Hackerkollektiv findet Schwachstellen Tausende Nutzerdaten einer App gegen Depressionen waren schlecht geschützt

Gesundheits-Apps auf Rezept sind teuer – und mitunter nicht sicher: Nutzer einer App gegen Depressionen hätten Daten aller anderen einsehen können. In einer App für Krebskranke konnten sich Hacker als Ärzte ausgeben.
Smartphone-Nutzerin: E-Mail-Adressen, Benutzernamen, Ergebnisse aus Befragungen zum gesundheitlichen Zustand von Depressionskranken waren schlecht geschützt

Smartphone-Nutzerin: E-Mail-Adressen, Benutzernamen, Ergebnisse aus Befragungen zum gesundheitlichen Zustand von Depressionskranken waren schlecht geschützt

Foto: Fabian Sommer / dpa

»Gesunde Apps auf Rezept« versprach der damalige Bundesgesundheitsminister Jens Spahn (CDU) Ende 2019. Die Rede war von einer Weltpremiere. Tatsächlich gibt es seit 2020 einige Gesundheits-Apps, deren Kosten die Krankenkassen übernehmen können. Sie sollen zum Beispiel bei der Behandlung von Angststörungen, Diabetes, Adipositas oder Impotenz helfen. Dass manche dieser Apps selbst simpelsten Manipulationsversuchen nicht standhalten, ist dabei der weniger beeindruckende Teil der angeblichen Weltneuheit. NDR und WDR haben als Erste darüber berichtet .

Das Hackerkollektiv Zerforschung, bekannt geworden unter anderem durch das mehrfache Aufdecken von Schwachstellen in der Software von Corona-Testzentren, hat in zwei der mittlerweile 31 verfügbaren Gesundheits-Apps  bedenkliche bis peinliche Sicherheitslücken entdeckt. Die erste heißt Novego: Depressionen bewältigen« und kostet 249 Euro für zwölf Wochen. Zerforschung zufolge können Nutzerinnen und Nutzer ihre eigenen Daten exportieren, um sie außerhalb der App weiterzuverwenden – das ist eine Anforderung aus der entsprechenden Richtlinie für diese Anwendungen. Im Fall von Novego wurde dabei eine Web-Adresse wie https://www.novego.com/myaccount/participant/data-export/export/21378 aufgerufen. Als die Hacker die Zahl am Ende der Adresse änderten, bekamen sie Zugriff auf die Daten anderer Patienten, und zwar auf deren

  • E-Mail-Adresse,

  • Benutzernamen,

  • Geschlecht,

  • jeweils absolviertes Programm, wie etwa Burn-out, Depression, Angststörung

  • sowie die Ergebnisse ihrer sogenannten Self-Assessments, also die Ergebnisse psychologischer Fragebögen zum gesundheitlichen Zustand.

Die Aktivisten schreiben dazu in ihrem Blog : »21378 ist unsere Nutzer*innen-ID. Also probieren wir, was passiert, wenn man eine etwas kleinere Zahl eingibt. Und richtig: Wir bekommen das Archiv einer anderen Person. Denn die ID ist eine laufende Nummer, die jedes Mal um eins hochgezählt wird, wenn ein neuer Account angelegt wird.« Es ist quasi eine Art Lieblingstrick von Zerforschung: Im März 2021 fanden sie auf diesem Wege die Corona-Testergebnisse und personenbezogenen Daten von 80.000 Menschen im Netz.

Eine weitere App, in der das Kollektiv Schwachstellen aufdeckte, heißt Cankado PRO-React Onco und ist zur Unterstützung von Brustkrebspatientinnen und -patienten gedacht. Sie kostet 500 Euro für zwölf Wochen. Die Hacker konnten sich zunächst als Ärztinnen und Ärzte jeder beliebigen Klinik und jedes Behandlungszentrums registrieren. Damit wären ihre Zugriffsrechte noch auf die jeweiligen Abteilungen der Einrichtungen beschränkt gewesen. Doch als die Hacker nach eigener Aussage »ins Blaue« rieten, fanden sie eine Schnittstelle, die den Zugriff auf alle Abteilungen ermöglichte. Die Folge: »Insgesamt waren bei Cankado auf diesem Wege 12.500 Datensätze abrufbar – von Brustkrebs-Patient*innen, aber auch von anderen Nutzer*innen des Systems, die darüber zum Beispiel Medikamenten-Studien durchgeführt haben.« In den Datensätzen enthalten waren unter anderem

  • Namen,

  • Adressen,

  • E-Mail-Adressen,

  • Passwörter im Klartext,

  • Diagnosen,

  • Tagebuchdaten,

  • Arztberichte

  • und Überweisungen.

Zerforschung geht davon aus, dass die Entwickler von Cankado »die Schnittstelle zum Zugriff auf die Abteilungen wohl im Anfangsstadium der App entwickelt, über die Zeit dann nicht mehr verwendet – und irgendwann schließlich vergessen« haben. Bei späteren Sicherheitsüberprüfungen müsse sie wohl übersehen worden sein. Cankado-Geschäftsführer Timo Schinköthe räumte laut NDR und WDR »ein konkretes, jedoch nicht ausgenutztes Sicherheitsrisiko« ein.

Die Überprüfungen der Apps obliegen dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Die Behörde verließ sich dabei bisher aber vor allem auf Informationen, die von den Herstellern selbst bereitgestellt werden, sowie auf eine Art Probedurchgang mit einem Testzugang zur App. Kein Wunder, dass fast alle eingereichten Apps diese Tests bestehen. »Eine alleinige Ablehnung aus Gründen von mangelhaftem Datenschutz und Datensicherheit gab es bisher erst einmal«, heißt es wörtlich in der Antwort des Bundesinstituts auf eine Anfrage nach dem Informationsfreiheitsgesetz, die diese Woche auf fragdenstaat.de veröffentlicht  wurde.

Zerforschung fordert, alle Gesundheits-Apps vorerst vom Markt zu nehmen

Die Hersteller der beiden Anwendungen, IVP und die Cankado GmbH, haben die Lücken nach eigener Auskunft mittlerweile geschlossen.

Für Zerforschung liegt auf der Hand, dass der bisherige Prüfprozess nicht ausreichend ist – und mehr noch: »Wenn eine App marktreif genug ist, um Patient*innen-Daten zu verarbeiten, muss sie auch reif genug sein, diese für sich zu behalten. Daher sehen wir momentan keinen anderen Weg, als alle Apps, die noch keine ausreichenden Sicherheitsvorkehrungen implementiert haben, vorerst vom Markt zu nehmen.« Das Kollektiv setzt nun auf das Bundesamt für Sicherheit in der Informationstechnik (BSI), das derzeit neue Sicherheitsstandards für Gesundheits-Apps erarbeite.

Die Wiedergabe wurde unterbrochen.