IT-Sicherheit
BSI findet Sicherheitslücken in einigen Gesundheits-Apps
Immer mehr Gesundheits-Apps drängen in die App-Stores. Mit der Sicherheit scheinen es nicht alle Anbieter ganz genau zu nehmen, zeigt der BSI-Bericht zum digitalen Verbraucherschutz.
Veröffentlicht:
Immer mehr Verbraucherinnen und Verbraucher nutzen Gesundheits-Apps. Um deren Sicherheit ist es nicht immer gut bestellt, enthüllt das Bundesamt für Sicherheit in der Informationstechnologie.
© vectorfusionart / stock.adobe.com
Freital/Bonn. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat bei einer Untersuchung von Gesundheits-Apps zahlreiche Lücken festgestellt. So haben sechs von sieben untersuchten Apps Passwörter im Klartext übermittelt oder waren anfällig für einen „Man-in-the-Middle“- Angriff. Keine der Apps habe die BSI-Anforderungen an die IT-Sicherheit erfüllt. Das hat das BSI bei der Vorstellung seines ersten Berichts zum Digitalen Verbraucherschutz am Mittwoch mitgeteilt.
Ziel der Studie war es, einen Überblick über den Markt der Gesundheits-Apps zu erhalten sowie mögliche Trends zu identifizieren. Darüber hinaus sollten potenzielle IT-sicherheitstechnische Risiken aufgezeigt werden. „Die Ergebnisse seien „besorgniserregend“.
Schwerpunkt Gesundheits-Apps
Im Fokus des Berichts, der nun jährlich erscheinen soll, standen in diesem Jahr Gesundheits-Apps. Untersucht wurden sieben den Verbrauchern frei zugängliche Apps. Die verschreibungspflichtigen Digitalen Gesundheitsanwendungen (DiGA) wurden nicht unter die Lupe genommen. „Gesundheitsdaten von Verbraucherinnen und Verbrauchern werden nicht ausreichend gegen Angriffe geschützt“, lautet eine der Kernerkenntnisse der Untersuchung.
Der Schaden der bei Ausnutzung der gefundenen Sicherheitslücken entstehen würde, sei „erstmal überschaubar“. Grund dafür ist, dass nicht das Backend, sondern nur die Oberfläche der einzelnen Apps untersucht worden sei. „Die Angriffe würden immer nur eine einzelne Person betreffen“, erklärt Nicolas Stöcker, Leiter der Projektgruppe „Digitaler Verbraucherschutz“ beim BSI.
Arne Schönbohm, BSI-Präsident, betont jedoch, jede Lücke könne zu einer größeren Bedrohungslage führen. Das Problem sei, dass „Sicherheit nicht von vorneherein mitgedacht wird“. „Jede Lücke, die da ist, jede Schwachstelle, die da ist, ist irgendwann irgendwie ausgenutzt worden.“
Ganzheitlicher Schutz fehlt in der Regel
Welche Gesundheits-Apps untersucht wurden, wollte das BSI nicht näher benennen. Den Angaben zufolge wurden Anwendungen für die Prüfung ausgewählt, die unter Verbrauchern mutmaßlich weit verbreitet seien. „Wir wollen nicht sofort eine Warnung aussprechen. Die Defizite, die festgestellt wurden, sollen zunächst gemeinsam mit den Herstellern behoben werden“, sagt Stöcker. Sollten die Sicherheitslücken nicht behoben werden, behalte das BSI sich vor, eine entsprechende Produktwarnung auszusprechen.
Das BSI hat außerdem eine nicht-repräsentative Befragung unter 84 Anbietern von Gesundheits-Apps durchgeführt. Demnach hätten alle Anbieter angegeben, Grundlagen der IT-Sicherheit bei der Entwicklung zu berücksichtigen. „[I]n Anbetracht der Kritikalität der verarbeiteten Daten in Gesundheits-Apps muss aber davon ausgegangen werden, dass im Regelfall kein ganzheitlicher und somit angemessener Schutz gewährleistet werden kann“, heißt es in dem Bericht. Das BSI plädiert dafür, Verbraucher für Risiken im Umgang mit Gesundheits-Apps zu sensibilisieren. Gleichzeitig müssten Anbieter dazu verpflichtet werden, Sicherheit von Anfang an mitzudenken. Zudem sollten sie ihre Anwendungen von unabhängigen Dritten überprüfen lassen.
