Die erste deutsche „App auf Rezept“ weist Sicherheitsmängel auf

IT-Experten haben Sicherheitsmängel bei einer neuen Gesundheits-App festgestellt. Sie sehen das Problem vor allem bei der prüfenden Behörde.

IT-Sicherheitsexperten haben beim digitalen Gesundheitsprogramm Velibra Sicherheitsmängel festgestellt. Velibra war eine der ersten beiden digitalen Gesundheitsanwendungen, die das zuständige Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen hat. Es kann damit von Ärzten verschrieben werden, die gesetzliche Krankenversicherung übernimmt die Kosten. Velibra richtet sich an Patienten mit Angst- und Panikstörungen und will als eine Art „digitaler Psychohelfer“ herkömmliche Therapien ergänzen.

Bundesgesundheitsminister Jens Spahn (CDU) hat diesen neuartigen Prüfweg für „Gesundheits-Apps auf Rezept“ beim BfArM gesetzlich geschaffen. Dabei begutachtet die Behörde unter anderem den Datenschutz und die Datensicherheit.

Dennoch haben die IT-Sicherheitsexperten André Zilch und Martin Tschirsich, der im Chaos Computer Club (CCC) aktiv ist, nun eine Reihe von Sicherheitslücken bei Velibra festgestellt. Der Betreiber hat die sicherheitsrelevanten Lücken in der Folge zwar bereits geschlossen, doch werfen die Erkenntnisse ein unrühmliches Licht auf das Prüfverfahren beim BfArM.

Die Anwendung wies Nutzer zum Beispiel darauf hin, wenn sie sich mit einer bereits vergebenen E-Mail-Adresse registrieren wollen. „Ich kann also E-Mail-Adressen von Freunden oder Bekannten ausprobieren und erkenne dadurch, wer eine digitale Therapie wegen Angststörungen macht“, sagte Tschirsich dem Handelsblatt.

Problematisch sieht er auch die Passwort-zurücksetzen-Funktion: Der Code zum Zurücksetzen, den Nutzer per E-Mail bekommen, sei 24 Stunden gültig und zu kurz gewesen. Deshalb hätten Unbefugte das Passwort ändern können, indem sie automatisiert viele verschiedene Codes durchprobierten, kritisiert Tschirsich.

Als Nutzer hätte man sich zudem die Namen und E-Mail-Adressen anderer Nutzer auflisten lassen können, weil eine Komponente der Anwendung bei Abfragen nicht zwischen normalen Nutzern und Administratoren unterschied.

Mario Weiss, Geschäftsführer der Gaia AG, die Velibra betreibt, sagte dem Handelsblatt: Velibra sei durch umfangreiche Sicherheitstests gelaufen – inklusive Tests einer US-Sicherheitsfirma, in denen Hacker versuchten, in das System einzudringen.

„Alles schien sicher“, so Weiss: „Durch die Warnung der deutschen Experten konnten wir mit ihrer Hilfe innerhalb von zwölf Stunden und damit vor dem Launch alle sicherheitsrelevanten Lücken schließen.“ Zwar hat das BfArM Velibra schon gelistet. Bis ein Arzt sie erstmals verschreibt, sie also gelauncht ist, wird es noch ein wenig dauern, weil noch technische Details zu klären sind.

Tschirsich und Zilch sehen das Problem auch weniger beim Hersteller. „Gaia hat äußerst aufgeschlossen und konstruktiv auf unsere Punkte reagiert und gleich versprochen zu handeln. Das ist vorbildlich“, sagte Zilch.

Er sieht das Problem vielmehr beim BfArM. Wer die Zulassung durch die Behörde beantragt, muss dafür zwar allerhand Kriterien zu Datenschutz und -sicherheit erfüllen. „Doch offensichtlich fehlt da noch an der ein oder anderen Stelle die Expertise. Da muss dringend nachgeschärft werden“, findet Tschirsich.

„Digitale Gesundheitsanwendungen müssen für Qualität gerade auch im Bereich der Informationssicherheit stehen, wenn sie Teil der regulären Gesundheitsversorgung sein wollen“, ergänzt Zilch: „Solche Fehler bei der Sicherheit dürfen dafür aber keinesfalls weiter unentdeckt bleiben.“ Das koste Vertrauen beim Patienten und bei den Ärzten.

„Das BfArM sollte Zugang zu Top-Experten für Datensicherheit bekommen“, sagt Gaia-Chef Weiss. Leider bestimmten noch zu oft Juristen das Themenfeld. „Da wird über die falschen Dinge diskutiert. Über Formalien anstatt über echte Datensicherheit“, so Weiss.

Widersprechen gesetzliche Kriterien der DSGVO?

Tschirsich und Zilch sehen insbesondere ein Problem darin, dass die Prüfung der Datensicherheit auf Herstellerangaben beruhe und das BfArM nicht selbst die Anwendungen teste. Beispiel Datenverarbeitung: Seitdem der Europäische Gerichtshof das „Privacy-Shield-Abkommen“ gekippt hat, dürfen europäische Unternehmen aktuell kaum noch personenbezogene Daten mehr in den USA verarbeiten. „Velibra nutzt allerdings noch zwei Tools, die genau das tun“, erklärt Tschirsich. Er fordert, dass das BfArM zumindest stichprobenartig die Angaben kontrolliert.

Das Bundesgesundheitsministerium verwies auf Nachfrage auf das BfArM. Das wiederum sieht sich nicht in der Verantwortung. Schließlich prüfe man die Herstellerangaben – wie vom Gesetzgeber vorgegeben – „auf Plausibilität“. „Bei unwahren Angaben muss mit Konsequenzen, wie zum Beispiel der Streichung aus dem Verzeichnis, gerechnet werden“, teilte die Behörde mit. Außerdem hätten sich Hersteller unabhängig von der BfArM-Prüfung an die europäische Datenschutz-Grundverordnung (DSGVO) zu halten.

Doch auch hier sehen Tschirsich und Zilch Mängel im Verfahren. Es geht um die Registrierung. Bei Velibra müssen Nutzer allein eine E-Mail-Adresse angeben und diese bestätigen. Einen zweiten Sicherheitsfaktor gibt es nicht. „Das ist ein klarer Widerspruch gegen die DSGVO“, sagt Zilch.

Bei Velibra gehe es um höchstsensible Daten von Patienten mit psychischen Krankheiten, entsprechend sei das Datenschutz-Niveau mindestens mit hoch anzusetzen. Beim Online-Banking etwa sei der Zugriff ohne zweiten Faktor längst undenkbar, dann müsse das auch für eine Anwendung wie Velibra gelten.

Die BfArM-Kriterien hingegen sehen einen zweiten Faktor erst bei einem „sehr hohen” statt eines „hohen” Schutzbedarfs vor. Die Behörde behauptet, ihre Vorgabe sei im Sinne der DSGVO. In einer technischen Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) heißt es wiederum: „Der Nutzer muss mittels zweitem Faktor authentifiziert werden, bevor sensible Daten in der Anwendung verarbeitet werden.“ Das Thema dürfte noch die Datenschutzaufsicht beschäftigen.

Grundsätzlich betont Tschirsich: „Wir wollen, dass der Zulassungsprozess sinnvoll gestaltet wird, sodass Vertrauen in die Anwendungen entstehen kann und die ‚App auf Rezept‘ auch ein Erfolg werden kann.“

Mehr: Ärzte können jetzt Gesundheits-Apps per Rezept verschreiben, die von der Krankenkasse erstattet werden.