Gesundheits-Apps: Datenschutz Fehlanzeige?

Immer häufiger nutzen Patienten Gesundheits- oder Wellness-Apps, um persönliche medizinische Daten zu dokumentieren, manchmal auch zu teilen. In einer aktuellen Sicherheitsanalyse schneiden viele E-Health-Apps jetzt allerdings schlecht ab.

BERLIN, DE - (HealthTech Wire / NewS) - Die Analyse stammt von dem privaten Zertifizierungsdienstleister ePrivacy. Knapp 730 Apps aus 29 Kategorien wurden ausgewertet, darunter Banking, Media, E-Health, Kommunikation und Social Media. Im Rahmen der Studie wurden die Apps so genannten Blackbox-Angriffen ausgesetzt, wie Michael Eckard erläuterte, Head of Research and App Testing bei dem Unternehmen. Unter anderem wurde überprüft, ob eine SSL-Verschlüsselung genutzt wurde, ob es einen Schutz vor Man-in-the-Middle-Angriffen gibt und ob Datenschutzerklärungen vorliegen, abrufbar sind und versioniert werden.

Story Highlights
  • knapp 730 Apps aus 29 Kategorien wurden im Rahmen einer aktuellen Sicherheitsanalyse ausgewertet
  • Über 70% der E-Health-Apps schnitten bezüglich der Datenschutzerklärung und der Man-in-the-Middle-Attacke schlecht ab
  • „Mittelsmann könnte in einem solchen Szenario die vorgeschlagene Insulindosis fälschen und so eine potenziell lebensbedrohliche Situation herbeiführen."

Inhaltliche Grundlage war eine vom Bayerischen Landesamt für Datenschutzaufsicht im Jahr 2014 herausgegebene Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter. Eckart betonte, dass sich die Ergebnisse der Analyse naturgemäß nur auf jene Apps beziehen, die in der Studie untersucht wurden. Insgesamt sind die Resultate in jedem Fall wenig schmeichelhaft für den boomenden Health 2.0-Markt. Denn bei vielen der untersuchten Sicherheitsmerkmale schnitten E-Health-Apps deutlich schlechter ab als Apps in anderen Sektoren.

Über 70% der E-Health-Apps hatten keine Datenschutzerklärung


So arbeiteten von den getesteten E-Health-Apps 64% ohne SSL-Verschlüsselung. Bei Reise-Apps und selbst in der Kategorie Medien/Video sind es dagegen nur rund 30%, denen dieses Sicherheitsfeature fehlt. Über 70% der E-Health-Apps hatten zudem keinerlei Datenschutzerklärung, aus der hervorgehende würde, was mit den erhobenen Daten gemacht werden darf. Banking-Apps sind hier mit einer Quote von 10% deutlich besser. Und der Durchschnitt aller analysierten Apps liegt bei 27%.

Am gravierendsten sei aber, dass keine einzige der getesteten E-Health-Apps einen Schutz gegen Man-in-the-Middle (MITM)-Attacken bot, so Eckard. Bei ausnahmslos allen getesteten Apps konnte die IT-Experten personenbezogene Daten abfangen. Dass Banking-Apps und Social Media-Apps mit Quoten um 60% in diesem Punkt auch nicht gerade gut abschnitten, ist da nur ein schwacher Trost.

Resultate sind erschütternd

Als Beispiel für eine MITM-Attacke nannte Eckard das Abgreifen von Daten einer Diabetes-App, die Empfehlungen zur Insulindosis macht. Der „Mittelsmann“ könnte in einem solchen Szenario die vorgeschlagene Insulindosis fälschen und so eine potenziell lebensbedrohliche Situation herbeiführen. Insgesamt halte er die Resultate für erschütternd, so Eckard, zumal die meisten Sicherheitsfunktionen einschließlich des wichtigen MITM-Schutzes nicht komplex zu programmieren seien.

Es ist wünschenswert, dass die App-Entwickler Ihrer Verantwortung zum Umgang mit den sensiblen Gesundheitsdaten nachkommen und Apps in Zukunft sicherer machen.

###

Quelle: HealthTech Wire

Wozu Daten schützen, wenn der Patient sie selbst ins Netz stellt
Wozu Daten schützen, wenn der Patient sie selbst ins Netz stellt
Michael Eckard, Senior Technical Consultant, ePrivacy über die erschütternden Ergebnisse der aktuellen Sicherheitsanaylse von Gesundheitsapps.
Veröffentlicht in GoDirect / Newspartner

 | 

Leser-Statistik

- 2244 Mal gelesen

- Davon 670 mal in den ersten 3 Tagen

Leserforum:

Was meinen Sie?