Sicherheitsmängel bei Krankenkassen-Apps festgestellt

AOK-App
Wer seine Fitnessdaten per App speichert, gibt diese eventuell ungewollt an Tracking-Unternehmen weiter.

Gesundheits-Apps liegen im Trend: Die deutschen Krankenkassen fluten die App Stores geradezu mit Apps für alle möglichen Zwecke. Doch bei der Nutzung geben die Versicherten teils hochsensible Daten von sich preis, viele Apps weisen Sicherheitsmängel auf und schützen die Nutzerdaten nicht angemessen. Das ist das Ergebnis einer aktuellen Untersuchung des Computermagazins c’t, dem NDR und einem Sicherheitsforscher der Ciphron GmbH, bei der 22 Apps geprüft wurden. Festgestellt wurden beispielsweise Mängel bei der Übertragung der Daten oder der Qualität des Programmier-Codes; außerdem fanden sich Tracking-Funktionen, die Daten an Drittfirmen schickten.

Bei den untersuchten Apps handelte es sich um die Android-Versionen. Unter den Anbietern finden sich fast alle großen deutschen Krankenkassen wie die AOK, Barmer und die Techniker Krankenkasse.

Apps für jeden Zweck

Die getesteten Anwendungen lassen sich grob in drei Kategorien unterteilen: Sogenannte Bonus-Apps bieten Boni und Vergünstigungen an für einen gesunden Lebensstil – den man meist mit Fitnessdaten dokumentieren muss. Service-Apps dienen als Kommunikationsschnittstelle zur Krankenkasse. Über sie können Versicherte Kontakt aufnehmen und beispielsweise Dokumente einreichen, um Ausgaben für Gesundheitsleistungen erstattet zu bekommen. Laut c’t stammten aber die meisten getesteten Apps aus der Kategorie der Ratgeber. Sie liefern dem Nutzer Informationen und Tipps zu bestimmten Krankheiten oder gesundheitlichen Themen wie Schwangerschaft oder Ernährung.

Wichtig: Bei den untersuchten Apps handelt es sich nicht um sogenannte digitale Gesundheitsanwendungen (DiGA), die vom Bundesinstitut für Arzneimittel und Medizinprodukte geprüft werden und als Medizinprodukte gelten. Die getesteten Apps der Krankenkassen unterliegen keiner speziellen Zertifizierung. Laut Artikel 9 der Datenschutzgrundverordnung (DSGVO) sind Gesundheitsdaten besonders schützenswert.

Verschlüsselte Kommunikation

Unter anderem beobachteten die Tester den Datenaustausch der Apps mit Servern im Internet. Um diese Kommunikation vor Abhöraktionen zu schützen, sollten die Entwickler die Transportverschlüsselung TLS in einer sicheren Konfiguration nutzen. Das traf im Test nur auf 13 von 22 Apps zu.

Laut c’t wiesen acht Apps Mängel bei der Umsetzung der Verschlüsselung auf wie veraltete Konfigurationen, bei denen TLS 1.0 zum Einsatz kommt. Dies sei unnötig, da “praktisch alle Smartphones” heutzutage TLS 1.2 unterstützen. Die App “Meine IHK” kommunizierte sogar ganz ohne Transportverschlüsselung, sodass der Datenverkehr einfach offen im Internet mitgelesen und sogar manipuliert werden konnte. Die IHK machte es den Testern “kinderleicht”: Es gelang Ihnen beispielsweise, beliebige Warnmeldungen von der App ausgeben zu lassen und den Nutzer im Namen der Krankenkasse aufzufordern, Schadsoftware zu installieren oder Zugangsdaten herauszugeben.

Tracking

Auch bei den Krankenkassen-Apps verzichten einige – trotz der sensiblen Daten – nicht auf Tracking-Funktionen. Dabei können die Programme Texteingaben, Klicks, den Standort oder andere Informationen des Smartphones erfassen. Mithilfe dieser Daten können auch Profile des Nutzers und dessen Verhalten – oder in diesem Fall dessen Gesundheitszustand – angelegt werden. Die DSGVO setzt hier allerdings enge Grenzen.

Laut Test kommen in vier der Kassen-Apps solche Tracker zum Einsatz. Diese übertrugen Daten an Tracking-Dienste oder Entwickler. Bei dem “Barmer Teledoktor” entdeckten die Experten sogar Datenübertragungen an das US-Unternehmen Tealium.

Bei sechs weiteren Apps war es den Testern unmöglich herauszufinden, an wen genau die Daten flossen. Laut c’t wiesen die IP-Adressen der Empfänger-Server aber ebenfalls auf Tracking hin. Dies war unter anderem bei den Apps “DAK App” und “Barmer-App” der Fall.

Positiv fielen die Programme “AOK Health­Navigator” und “AOK Schwanger” auf, die komplett oder größtenteils offline funktionieren und keine Nutzerdaten übertragen.

Veraltete Signaturverfahren

In den Apps “meine BKK Salzgitter” und “TUI BKK” sowie einigen AOK-Apps entdeckten die Tester veraltete v1-Signaturen. Diese sollen die Installationsdateien der Apps (sogenannte APK-Dateien) vor Manipulationen schützen. Also davor, dass der Nutzer eine veränderte App untergeschoben bekommt, die vielleicht schädliche Funktionen enthält.

Die Signaturen der Art v1 gelten als veraltet, weil das Verfahren nur bestimmte Teile der App auf Veränderungen untersucht. Außerdem ist das Prüfsystem laut c’t langsam und teils unsicher. Üblicherweise setzen Android-Entwickler das Signaturverfahren v2 ein, das die gesamte APK-Datei überprüft.

Wie getestet wurde

Ihre Erkenntnisse erlangten die Sicherheitsexperten, indem sie den Quellcode und den Datenverkehr der Apps untersuchten. Zwar gab es Versuche der Entwickler, beides vor dem Zugriff durch Dritte zu schützen. Doch seien diese Maßnahmen “nicht besonders wirksam” gewesen.

Im Code der “DAK Scan-App” fanden die Tester sogar Entwickler-Zugangsdaten, sodass sie sich ohne Mitgliedschaft in der Krankenkasse einloggen konnten. Apps der BKK enthielten Webadressen der Entwicklungsserver und Zugangsdaten für die Entwicklerschnittstelle (API).

Besser geworden

Zwar sehen die Tester generellen Nachholbedarf bei fast allen Anbietern. Doch die Lage habe sich seit dem letzten Test im Jahr 2018 verbessert. Damals setzten deutlich mehr Apps Tracker und unsichere oder gar keine Transportverschlüsselung ein. Backups waren damals noch auf den Google-Servern gelandet, weil die Entwickler die automatische Funktion hierfür nicht deaktiviert hatten. Das war nun bei keiner der aktuellen Apps mehr der Fall.

Die momentane Lage bei den Krankenkassen-Apps sei zwar “in vielen Fällen nicht optimal, aber zumindest nicht gefährlich”, so das Fazit der Experten. (hcz)