Hacker-Kollektiv findet Sicherheitslücken in digitalen Gesundheits-Apps auf Rezept
Wie das Hacker-Kollektiv Zerforschung, das sich schon mehrfach mit der Sicherheit von Websites, Apps und anderen digitalen Diensten beschäftigt hat, meldet, gibt es unter den 31 Diga von rund 20 verschiedenen Anwendern nicht nur solche, die sich vorbildlich dem Datenschutz und der Datensicherheit widmen.
Zugriff auf Nutzenden-Daten möglich
So konnte Zerforschung bei den Gesundheits-Apps Novego und Cankado Lücken feststellen, die es erlaubten, personenbezogene Daten abzugreifen, ohne dazu die Berechtigung zu haben – sprich: ohne die berechtigte Person zu sein. Das scheint bei Preisen zwischen 250 und 500 Euro pro Quartal nicht auf Anhieb nachvollziehbar.
Bei beiden Apps geht es nicht um inhaltliche Fragestellungen, die noch einmal separat diskutiert werden könnten, sondern lediglich um die Frage der Datensicherheit. So konnten Nutzende der App „Novego: Depressionen bewältigen“ die Nummer ihrer Nutzer-ID so verändern, dass der Zugriff auf die E-Mail-Adresse und den Nutzernamen anderer Patientinnen und Patienten möglich gewesen wäre. Geschäftsführer Norbert Paas versicherte gegenüber der Tagesschau, dass seine Firma die Lücke nur drei Stunden, nachdem das Team von Zerforschung auf die Schwachstelle hingewiesen hatte, geschlossen habe.
Ebenso konnten bei der App Cankado, die für Frauen mit Brustkrebs entwickelt wurde, Patientinnendaten abgegriffen werden. Dessen Geschäftsführer Timo Schinköthe bezeichnete die gefundene Lücke als „ein konkretes, jedoch nicht ausgenutztes Sicherheitsrisiko“. Dabei sei nur „die abstrakte Gefährdungslage als hoch einzustufen“. Allerdings hätte über die vergangenen 500 Tage tatsächlich niemand die Lücke getriggert – außer dem Zerforschung-Team. Das hätten interne Logs gezeigt. Dennoch habe man die Schwachstelle inzwischen beseitigt.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team