Hacker-Kollektiv findet Sicherheitslücken in digitalen Gesundheits-Apps auf Rezept

Wie das Hacker-Kollektiv Zerforschung, das sich schon mehrfach mit der Sicherheit von Websites, Apps und anderen digitalen Diensten beschäftigt hat, meldet, gibt es unter den 31 Diga von rund 20 verschiedenen Anwendern nicht nur solche, die sich vorbildlich dem Datenschutz und der Datensicherheit widmen.
Zugriff auf Nutzenden-Daten möglich
So konnte Zerforschung bei den Gesundheits-Apps Novego und Cankado Lücken feststellen, die es erlaubten, personenbezogene Daten abzugreifen, ohne dazu die Berechtigung zu haben – sprich: ohne die berechtigte Person zu sein. Das scheint bei Preisen zwischen 250 und 500 Euro pro Quartal nicht auf Anhieb nachvollziehbar.
Bei beiden Apps geht es nicht um inhaltliche Fragestellungen, die noch einmal separat diskutiert werden könnten, sondern lediglich um die Frage der Datensicherheit. So konnten Nutzende der App „Novego: Depressionen bewältigen“ die Nummer ihrer Nutzer-ID so verändern, dass der Zugriff auf die E-Mail-Adresse und den Nutzernamen anderer Patientinnen und Patienten möglich gewesen wäre. Geschäftsführer Norbert Paas versicherte gegenüber der Tagesschau, dass seine Firma die Lücke nur drei Stunden, nachdem das Team von Zerforschung auf die Schwachstelle hingewiesen hatte, geschlossen habe.
Ebenso konnten bei der App Cankado, die für Frauen mit Brustkrebs entwickelt wurde, Patientinnendaten abgegriffen werden. Dessen Geschäftsführer Timo Schinköthe bezeichnete die gefundene Lücke als „ein konkretes, jedoch nicht ausgenutztes Sicherheitsrisiko“. Dabei sei nur „die abstrakte Gefährdungslage als hoch einzustufen“. Allerdings hätte über die vergangenen 500 Tage tatsächlich niemand die Lücke getriggert – außer dem Zerforschung-Team. Das hätten interne Logs gezeigt. Dennoch habe man die Schwachstelle inzwischen beseitigt.