Sicherheitsmängel in "App auf Rezept" gefunden

Bundesinstitut für Arzneimittel und Medizinprodukte in Bonn
Das Bundesinstitut für Arzneimittel und Medizinprodukte ist für die Prüfung der neuen “Apps auf Rezept” verantwortlich, vertraut bei der Sicherheit aber auf die Hersteller. (Quelle: BfArM/Frank Rümmele)

In der Gesundheitsanwendung Velibra steckten mehrere Sicherheitslücken. Die Web-Anwendung soll Patienten bei Angststörungen helfen. Sie ist eines der ersten beiden Programme, die vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) in das neue Verzeichnis für digitale Gesundheitsanwendungen (DiGA) aufgenommen wurde. Ärzte können sie somit verschreiben; die Kosten werden von den gesetzlichen Krankenkassen getragen. Das BfArM ist eigentlich für die Sicherheitsprüfung dieser Apps zuständig.

Eine Sicherheitslücke steckte beispielsweise in der Funktion, das eigene Passwort zurückzusetzen: Der zu diesem Zweck zugesendete Code sei zu kurz und mit 24 Stunden zu lange gültig gewesen, wie die beiden Sicherheitsexperten André Zilch und Martin Tschirsich dem Handelsblatt berichteten. Unbefugte hätten daher automatisch viele verschiedene Codes ausprobieren können, um sich Zugang zu einem Benutzerkonto zu verschaffen.

Zudem soll es über eine Schnittstelle möglich gewesen sein, Nutzernamen und E-Mail-Adressen von registrierten Patienten abzufragen. Denn die Anwendung habe nicht zwischen normalen Nutzern und Administratoren unterschieden. Dabei seien auch die von den Krankenkassen ausgegebenen Gutscheine zur Nutzung von Velibra angezeigt worden, berichtet die IT-Nachrichtenseite Golem.de.

Anwendung hat Daten in die USA übertragen

Zusätzlich habe das BfArM übersehen, dass zwei Komponenten der App personenbezogene Daten in die USA übertragen. Im Juli hatte der Europäische Gerichtshof (EuGH) die bisherige Rechtsgrundlage dafür, das Abkommen “Privacy Shield”, für ungültig erklärt. Denn die Nutzerdaten sind in den USA nicht ausreichend vor dem Zugriff durch US-Behörden geschützt.

Nach eigenen Angaben hat der Anbieter der Velibra-App die Sicherheitslücken inzwischen geschlossen. Für die Zulassung der Gesundheitsanwendungen ist allerdings das BfArM verantwortlich. Es prüft die Programme in diesem Zug auch auf Sicherheit und Datenschutz, hierfür gelten die Anforderungen der Digitale-Gesundheitsanwendungen-Verordnung. Dort sieht Tschirsich das Problem und Nachholbedarf: Offenbar fehle es an der nötigen Expertise, sagte er dem Handelsblatt.

BfArM prüft nur “Plausibilität”

Laut Handelsblatt sieht sich das Institut jedoch nicht in der Verantwortung – und testet auch gar nicht selbst: Man prüfe nur die Herstellerangaben “auf Plausibilität”. Bei falschen Angaben müssten sie beispielsweise damit rechnen, aus dem Verzeichnis entfernt zu werden. “Bei Arzneimitteln verlässt man sich ja auch nicht auf die Herstellerangaben, sondern verlangt Evidenz”, kritisierte Tschirsich gegenüber Golem.de.

Das BfArM verwies gegenüber dem Handelsblatt auch darauf, dass sich Hersteller an die Datenschutzgrundverordnung (DSGVO) halten müssten. Doch auch hier sehen Tschirsich und Zilch Probleme: Velibra verarbeite besonders sensible Gesundheitsdaten von Personen mit einer psychischen Erkrankung. Der Schutzbedarf dieser Daten sei mindestens mit “hoch” zu bewerten, weshalb sie besonders geschützt werden müssten: Etwa durch eine Zwei-Faktor-Authentifizierung, bei der zusätzlich zum Passwort ein Einmal-Code eingegeben werden muss. Die Digitale-Gesundheitsanwendungen-Verordnung sieht eine Zwei-Faktor-Authentifizierung jedoch erst vor, wenn für die gespeicherten Daten ein “sehr hoher Schutzbedarf” gilt.

Die “Apps auf Rezept” wurden mit dem Digitale-Versorgung-Gesetz vom Gesundheitsministerium eingeführt, das im Dezember 2019 in Kraft getreten ist. Schon bevor das Gesetz im Bundestag verabschiedet worden war, hatten Sachverständige in einer Anhörung bemängelt, dass der Datenschutz nicht ausreichend gewährleistet sei. Kritisiert wurde außerdem, dass der “Bund der Krankenkassen” Patientendaten pseudonymisiert an ein Forschungsdatenzentrum übermitteln soll. Nun haben sich die Bedenken bereits bei einer der ersten Anwendungen dieser Art bestätigt. (js)