Gesundheitsapps: Mit Pentests mögliche DSGVO-Verstöße finden

Pentest Gesundheitsapps

Die Nutzung von Gesundheitsapps für das Smartphone steigt – nicht erst seit Ausbruch der Corona-Pandemie. Weltweit registrieren Anbieter in den vergangene Monaten einen Anstieg der Öffnungsraten bei Apps der Kategorie Medizin, Gesundheit, Fitness um 60 Prozent, so eine Erhebung des Customer-Engagement-Spezialisten Airship. Strategien für IT-Sicherheit und Datenschutz werden damit noch wichtiger. Penetrationstests (kurz: Pentests) sind ein nützliches Instrument, um beispielsweise auch interne Datenschützer zu unterstützen.

Gesundheitsapps auf dem Smartphone, mit denen wir beispielsweise Vitaldaten monitoren oder Videosprechstunden mit dem Arzt durchführen, erfreuen sich steigender Beliebtheit. Dieser Trend hat sich bereits vor der Corona-Pandemie durch den ländlichen Fachärztemangel verstärkt. Dazu kommt, dass das Thema auf politischer Ebene Fahrt aufnimmt. Dafür sorgen das Digitale-Versorgung-Gesetz (DVG) und künftig die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV).

Trotz dieser steigenden Beliebtheit gibt es einen kritischen Faktor: Gesundheitsapps speichern und verarbeiten Gesundheitsdaten und damit eine besonders sensible, schützenswerte Kategorie von personenbezogenen Daten. Um IT-Sicherheit und Datenschutz für diese Daten zu gewährleisten, werden nach einschlägigen Datenschutzregularien, besonders strenge Anforderungen an die Erhebung, Verarbeitung und Nutzung dieser Daten gestellt. Sollten diese Anforderungen nicht vollständig umgesetzt werden, drohen drakonische Strafen von bis zu zwanzig Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem was höher ist.

Regelmäßige Pentests helfen nicht nur gegen Cyberattacken

Angesichts dieser scharfen Sanktionen, reicht es nicht, dass Kliniken, Ärzte und Krankenversicherer einmalig prüfen, dass entwickelte oder eingekaufte Gesundheitsapps DSGVO und IT-Sicherheitsreglungen erfüllen. Die Apps werden laufend weiterentwickelt. Entwickler spielen fast im Wochentakt Verbesserungen und weitere Updates in die App Stores ein.

Vor diesem Hintergrund sollten Gesundheitsapps nicht nur vor dem ersten Go-live, sondern in regelmäßigen Abständen so genannten Pentests unterzogen werden, um sicherzustellen das IT-Sicherheit, aber auch Datenschutz gewährleistet sind. Bei Pentests suchen IT-Sicherheitsexperten gezielt Schwachstellen in IT-Systemen, um die Lücken anschließend schließen zu können – im Idealfall bevor Hacker diese nutzen können oder Verstöße gegen Datenschutzgesetze bekannt werden.

Die Pentests sollten dabei immer eine statische als auch dynamische Analyse der Gesundheitsapps umfassen. Die statische Analyse konzentriert sich auf den Quellcode und die verwendeten Bibliotheken (Hilfsmodule). Während der App-Entwicklung werden häufig Software Development Kits (SDK) genutzt. Gemeint ist eine Sammlung von Programmierwerkzeugen und Programmierbibliotheken, die Softwareentwickler beim Entwicklungsprozess unterstützen. Dabei bieten die genutzten SDKs oftmals keinen wirklichen funktionalen Mehrwert, sondern verbessern lediglich die Usability.

Dynamische Pentests finden ungewollte Datenströme in Richtung Online-Werbe-Plattformen

Ein prominentes Beispiel ist die Facebook SDK. Sie sorgt dafür, dass bei jedem Aufruf die Google-Advertising-ID an Facebook übergeben wird. Die Google-Advertising-ID ist eine Werbe-ID, die jeder Android-Smartphone-Nutzer besitzt und personalisierte Werbung durch Werbeplattformen wie Facebook ermöglicht.

Da aber nicht nur die Google-Advertising-ID, sondern auch andere Parameter wie Gesundheitsdaten übergeben werden können, sollten Anbieter und Nutzer von Apps diesen Umstand besonders kritisch im Blick haben. An dieser Stelle stellt die dynamische Analyse bei Pentests ihre Stärken unter Beweis. Sie ermöglicht, das Verhalten der Gesundheitsapp im laufenden Betrieb zu testen. Zur dynamischen Analyse sollte immer die Untersuchung des Datenstroms gehören. So lässt sich beispielsweise herausfinden, ob und welche Gesundheitsdaten neben der Google-Advertisting-ID an die Server von Facebook und anderen Plattformen übertragen werden.

Dynamische Pentest haben sich praktisch bewährt

Das dynamische Pentesting der Gesundheitsapps hat sich bereits als sehr hilfreich erwiesen. Eine App, die wir für ein Unternehmen im Gesundheitswesen analysiert haben, besaß ein entsprechendes Facebook-SDK, das für das Single-Sign-On (SSO) verwendet wurde. Nach den Pentests der App fiel auf, dass Daten an Facebook übersendet wurden, ohne das ein Nutzer die Option des SSO ausgewählt hat. Zudem wurde festgestellt, dass auch Gesundheitsdaten an Facebook übermittelt worden sind, allerdings mit aktiviertem SSO.

Für die Übermittlung personenbezogener Daten an Facebook sowie die Übermittlung von Gesundheitsdaten wurde keine entsprechende Klausel in der Datenschutzerklärung des Kunden gefunden. Das bedeutet, dass die Übermittlung der Daten ohne Erlaubnis des Nutzers geschah, was ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) darstellt und demnach auch sanktionswürdig ist. Interessant ist, dass weder die Entwickler noch der Anbieter der Gesundheitsapp Kenntnis von dem Datenaustausch hatten.

Das Beispiel zeigt sehr gut, dass sich Pentests nicht nur für die Cyberabwehrstrategie eignen, sondern auch in die Datenschutzstrategie eingebaut werden sollten. Zudem ist es ratsam, Gesundheitsapps immer wieder in regelmäßigen Abständen auf relevante IT-Sicherheits- und Datenschutzaspekte hin zu überprüfen, um Sicherheitslücken frühzeitig zu schließen. Das schont die Nerven der Datenschutzbeauftragten der Kliniken, Praxen und Krankenversicherer. Sie können sich deutlich sicherer sein, dass sie Gesundheitsapps DSGVO-konform einsetzen.

Bild: Getty Images / ipopba


Patrick Schlenger

Patrick Schlenger ist Berater für Informationssicherheit bei der Sopra Steria. Er beschäftigt sich viel mit den Themen Datenschutz und Cyber Security. Auf das Thema „Gesundheitsapps“ ist der durch seine Masterthesis gekommen. Hierfür hat er einige Gesundheitsapps auf deren datenschutzrechtliche und sicherheitstechnische Aspekte hin überprüft.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.