Wie steht es um die Sicherheit von Gesundheits-Apps?
Als digitaler Helfer ist das eigene Smartphone für viele aus dem Alltag wohl nicht mehr wegzudenken. Sei es die Nutzung der Navigation, die schnelle Suchanfrage übers Web oder das Handy als persönlicher Organizer. Ähnliches zeichnet sich auch im Gesundheitsbereich ab, denn Gesundheits-Apps erfreuen sich zunehmender Beliebtheit. Doch die Meldungen über Sicherheitslücken häufen sich. Und so manche:r User:in wird sich wohl schon bei der Frage ertappt haben, ob die eigenen Daten in der App denn auch wirklich sicher sind.
Expert:innen entdecken wiederholt Sicherheitslücken
Immer wieder stoßen IT-Sicherheitsexpert:innen auf teils gravierende Schwachstellen. Über diese könnten sich Cyberkriminelle im schlimmsten Falle Zugriff auf sensible Daten, wie beispielsweise Diagnosen über körperliche und psychische Erkrankungen oder Medikation, verschaffen. Einfallstore, die in der Vergangenheit entdeckt wurden, waren dabei unter anderem:
- Die Passwort-vergessen-Funktion: Über diese war es teilweise möglich, zu ermitteln, ob eine Person auf einer bestimmten Plattform angemeldet war, um so etwas über ihren Gesundheitszustand in Erfahrung zu bringen.
- Eine fehlerhafte Ende-zu-Ende-Verschlüsselung: Bei manchen Anwendungen konnten IT-Sicherheitsexpert:innen bedingt durch eine unzureichende Ende-zu-Ende-Verschlüsselung auf private Ärzte-Patienten-Chats zugreifen.
- Keine sichere Identifizierung: In einigen Fällen war es nicht notwendig, die eigene Identität in irgendeiner Form zu bestätigen. Das eröffnet Angreifer:innen die Möglichkeit, sich beispielsweise als bestehende:r Patient:in auszugeben und so personenbezogene Daten zu erhalten.
Handlungsbedarf hinsichtlich Sicherheit bei Gesundheits-Apps
Das macht deutlich: In Sachen IT-Sicherheit und Datenschutz herrscht im boomenden Markt der Gesundheits-Apps noch Nachholbedarf. Für digitale Gesundheitsanwendungen (DiGA), die durch Ärzt:innen verschrieben werden können, gelten bereits strenge Vorgaben. Gesundheits-Apps, die jedoch nicht unter diese strengen Vorgaben fallen, werden derzeit nicht reguliert. Heißt: Welche Datenschutzmaßnahmen konkret ergriffen und umgesetzt werden, obliegt den Anbietern. Vertrauen und Transparenz in den Markt bringt allerdings die Technische Richtlinie TR-03161, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde.
Vertrauen stärken mit der BSI TR-03161
Die Norm dient Entwicklern von Gesundheitsanwendungen als Leitfaden, um sichere Lösungen zu erstellen und die Themen IT-Sicherheit und Datenschutz von Anfang an zu berücksichtigen und umzusetzen. Hauptziel der TR-03161 ist es, die Vertraulichkeit, Integrität und Verfügbarkeit medizinischer Daten zu schützen, die durch (digitale) Gesundheitsanwendungen erhoben werden. Dabei enthält der Standard sowohl Sicherheitsanforderungen für mobile Anwendungen (TR-03161-1) als auch für Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). Betrachtet werden unter anderem Aspekte wie die Architektur, die kryptographische Umsetzung oder die Netzwerkkommunikation.
Mithilfe der TR-03161 können Hersteller ihre (digitale) Gesundheitsanwendung demnach auf den Prüfstand stellen, mögliche Schwachstellen aufdecken und die Sicherheit der eigenen Anwendung gezielt verbessern. Das führt gleichzeitig zu einem höheren Vertrauen von Nutzer:innen, die ihre sensiblen Daten damit in sicheren Händen wissen. Denn die bisher bekannt gewordenen Sicherheitslücken zeigen: Regelmäßige Prüfungen der App-Sicherheit sind nicht nur wichtig, sondern zwingend notwendig, um sensible Daten angemessen zu schützen.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de