Datenschutzlücken in Ada-Gesundheits-App

Datenschleuder nennt das Internetmagazin heise.de die Gesundheits-App Ada. Kein Wunder: Die App übermittelte Daten an Tracking-Dienstleister und Facebook. Erst ein Hacker deckte den Missstand auf.

Es waren die Sicherheitsmängel der Gesundheitsakte Vivy, aufgestöbert von Profi-Hackern, die uns auf die Idee brachten, die IT-Sicherheit einer Arztpraxis von solchen Experten testen zu lassen. Jetzt hat sich der IT-Sicherheitsexperte Mike Kuketz – einer, der die Sache mit Vivy ins Rollen brachte – die App Ada angeschaut. Und sagt, dass die App sowohl medizinische Daten als auch Angaben zur Krankenversicherung des Users an dritte Dienste übertrug, darunter auch Facebook.

Und das teilweise bevor der User den Datenschutzbestimmungen der App überhaupt zustimmen konnte. Hatte sich also ein User nach dem Lesen der Bestimmungen gegen die dort beschriebenen Datenübertragungen entschieden oder die App abgeschaltet, war seine Werbe-ID bereits an einen Tracking-Dienstleis­ter und an Facebook übermittelt.

>> Den ganzen Beitrag auf medical-tribune.de lesen

#Kommentar: Zertifizierte Befugnis

Man solle das Kleingedruckte seiner Gesundheits­apps lesen, rät die Nachrichtenseite heise.de. Diese Apps werden vom Gesundheitsministerium bejubelt, von Instituten zertifiziert und bald von den Kassen erstattet – muss man da so misstrauisch sein? Ein Kommentar.

Richtig ist, dass medizinische Apps für ihre Erstattung in ein Verzeichnis des Bundesdienstes für Arzneimittel und Medizinprodukte aufgenommen werden müssen. So das Digitale-Versorgung-Gesetz. In diese Liste werden sie nur aufgenommen, wenn sie Anforderungen an Sicherheit, Funktion, Qualität sowie Datenschutz und -sicherheit erfüllen (und positive Versorgungseffekte aufweisen, aber das ist ein anderes Thema). In der Regel erfüllt diese allgemeinen Anforderungen, wer ein CE-Kennzeichen trägt.

Auch jetzt schon tragen viele Apps eine Reihe von Zertifikaten. Zum Bespiel auch ADA, eine Art digitaler Arzt, der mithilfe von KI vermutliche Diagnosen ermittelt. Ein Vorzeigeprojekt in enger Kooperation mit der Techniker Krankenkasse. Doch aus Sicht von Datenschützern hat sich die Zertifiziererei schon bei den elektronischen Gesundheitsakten als schlechter Witz entlarvt.

>> Den ganzen Beitrag lesen

Berufs-Hacker deckt Sicherheitsmängel in E-Health-Anwendungen auf

Auf dem Chaos-Computer-Club-Kongress 2018 erläutert ein IT-Sicherheitsexperte alte und neue Sicherheitslücken der Gesundheitsapp Vivy. Dann lieber zur Konkurrenz? Teleclinic, CGM life, meinarztdirekt – keine der getesteten Anwendungen ist frei von Mängeln. Unzureichender Datenschutz kocht also auch bei E-Health-Anwendungen bedrohlich hoch.

Martin Tschirsich ist ein Hacker. Aber einer von den Guten: ein Pentester. Sein Job ist es, Schwachstellen und Datenschutzlücken in Programmen zu finden. Oft macht er das im Auftrag eines Unternehmens, manchmal um die Welt der Daten ein bisschen sicherer zu machen. Als im September des letzten Jahres 13 Krankenkassen die Gesundheitsapp Vivy auf den Markt brachten und nur einen Tag später ein IT-Sicherheitsexperte schon vermeldete, dass Vivy das Benutzerverhalten auswertet und in die USA und nach Singapur weiterleitet, hat sich Tschirsich die App, die nicht nur an Impftermine erinnert, sondern auch Befunde verschickt, heruntergeladen und genauer angeschaut.

>> Den ganzen Beitrag auf medical-tribune.de lesen

>> Der Vortrag von Martin Tschirsich auf dem 35C3