Apps auf Rezept mit Sicherheitslücken

DiGA: Wie sicher sind die Gesundheitsdaten?

Stuttgart - 08.08.2022, 12:15 Uhr

Bei der Brustkrebs-DiGA „Cankado PRO-React Onco“ wurden Sicherheitsmängel entdeckt, die aber behoben sein sollen.  (s / Screenshot: diga.cankado.com)

Bei der Brustkrebs-DiGA „Cankado PRO-React Onco“ wurden Sicherheitsmängel entdeckt, die aber behoben sein sollen.  (s / Screenshot: diga.cankado.com)


Seit knapp zwei Jahren werden digitale Gesundheitsanwendungen – kurz DiGA genannt – von den Kassen erstattet. Ein Knackpunkt scheint aber die Sicherheit der von den Apps verwendeten Gesundheitsdaten zu sein. Erst im Juni wurden Sicherheitslücken bei drei Anwendungen entdeckt. Die gute Nachricht: Ab 2023 gelten höhere Datenschutzstandards. 

33 DiGA, die auf Rezept verordnet werden können, sind derzeit im DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) gelistet. Sie können von Ärzten und Psychotherapeuten verschrieben werden, um bei der Erkennung und Behandlung von Krankheiten oder z. B. der individuellen Umsetzung von Behandlungsprozessen zu unterstützen. Damit sie dies können, müssen von den Apps gesundheitsbezogene Daten verarbeitet werden. Für die Aufnahme ins BfArM-Verzeichnis, was Voraussetzung für die Erstattungsfähigkeit ist, müssen daher Datenschutz und Informationssicherheit belegt werden.

So wird geprüft

Im Rahmen des DiGA-Antrags prüft das BfArM eigenen Aussagen zufolge die Plausibilität der vom Hersteller in den Formularen gemachten Angaben. Zudem werden über Testzugänge z. B. die Datenschutzerklärungen, die Authentisierungsmethoden und die Datenverbindungen geprüft. 

Gegenüber der Tagesschau räumt das BfArM zudem ein, dass eine „eigene technische Überprüfung“ nicht stattfindet. Es handele sich lediglich um eine Prüfung der eingereichten Unterlagen. Daher ist es auch wenig verwunderlich, dass bislang lediglich eine Anwendung allein aufgrund von mangelhaftem Datenschutz und Datensicherheit durch das BfArM abgelehnt wurde, IT-Experten jedoch erhebliche Sicherheitsmängel entdeckt haben. Letztere hatte das BfArM bei seinen Prüfungen laut einem Bericht des „Handelsblatt“ nicht identifiziert. 

Novego und Cankado PRO-React Onco: Zugriff auf Nutzerdaten möglich

Das berichtete nämlich im vergangenen Juni, dass das ehrenamtliche Kollektiv „Zerforschung“ auf einfachem Wege Zugriff auf sensible Nutzerdaten von „Novego“ (DiGA bei depressiven Episoden) und „Cankado PRO-React Onco“ (DiGA für Brustkrebspatientinnen) erlangt hat. Ein wesentliches Manko: Zum Zeitpunkt der Tests wiesen beide Anwendungen keine Zweifaktor-Authentifizierung auf.

Den Sicherheitsexperten war es dem IT- und Technik-Portal Golem.de zufolge z. B. möglich, auf Ergebnisse eines psychologischen Fragebogens (Novego) beziehungsweise auf Tagebuchdaten, Diagnosen sowie Arztberichte (Cankado) zuzugreifen. Dazu mussten die Experten im Falle von Novego lediglich die Nummern innerhalb einer URL für den Datenexport austauschen. Bei Cankado konnten die Experten unter anderem durch Anlegen eines Ärztekontos auf beliebige Patientendaten zugreifen.

Laut Cankado-Geschäftsführer Timo Schinköthe wurde die Sicherheitslücke mittlerweile geschlossen. Dritte, außerhalb des Kollektivs „Zerforschung“, hätten keine Einsicht in die Daten erlangt. Und auch der Novego-Hersteller IVPNetworks gibt an, die entsprechenden Schwachstellen rasch behoben zu haben.

Bereits 2020 Sicherheitslücken aufgedeckt

IT-Sicherheitsberater Martin Tschirsich schätzt im Interview mit dem „Handelsblatt“, dass die meisten digitalen Gesundheitsanwendungen sicher sind. Allerdings seien ähnliche Mängel auch in der Vergangenheit bereits bei DiGA aufgetreten. 

Noch bevor „Velibra“ (DiGA bei Angst und Panikstörungen) am 1. Oktober 2020 offiziell ins DiGA-Verzeichnis aufgenommen wurde, nahmen es Sicherheitsexperten unter die Lupe. Dabei entdeckten sie unter anderem, dass sich durch Zurücksetzen des Passworts feststellen ließ, welche E-Mail-Adressen bei Velibra registriert waren – und damit vermutlich die Anwendung aufgrund von psychischen Beschwerden nutzten. Auch war der Code zum Zurücksetzen des Passwortes zu diesem Zeitpunkt so kurz (4 Zeichen), dass er durch bloßes Ausprobieren ermittelt hätte werden können. Damit wäre der Zugriff auf das Nutzerkonto durch Unbefugte möglich gewesen, schlussfolgerte Golem.de. 

Die Sicherheitslücken wurden laut Hersteller umgehend behoben. Dennoch zeigte dieser Fall bereits 2020, wie riskant eine mangelnde Überprüfung der DiGA für die Anwender sein kann. 

Ab 2023 höhere Standards

Ab 2023 gelten höhere Datenschutzstandards für DiGA: Dann müssen die Anwendungen ein Datensicherheitszertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) nachweisen. Wenig später (ab 1. April 2023) ist zudem ein Datenschutz-Zertifikat nach Art. 42 DSGVO notwendig.


Nadine Sprecher, Apothekerin, Redakteurin PTAheute.de
redaktion@daz.online


Julia Borsch, Apothekerin, Chefredakteurin DAZ
jborsch@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

Uneinigkeit um Studien zum Nutzennachweis

Brustkrebs-App aktuell nicht mehr als DiGa gelistet

Daten überzeugen bFArM nicht

Pink-App fliegt aus DiGA-Verzeichnis

Was eine DiGA ist und wie sie Patienten bei ihrer Erkrankung unterstützen kann

Hilfe per App auf Rezept

Was ist eine DiGA

Hilfe per App auf Rezept

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.