Mobile Sicherheit von Gesundheits-Apps - kritisch betrachtet
In der digitalen Ära ist die Gesundheitsförderung durch Apps auf mobilen Endgeräten allgegenwärtig geworden. Von Fitnesstracking über Ernährungsberatung bis hin zur Unterstützung bei der Krankheitstherapie – die Bandbreite der angebotenen Funktionen wächst kontinuierlich. Doch mit der Zunahme digitaler Gesundheitsanwendungen steigen auch die Bedenken hinsichtlich der Sicherheit und des Schutzes sensibler Nutzerdaten. Dieser Artikel wirft einen umfassenden Blick auf die aktuelle Situation der mobilen Sicherheit von Gesundheits-Apps, beleuchtet Herausforderungen, Standards und Lösungsansätze.
Gesundheits-Apps sind vielfältig und reich an Potenzial
Die Landschaft der Gesundheits-Apps ist vielfältig und differenziert, wobei sie sich hauptsächlich in drei Kategorien einteilen lässt. Zunächst gibt es die sogenannten Lifestyle-Apps, die Nutzern dabei helfen, ein gesünderes Leben zu führen. Diese Kategorie umfasst eine breite Palette von Anwendungen, von Fitnesstrackern, die jeden Schritt zählen und jede verbrannte Kalorie erfassen, bis hin zu Ernährungsberatern, die Tipps für eine ausgewogene Ernährung geben. Diese Apps motivieren Nutzer durch gamifizierte Elemente, sich mehr zu bewegen und gesündere Essgewohnheiten anzunehmen, indem sie Fortschritte verfolgen, visuell aufbereiten und virtuelle Auszeichnungen verleihen.
Die zweite Kategorie bilden die „Digitalen Gesundheitsanwendungen“ (DiGAs), auch bekannt als „Apps auf Rezept“. Diese sind speziell dafür entwickelt, Patienten in ihren Therapieprozessen zu unterstützen. Sie bieten nicht nur Informationen und Beratung zu verschiedenen Krankheitsbildern, sondern ermöglichen es den Nutzern auch, Symptome zu dokumentieren, Medikationspläne zu verwalten und in einigen Fällen direkt mit medizinischem Fachpersonal zu kommunizieren. Diese Apps können somit eine Brücke zwischen Patienten und Gesundheitsdienstleistern bilden und eine kontinuierliche Betreuung sicherstellen, die über den Rahmen herkömmlicher Arztbesuche hinausgeht.
Die dritte Kategorie umfasst Apps, die innerhalb der von der gematik definierten Telematikinfrastruktur (TI) des deutschen Gesundheitswesens eine zentrale Rolle spielen. Diese Apps sind speziell dafür konzipiert, die digitale Transformation im Gesundheitswesen zu unterstützen und beinhalten unter anderem Lösungen für das elektronische Rezept (e-Rezept) und das Frontend der elektronischen Patientenakte (ePA-FdV), das es dem Versichtern ermöglicht, seine Patientenakte zu verwalten. Sie sind von entscheidender Bedeutung, da sie die Effizienz der Gesundheitsversorgung verbessern, indem sie eine sichere und schnelle Übermittlung von Gesundheitsdaten zwischen Patienten und Anbietern von Gesundheitsdiensten ermöglichen. Diese Anwendungen erfordern eine strenge Zulassung und müssen hohe Sicherheitsstandards erfüllen, um die sensiblen Gesundheitsinformationen der Nutzer zu schützen.
Jede dieser Kategorien von Gesundheits-Apps hat das Potenzial, den Nutzern erhebliche Vorteile zu bieten. Indem sie wichtige Gesundheitsdaten sammeln und analysieren, können sie Einzelpersonen dabei unterstützen, informierte Entscheidungen über ihre Gesundheit und ihr Wohlbefinden zu treffen. Darüber hinaus tragen sie dazu bei, die allgemeine Zugänglichkeit und Effizienz der Gesundheitsversorgung zu verbessern, indem sie beispielsweise Wartezeiten reduzieren und die Kommunikation zwischen Patienten und Gesundheitsdienstleistern optimieren. Jedoch stellt die Notwendigkeit, die Privatsphäre und Sicherheit der von diesen Apps gesammelten sensiblen Daten zu gewährleisten, eine erhebliche Herausforderung dar.
Datensicherheit steht als kritischer Aspekt im Fokus
Die Bedeutung der Datensicherheit bei der Nutzung von Gesundheits-Apps kann nicht hoch genug eingeschätzt werden, da diese Anwendungen eine Fülle sensibler Informationen von ihren Nutzern sammeln und speichern. Diese reichen von grundlegenden persönlichen Daten bis hin zu detaillierten Gesundheitsinformationen, wie medizinischen Berichten, Diagnosen und Behandlungsplänen. Die Sensibilität dieser Daten macht sie zu einem begehrten Ziel für Cyberkriminelle, die daran interessiert sind, sie für Identitätsdiebstahl, Betrug oder gar Erpressung zu missbrauchen. Die Gefahren sind vielfältig und umfassen nicht nur den direkten Diebstahl der Daten, sondern auch deren Manipulation, was schwerwiegende Folgen für die Gesundheitsversorgung der Betroffenen haben kann.
Zu den Bedrohungen zählen unter anderem die unerlaubte Einsichtnahme in persönliche Gesundheitsinformationen, die Modifikation von Gesundheitsdaten mit potenziell schädlichen Auswirkungen auf die medizinische Behandlung und die Verbreitung sensibler Informationen ohne Zustimmung der Betroffenen. Darüber hinaus besteht das Risiko, dass unzureichend gesicherte Apps als Einfallstor für weiterreichende Cyberangriffe auf die Infrastruktur von Gesundheitseinrichtungen genutzt werden können, was zu einer umfassenden Kompromittierung der Datensicherheit führen könnte.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinen Untersuchungen von Gesundheits-Apps bereits eine beträchtliche Anzahl an Sicherheitsmängeln festgestellt. Diese reichen von unzureichender Datenverschlüsselung über Schwachstellen in der Authentifizierung bis hin zu Lücken in der Software, die es Angreifern ermöglichen, unbefugt auf Nutzerdaten zuzugreifen oder diese zu manipulieren. Diese Erkenntnisse unterstreichen die Notwendigkeit einer umfassenden Herangehensweise an die Sicherheit, die sowohl die App selbst als auch die Übertragung und Speicherung der Daten umfasst.
Die Sicherheit von Gesundheits-Apps ist ein komplexes Feld, das technische, organisatorische und rechtliche Aspekte umfasst. Die Entwickler und Anbieter dieser Anwendungen tragen eine große Verantwortung, die sie nur durch die konsequente Anwendung bewährter Sicherheitspraktiken und durch die Zusammenarbeit mit Sicherheitsexperten erfüllen können. Nur so lässt sich das Vertrauen der Nutzer gewinnen und erhalten, was für den Erfolg und die Akzeptanz digitaler Gesundheitslösungen entscheidend ist.
Herausforderungen im Datenschutz
Die Gewährleistung der Datensicherheit in Gesundheits-Apps umfasst mehrere Dimensionen. Einerseits müssen Entwickler und Betreiber solcher Anwendungen sicherstellen, dass die erhobenen Daten vor unbefugtem Zugriff geschützt sind. Die Umsetzung der Einhaltung datenschutzrechtlicher Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) muss daher integraler Bestandteil der Apps sein. Andererseits ist es ebenso wichtig, dass die Integrität und Verfügbarkeit der Daten gewahrt bleibt, um eine kontinuierliche und fehlerfreie Nutzung zu ermöglichen. Diese Herausforderungen werden durch die Vielfalt und Sensibilität der verarbeiteten Daten noch verstärkt.
Das Risiko von Datenschutzverletzungen ist dabei nicht zu unterschätzen. Denn Vorfälle können zu einem empfindlichen Verlust des Vertrauens in die betreffende App führen, rechtliche Konsequenzen nach sich ziehen und nicht zuletzt ernsthafte Auswirkungen auf die Gesundheit und das Wohlbefinden der betroffenen Personen haben. Zudem könnte die Offenlegung sensibler Gesundheitsinformationen ohne Zustimmung der Nutzer deren Privatsphäre massiv verletzen und zu sozialen oder beruflichen Nachteilen führen.
Ein weiteres Problem stellt die technische Umsetzung effektiver Datenschutzmaßnahmen dar. Viele Gesundheits-Apps sind auf eine ständige Verbindung mit dem Internet angewiesen, um Daten zu synchronisieren und Updates zu erhalten. Dies eröffnet potenzielle Angriffsflächen für Cyberangreifer, die diese Verbindungen ausnutzen könnten, um Schadsoftware zu verbreiten oder Daten abzugreifen. Zudem erfordert die Absicherung der Kommunikation zwischen der App und zentralen Servern den Einsatz fortschrittlicher Verschlüsselungstechnologien, die sowohl die Datenübertragung als auch die gespeicherten Daten selbst schützen.
Standards für eine sichere Anwendung
Um die Sicherheitsrisiken zu minimieren, ist es daher unerlässlich, dass Entwickler von Gesundheits-Apps eine Reihe von Best Practices in Bezug auf Sicherheit implementieren. Dazu gehört die Anwendung starker Verschlüsselungsverfahren sowie die Sicherstellung einer sicheren Authentifizierung und Autorisierung von Nutzern. Darüber hinaus ist eine kontinuierliche Überwachung und Aktualisierung der Sicherheitsmaßnahmen notwendig, um neu entstehende Bedrohungen abzuwehren und den Schutz der Nutzerdaten zu gewährleisten.
Um diesen Herausforderungen zu begegnen, ist ein mehrschichtiger Ansatz erforderlich, der diverse Sicherheitsmaßnahmen umfasst. Dazu gehören z.B. die Entwicklung sicherer Vorgehensweisen bei der Implementierung („coding best practices“), die regelmäßige Überprüfung der Sicherheitskonfigurationen und die Implementierung von Zugriffskontrollen.
Konkrete Werkzeuge zur Gewährleistung der App-Security stellt bspw. das OWASP Mobile Security Testing Guide (MSTG) zur Verfügung. Das OWASP MSTG ist ein umfassendes Handbuch, das Entwicklern, Testern, Softwarearchitekten und Sicherheitsexperten Richtlinien und Techniken bereitstellt, um die Sicherheit von mobilen Anwendungen zu verbessern. OWASP steht für Open Web Application Security Project, eine internationale gemeinnützige Organisation, die sich der Verbesserung der Sicherheit von Software widmet. Das MSTG konzentriert sich speziell auf mobile Anwendungen und deckt verschiedene Aspekte der Sicherheitsprüfung ab, einschließlich der Architektur mobiler Apps, der Datenhaltung, der Netzwerkkommunikation und der Benutzerauthentifizierung.
Das OWASP MSTG bietet:
· Prüfstandards für mobile Apps: Eine umfassende Checkliste für die Sicherheitsprüfung mobiler Anwendungen, die Entwicklern und Sicherheitstestern als Leitfaden dient.
· Praxisorientierte Anleitungen: Detaillierte Beschreibungen von Sicherheitsbedrohungen und Angriffsszenarien, sowie entsprechende Gegenmaßnahmen und Best Practices zur Sicherung von mobilen Anwendungen.
· Tools und Techniken: Empfehlungen zu Werkzeugen und Methoden für die Durchführung von Sicherheitstests bei mobilen Anwendungen.
· Fallstudien und Beispiele: Konkrete Beispiele und Fallstudien, die zeigen, wie Sicherheitsprinzipien in der Praxis angewendet werden können.
Das MSTG ist ein lebendiges Dokument, das regelmäßig aktualisiert wird, um neue Sicherheitsbedrohungen und Entwicklungen in der Technologie zu berücksichtigen. Es ist frei verfügbar und wird von der Sicherheitsgemeinschaft, die zu OWASP gehört, kollaborativ entwickelt. Das Ziel des MSTG ist es, einen Industriestandard für die Sicherheit von mobilen Anwendungen zu schaffen und das Bewusstsein für mobile Sicherheitsrisiken zu erhöhen.
Ein weiterer Standard für die Sicherstellung der Cybersecurity von mobilen Gesundheits-Anwendungen und zudem von Webanwendungen sowie von Hintergrundsystemen im Gesundheitssektor ergibt sich aus der technischen Richtlinie BSI TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Richtlinie legt ein Set von Mindestanforderungen für die IT-Sicherheit von eHealth-Anwendungen fest und richtet sich an Hersteller von eHealth-Anwendungen für mobile Geräte. Sie kann auch als Leitfaden für mobile Anwendungen verwendet werden, die sensible Daten verarbeiten und speichern. Damit eine DiGA außerdem als erstattungsfähige digitale Gesundheitsanwendung aufgenommen wird, ist eine Zertifizierung der App gemäß BSI TR-03161 zwingend erforderlich.
Die Beachtung und Umsetzung dieser Standards führt bereits zu einem hohen Sicherheitsniveau der mobilen Apps. Zusätzlich ist die Durchführung regelmäßiger Sicherheitsaudits und Penetrationstests von entscheidender Bedeutung, um Schwachstellen von Apps zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können. Insgesamt erfordert der Schutz der Privatsphäre und der sensiblen Daten in Gesundheits-Apps ein kontinuierliches Engagement vonseiten der Entwickler und Anbieter, um den sich ständig weiterentwickelnden Bedrohungen und regulatorischen Anforderungen gerecht zu werden. Dies ist nicht nur eine technische Notwendigkeit, sondern auch eine ethische Verpflichtung gegenüber den Nutzern, deren Gesundheit und Wohlergehen von der Sicherheit und Zuverlässigkeit dieser digitalen Hilfsmittel abhängen.
Umsetzung mittels externer Unterstützung
Die Umsetzung adäquater Sicherheitsstandards in Entwicklung und Betrieb von Gesundheits-Apps erfordert allerdings spezialisiertes Wissen und Ressourcen. Während für gesetzlich regulierte Apps angesichts der komplexen technischen Anforderungen und der strengen gesetzlichen Regulierungen die Hinzunahme externer Expertise für die Prüfung zwingend erforderlich ist, kann sie außerdem in bislang unregulierten Bereichen einen entscheidenden Unterschied und Erfolgsfaktor darstellen. Denn Experten bringen nicht nur tiefgreifendes Verständnis für Sicherheitsprotokolle und Datenschutzgesetze mit, sondern auch Erfahrungen aus einer Vielzahl von Projekten, die innovative Lösungen für häufig auftretende Probleme bieten können.
Darüber hinaus bieten externe Sicherheitsexperten technische Unterstützung bei der Implementierung von Sicherheitsmaßnahmen, die speziell auf die Bedrohungslandschaft und die technische Architektur der Gesundheits-App zugeschnitten sind. Dazu gehören die Verschlüsselung von Daten, sowohl in der Übertragung als auch bei der Speicherung, die Entwicklung sicherer Authentifizierungsverfahren und die Implementierung von Systemen zur Erkennung und Reaktion auf Sicherheitsvorfälle. Sie können auch bei der Durchführung von Penetrationstests und Sicherheitsaudits unterstützen.
Ein weiterer wichtiger Aspekt, bei dem externe Partner eine Rolle spielen, ist die Unterstützung bei der Entwicklung und Implementierung eines effektiven Informationssicherheitsmanagementsystems (ISMS). Ein solches System umfasst nicht nur technische Maßnahmen, sondern auch organisatorische Richtlinien und Verfahren, die darauf abzielen, die Sicherheit der verarbeiteten Daten kontinuierlich zu gewährleisten. Externe Berater können zudem wertvolle Einblicke in Best Practices aus anderen Branchen bieten, die für die spezifischen Anforderungen von Gesundheits-Apps angepasst werden können.
Abschließend ist die Zusammenarbeit mit externen Experten nicht nur eine Maßnahme zur Erfüllung gesetzlicher Anforderungen, sondern stellt auch eine Investition in die Qualität und Sicherheit der Gesundheits-App dar. Durch die Einbindung von Spezialisten können Entwickler und Anbieter von Gesundheits-Apps nicht nur die Sicherheit und den Datenschutz ihrer Anwendungen verbessern, sondern auch das Vertrauen der Nutzer stärken, was in der digitalen Gesundheitsbranche von unschätzbarem Wert ist.
Fazit
Gesundheits-Apps bieten ein erhebliches Potenzial, die Gesundheitsversorgung zu verbessern und Nutzern dabei zu helfen, ein gesünderes Leben zu führen. Sie reichen von Lifestyle-Apps über Apps auf Rezept bis hin zu Anwendungen, die eine zentrale Rolle in der Telematikinfrastruktur spielen, und können wichtige Gesundheitsdaten sammeln und analysieren, um informierte Entscheidungen zu unterstützen.
Allerdings steht dem Nutzen ein signifikantes Risiko gegenüber: die Sicherheit und der Schutz sensibler Nutzerdaten. Die Zunahme digitaler Gesundheitsanwendungen verstärkt Bedenken hinsichtlich der Datensicherheit, insbesondere angesichts der Vielzahl sensibler Informationen, die diese Apps sammeln. Die Bedrohungen sind vielfältig, reichen von Datenschutzverletzungen bis hin zu Cyberkriminalität und können ernsthafte Folgen für die Nutzer haben.
Um die Sicherheitsrisiken zu minimieren, ist eine umfassende Herangehensweise an die Sicherheit erforderlich, die sowohl die App-Entwicklung als auch die Datenübertragung und -speicherung umfasst. Entwickler müssen Best Practices in Bezug auf Sicherheit implementieren, darunter starke Verschlüsselungsverfahren, sichere Authentifizierung, regelmäßige Sicherheitstests sowie die Einhaltung datenschutzrechtlicher Vorgaben wie der DSGVO.
Mittels externer Expertise und Zusammenarbeit mit Sicherheitsexperten wird sichergestellt, dass nationale und internationale Datenschutzstandards eingehalten und technische Sicherheitsmaßnahmen effektiv umgesetzt werden. Die Einbindung externer Berater kann dabei helfen, die notwendigen Sicherheits- und Datenschutzanforderungen zu erfüllen und gleichzeitig das Vertrauen der Nutzer zu stärken.
Autor:
Peter Jung, Senior Consultant Software Security SRC Security Research & Consulting GmbH
Weitere Informationen: https://src-gmbh.de/
Bild: network-4522489_1920.jpg: Bild von Gerd Altmann auf Pixabay
Quelle: SRC Security Research & Consulting GmbH