BSI moniert Sicherheitslücken in Gesundheits-Apps

Bonn – Zahlreiche Schwächen bezüglich potenzieller IT-Sicherheitsprobleme fand das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei einer Analyse ausgewählter Gesundheits-Apps. Das BSI un­ter­suchte im Rahmen einer Marktbeobachtung jene Art von Apps, die keiner besonderen Regulierung unterliegen – also kein Medizinprodukt sind beziehungsweise nicht im DiGA-Verzeichnis gelistet werden.

Ziel der BSI-Studie war es, einen Überblick über den Markt der Gesundheits-Apps zu erhalten sowie mög­liche Trends zu identifizieren. Dazu analysierte das BSI in Zusammenarbeit mit der Cassini Consul­ting AG zunächst verschiedene Marktdaten sowie bereits veröffentlichte Studien und führte Interviews mit Branchenexperten.

Insgesamt konnte laut BSI festgestellt werden, dass der Markt in diesem Bereich eine hohe Intransparenz und Dynamik aufweist. Stetige Veränderungen sowie Weiterentwicklungen von Angeboten gingen mit einer unklaren Lage für Verbraucher einher, wie es um IT-Sicherheit und auch Datenschutz bestellt ist.

Bei der IT-sicherheitstechnischen Betrachtung von konkreten Gesundheits-Apps wurden insgesamt 84 Anbieter zwischen Ende 2020 und Anfang 2021 online befragt sowie eine technische Untersuchung von sieben ausgewählten Apps durchgeführt.

Inhalt der Befragung waren die Maßnahmen, die seitens der Anbieter zur Gewährleistung der IT-Sicher­heit ihrer Anwendungen durchgeführt wurden. Dabei konnte festgestellt werden, dass der Grundsatz „Se­curity by Design“ nur in Teilen Einzug in den Entwicklungsprozess der betrachteten Gesundheits-Apps gefunden hat.

Das BSI verweist unter anderem auf fehlende Prozesse für Updates und den Umgang mit Schwachstellen sowie die unzureichende Umsetzung technischer und organisatorischer Maßnahmen. So könne im Regel­fall kein ganzheitlicher und somit angemessener Schutz gewährleistet werden kann.

Ernüchternde Ergebnisse von Sicherheitsprüfung

Diese Annahme sehen die BSI-Experten durch die technische Untersuchung von sieben ausgewählten Apps bestätigt. Aufbauend auf den Erkenntnissen aus der Marktanalyse und der Anbieterbefragung wur­den hierfür Apps ausgewählt, die sowohl eine mutmaßlich breite Anwendung unter Nutzern finden als auch eine gewisse Sensibilität der verarbeiteten Daten aufweisen.

Obwohl nur eine oberflächliche Prüfung der Sicherheitseigenschaften vorgenommen worden sei, hätten die Anbieter – die Namen nennt der Bericht nicht – lediglich eine Auswahl grundsätzlicher Anforderun­gen erfüllt. Sie deckten diese somit in keinem der Fälle in einer Art und Weise ab, wie es das BSI nach dem Stand der Technik erwartet hätte.

So wurden laut Bericht beispielsweise bei sechs der Anwendungen die Passwörter nicht in gehashter Form, sondern als Klartext übertragen. Zudem erlaubten Sicherheitslücken das Abfangen, Auslesen und Manipulieren der Kommunikation zwischen App und dem Cloud Backend.

Aus Sicht der technischen IT-Sicherheit müsse dieses Ergebnis, so das BSI, mindestens als kritisch be­wertet werden. Daten der Nutzer würden nach Erkenntnissen der Studie nicht ausreichend vor poten­ziellen Angriffen geschützt.

Mit einer entsprechenden Richtlinie hatte das BSI im Jahr 2020 Entwicklern von Gesundheits-Apps eine Orientierungshilfe für die Entwicklung solcher mobilen Anwendungen an die Hand gegeben.

Die Implementierung Richtlinie in die IT-Sicherheitskonzepte der Anbieter sei offensichtlich noch in einem Anfangsstadium, so das BSI. In diesem Zusammenhang sei ein Dialog mit Entwicklern angedacht, der Hürden bei der Umsetzung identifizieren und die Richtlinie auf Basis des Dialogs entsprechend weiterentwickeln soll.

Gleichzeitig weist das BSI auf die Notwendigkeit hin, Verbraucher für Risiken im Umgang mit digitalen Gesundheitsanwendungen verstärkt zu sensibilisieren. Hierfür sollten entsprechend Informationen, Leitfäden und Hilfestellungen zur Verfügung gestellt werden.

aha