Gesundheits-Apps: Datenschutz Fehlanzeige?

Immer häufiger nutzen Patienten Gesundheits- oder Wellness-Apps, um persönliche medizinische Daten zu dokumentieren, manchmal auch zu teilen. In einer aktuellen Sicherheitsanalyse schneiden viele E-Health-Apps jetzt allerdings schlecht ab.

Die Analyse stammt von dem privaten Zertifizierungsdienstleister ePrivacy. Knapp 730 Apps aus 29 Kategorien wurden ausgewertet, darunter Banking, Media, E-Health, Kommunikation und Social Media. Im Rahmen der Studie wurden die Apps Blackbox-Angriffen ausgesetzt, wie Michael Eckard erläuterte, Head of Research and App Testing bei dem Unternehmen. Es wurde u. a. überprüft, ob eine SSL-Verschlüsselung genutzt wurde, ob es einen Schutz vor Man-in-the-Middle-Angriffen gibt und ob Datenschutzerklärungen vorliegen, abrufbar sind und versioniert werden.

Inhaltliche Grundlage war eine vom Bayerischen Landesamt für Datenschutzaufsicht im Jahr 2014 herausgegebene Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter. Eckart betonte, dass sich die Ergebnisse der Analyse naturgemäß nur auf jene Apps beziehen, die in der Studie untersucht wurden. Insgesamt sind die Resultate in jedem Fall wenig schmeichelhaft für den boomenden Health-2.0-Markt. Denn bei vielen der untersuchten Sicherheitsmerkmale schnitten E-Health-Apps deutlich schlechter ab als Apps in anderen Sektoren.

70 % ohne Datenschutzerklärung

So arbeiteten von den getesteten E-Health-Apps 64 % ohne SSL-Verschlüsselung. Bei Reise-Apps und selbst in der Kategorie Medien/Video sind es dagegen nur rund 30 %, denen dieses Sicherheitsfeature fehlt. Über 70 % der E-Health-Apps hatten zudem keinerlei Datenschutzerklärung, aus der hervorgehende würde, was mit den erhobenen Daten gemacht werden darf. Banking-Apps sind hier mit einer Quote von 10 % deutlich besser. Und der Durchschnitt aller analysierten Apps liegt bei 27 %.

Am gravierendsten sei aber, dass keine einzige der getesteten E-Health-Apps einen Schutz gegen Man-in-the-Middle (MITM)-Attacken bot, so Eckard. Bei ausnahmslos allen getesteten Apps konnte die IT-Experten personenbezogene Daten abfangen. Dass Banking-Apps und Social Media-Apps mit Quoten um 60 % in diesem Punkt auch nicht gerade gut abschnitten, ist da nur ein schwacher Trost. Als Beispiel für eine MITM-Attacke nannte Eckard das Abgreifen von Daten einer Diabetes-App, die Empfehlungen zur Insulindosis macht. Der „Mittelsmann“ könnte in einem solchen Szenario die vorgeschlagene Insulindosis fälschen und so eine potentiell lebensbedrohliche Situation herbeiführen. Insgesamt halte er die Resultate für erschütternd, so Eckard, zumal die meisten Sicherheitsfunktionen einschließlich des wichtigen MITM-Schutzes nicht komplex zu programmieren seien.