Gesundheits-Apps: Sicherheitsprüfung durch BfArM unzureichend

Düsseldorf – In der Gesundheitsanwendung Velibra haben IT-Spezialis­ten mehrere Sicherheits­lücken entdeckt. Das berichten das Handelsblatt und der Bran­chendienstes Golem. Die App soll Patienten mit Angst- und Panikstö­run­gen helfen.

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hatte Velibra erst kürz­lich für sicher befunden und sie für eine Verschreibung auf Kosten der Krankenkassen zugelassen.

Kurz bevor Velibra offiziell ins DiGA-Verzeichnis aufgenommen wurde, hatten die IT-Spe­zialisten Martin Tschirsich und André Zilch den Berichten zufolge die Web-App auf trivi­ale Sicherheitslücken überprüft – und waren fündig geworden.

So kritisierten sie beispielsweise die unzureichenden Passwortschutz sowie die Möglich­keit, Nutzernamen und E-Mail-Adressen registrierter Personen ohne Authentifizierung abzufragen.

Auch DiGA-Vouchers, die Krankenkassen für die Nutzung des Dienstes ausgeben, hätten ohne allzu großen Aufwand eingesehen werden können, hieß es. Inzwischen habe der Betreiber die sicherheitsrelevanten Lücken den Berichten zufolge geschlossen.

Noch schwerer als die Sicherheitsmängel selbst wiegt aus Sicht der IT-Experten jedoch, dass das BfArM digitale Gesundheitsanwendungen offenbar noch nicht einmal oberfläch­lich prüfe.

„Digitale Gesundheitsanwendungen müssen für Qualität gerade auch im Bereich der Informationssicherheit stehen, wenn sie Teil der regulären Gesundheitsversorgung sein wollen“, sagte Zilch dem Handelsblatt: „Solche Fehler dürfen dafür aber keinesfalls weiter unentdeckt bleiben.“ Das koste Vertrauen beim Patienten und bei den Ärzten.

Dem Handelsblatt zufolge sieht sich das BfArM jedoch nicht in der Verantwortung. Wie vom Gesetzgeber vorgegeben, prüfe man die Herstellerangaben auf Plausibilität. Für um­fangreiche Prüfungen zu Datenschutz und Sicherheit habe das Bundesgesundheits­minis­terium das Bundesinstitut dagegen schlicht nicht ausgestattet.

hil/sb