sicherheitsüberprüfung verweist die GI auf den internationalen Standard ISO/EC 27034, der Vorgaben für die Entwicklung sicherer Software und Apps mache. Mindestens diese Norm sei zugrunde zu legen, und die entsprechenden Prüfberichte und Zertifikate müssten veröffentlicht werden. © may/KBr/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

11. Dezember 2018
Berlin – Für einen neuen Weg bei der Verwendung von Gesundheitsdaten plädiert der CDU-Gesundheits- und Digitalexperte Tino Sorge. In einem Positionspapier, das dem Deutschen Ärzteblatt vorliegt, wirbt
CDU-Politiker wirbt für Datenspende
11. Dezember 2018
Frankfurt am Main – Tinnitus-Patienten können von der Behandlung mit einer Smartphone-Applikation (App) profitieren, die speziell auf ihr Hörgeräusch zugeschnitten ist. Das berichtet die Techniker
Patienten bewerten Tinnitus-App positiv
5. Dezember 2018
Atlanta – US-Forscher haben eine App entwickelt, die eine Anämie an der Blässe der Fingernägel besser erkannte als eine Gruppe von Hämatologen. Die App konnte laut der Publikation in Nature
App erkennt Anämie an den Fingernägeln
29. November 2018
Berlin – Scharfe Kritik an einem neuen Gesundheitsangebot der Techniker Krankenkasse (TK) haben der Hartmannbund (HB) und der NAV-Virchowbund geübt. Die Krankenkasse hatte gestern ihre Pläne
App basiertes Gesundheitsangebot der TK in der Kritik
28. November 2018
Berlin – Symptomcheck mit der App, Unterstützung mit Künstlicher Intelligenz (KI) im Hintergrund und bei Bedarf ein Gespräch per Video oder per Chat mit einem Arzt: Die Techniker Krankenkasse (TK) hat
Techniker Krankenkasse ebnet Künstlicher Intelligenz den Weg in die Versorgung
27. November 2018
Saarbrücken/Bonn – Mediziner setzen auf Informatiker, um erhobene Patientendaten effizient und sicher auswerten zu können. Dazu notwendige „vertrauenswürdigen Verfahren“ wollen Wissenschaftler zweier
Forscher wollen Patientendaten sicher verarbeiten
16. November 2018
Fürstenfeldbruck – Die Zentralstelle Cybercrime Bayern hat Ermittlungen zu einem Computervirus aufgenommen, der das Klinikum Fürstenfeldbruck lahmlegte. Es könne sich um eine schädliche Software
LNS LNS

Fachgebiet

Anzeige

Weitere...

Aktuelle Kommentare

Archiv

Anzeige
NEWSLETTER