Gesundheits-App: Hallo Herr Doktor, wieso haben Sie meine Diagnose an Fremde geschickt?

„Kurz den Kinderarzt erreichen oder nur eine Frage an die Hausärztin stellen: Das ist gar nicht so einfach. Wer das versucht, endet dieser Tage oft in endlosen Telefonwarteschleifen – oder muss feststellen, dass in vielen Praxen anscheinend niemand mehr ans Telefon geht. Wäre es da nicht schön, gäbe es eine App, um einen Termin zu vereinbaren, schnell eine Frage zu stellen oder ein Laborergebnis zugeschickt zu bekommen?“

 

Fast täglich lesen wir in den Medien über Datenschutzverstöße, die mit Bußgeldern geahndet werden. Unter datenschutz.org werden die aktuellen Bußgelder die nun Europaweit erhöht werden sollen aufgeführt.

 

„Solche Apps sind inzwischen verbreitet, eine von ihnen ist die sogenannte Praxis-App der Plattform Ärzte im Netz. Es gibt sie unter mehreren Namen, als „Mein Kinder- und Jugendarzt“ wird sie laut Betreiber von mehr als 700.000 Eltern genutzt, als „Meine Gyn-Praxis“ wurde sie allein im Google Playstore mehr als 100.000-mal heruntergeladen. Der bayerische Hausärzteverband bietet die App als „Meine hausärztliche Praxis“ seit vergangener Woche seinen Mitgliedern an. Ärzte können in der App Termine vereinbaren, mit ihren Patienten chatten oder Laborergebnisse übermitteln. In der App werden sensible Daten gespeichert: Diagnosen körperlicher und psychischer Krankheiten, Schmerztagebücher oder verschriebene Medikamente. Also nichts, das man gerne mit Fremden teilt.

 

Doch unter anderem auf die Chats all der Hunderttausenden Praxis-App-Nutzer hätten Unbefugte zugreifen können, berichtet der Sicherheitsforscher Martin Tschirsich exklusiv gegenüber ZEIT ONLINE. Die Lücke ist inzwischen geschlossen. Tschirsich war sie vergangene Woche aufgefallen. „Es war nicht nur möglich, Chats anderer zu lesen, ohne eine Zugangshürde zu überwinden“, sagt er, „dank der Passwort-Reset-Funktion hätten sich Angreifer auch Zugriff auf die administrative Verwaltungs-App der Praxen verschaffen können.“ Das heißt: Aktiviert ein Arzt die „Passwort vergessen“-Funktion, schickt das System ein neues Passwort per E-Mail. Fängt ein Angreifer eine solche E-Mail ab, hätte er Einblick in die gesamte Kommunikation einer Praxis über die App und damit Zugriff auf alle Patientendaten, die dort gespeichert sind. Aus gutem Grund ist es nicht erlaubt, Gesundheitsdaten sowie Zugangsdaten zu diesen unverschlüsselt per E-Mail zu verschicken: Das Schutzniveau von E-Mails ist zu niedrig für sensible Daten.

 

Schlechter Schutz der Patientendaten

Neben einigen Fehlern in der Umsetzung der Ende-zu-Ende-Verschlüsselung  könnten Angreiferinnen zudem Schadsoftware über die App an Arztpraxen schicken – ein Fehler, der ebenfalls gravierend sei. Noch folgenreicher für Patienten sei aber, dass weder die Identität neuer Arztpraxen noch die neuer Patienten überprüft werde, so Tschirsich. Ohne eine solche sichere Identifizierung ist es beispielsweise denkbar, dass sich ein Angreifer als bestehender Patient einer Praxis ausgibt und so dessen Daten erhält. Tschirsich selbst hat auch testweise falsche Accounts mit erfundenen Namen angelegt. „Ich musste lediglich versichern, dass ich tatsächlich der bin, der ich vorgebe zu sein, beziehungsweise dass ich vertretungsberechtigt bin für das Kind“, sagt er. Das sei aber in keiner Weise überprüft worden. Auch in den allgemeinen Geschäftsbedingungen stehe lediglich, dass er verpflichtet sei, seine wahre Identität anzugeben. Das ist freilich nichts, was Kriminelle berücksichtigen würden. „Damit wird Sicherheit per AGB auf die Ärzte abgewälzt“, sagt Tschirsich, „dabei sind diese auch nicht in der Lage, das zu überprüfen.“

 

Tschirsich hat eine ausführliche Beschreibung der Sicherheitslücken an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geschickt, die ZEIT ONLINE vorliegt. Der Sicherheitsforscher findet den schlechten Schutz der Patientendaten besorgniserregend. So konnte er unter anderem einfach von einer bekannten Patienten-ID hochzählen und auf die Daten Fremder zugreifen. Das sei eine häufige und leicht zu vermeidende Sicherheitslücke – mit gravierenden Folgen, wenn das nicht getan wird. „Die Qualität dieser App spricht nicht für eine professionelle Softwareentwicklung“, sagt Tschirsich. Das BSI habe die Schwachstelle nachvollziehen können und den Hersteller informiert.

 

„Wir wollen mit unseren Apps das Gesundheitssystem entlasten“

„Wir haben die Lücken innerhalb von 24 Stunden geschlossen“, sagt Sean Monks, Gründer und Geschäftsführer der Monks Ärzte im Netz GmbH. Die Meldung habe er am Tag vor Himmelfahrt erhalten, „wir haben den Feiertag durchgearbeitet und sofort reagiert“, sagt er. Es sei nicht mehr möglich, auf Chats Fremder zuzugreifen. Eine Auswertung der Log-Dateien habe außerdem ergeben, dass außer Tschirsich niemand auf die Chatdaten zugegriffen habe. Ob sich unter den Hunderttausenden Accounts auch Fake-Accounts befinden, kann er freilich nicht nachprüfen. „Ich halte das aber für sehr unwahrscheinlich.“ Er sei froh, dass Tschirsich das Problem bemerkt habe, bevor es Kriminelle ausnutzen konnten.

„Uns ist ein großer Fehler passiert“, sagt Monks, „das will ich nicht kleinreden.“ Vermutlich sei die Lücke durch ein fehlerhaftes Update entstanden, „das untersuchen wir gerade noch“. Auch die anderen Lücken seien inzwischen geschlossen worden, Schlüssel würden nun lokal auf den Geräten der Patientinnen gespeichert, zudem werde den Praxen die Ende-zu-Ende-Verschlüsselung nahegelegt. Lediglich das Thema der Identifizierung sieht Monks anders: Neue Arztpraxen würden „doppelt überprüft“: Sie müssten nicht nur ihre Mitgliedschaft im entsprechenden Ärzteverband mittels ihrer Mitgliedsnummer nachweisen, sondern auch gegenüber dem jeweiligen Verband ihre Facharztqualifikation belegen. „Ich halte es für ausgeschlossen, dass es jemand schafft, sich als Praxis auszugeben, ohne dass wir es merken.“

 

Auch mit falschen Patienten habe es noch nie ein Problem gegeben, schließlich müssten sich diese nicht nur mit ihren Daten und Versichertennummer anmelden – vielmehr sei es gar nicht so einfach, selbst die legitimen Patienten von der Kommunikation per App zu überzeugen. Schließlich sind viele der regelmäßigen Besucher von Hausarztpraxen schon betagt und im Umgang mit Apps nicht unbedingt bewandert. Das erklärt teilweise auch, wieso die App vor allem im Kinderarzt-Bereich beliebt ist: „Junge Eltern sind da affiner.“

 

Ärzte wollen chatten

Monks fühlt sich zu Unrecht in einen Topf geworfen mit anderen Anbietern, die Gesundheits-Apps aus Profitgründen entwickeln oder Daten sammeln, um diese zu verkaufen oder anderweitig zu nutzen. Er verstehe seinen Service vielmehr als Alternative zu Anbietern wie Doctolib, die in der Vergangenheit nicht nur durch Sicherheitslücken, sondern auch durch die Weitergabe von Daten an Google und andere aufgefallen sind. „Wir sind nicht investorengetrieben, wir machen keinen Profit, wir sammeln auch keine Daten.“ So sei die Idee mit der App von den Ärzten selbst gekommen: Monks betreibt schon seit etwa 20 Jahren Plattformen wie Kinderärzte im Netz, und ursprünglich sei der Plan lediglich gewesen, den Ärzten einen Internetauftritt anzubieten.

 

Doch dann hätte ihn 2014 der Verband der Kinder- und Jugendärzte darauf angesprochen, ob er eine App entwickeln könnte. „Die wollten chatten.“ Zunächst seien darüber nur Informationen an Patienten geschickt worden, Erinnerungen an Impftermine und Ähnliches. Inzwischen können Ärzte auch ein Modul für eine Videosprechstunde dazubuchen. Er wolle nur helfen, sagt Monks: Immer wieder beklagen sich schließlich Kliniken, dass Patienten in die Notaufnahme kommen, weil es nicht möglich sei, einen Termin beim Arzt zu bekommen. „Wir wollen mit unseren Apps das Gesundheitssystem entlasten.“

Im Gegensatz zur App selbst müssen Lösungen für Videosprechstunden zertifiziert werden. In den Anforderungen dafür ist auch eine unabhängige Überprüfung der Sicherheit enthalten. Allerdings sei dabei nur die Sicherheit der Videosprechstunde getestet worden, nicht der übrigen App. So fielen die Sicherheitslücken nicht auf. Dennoch plane er, künftig auf freiwilliger Basis entsprechende Penetrationstests auch für die Praxis-Apps durchzuführen, sagt Monks. Dazu muss man wissen, dass es für Apps im Gesundheitsbereich keine gesonderten Auflagen gibt, solange sie nicht als Medizinprodukte oder als sogenannte digitale Gesundheitsanwendungen (DiGA) gelistet werden sollen. Doch wie diverse Sicherheitsprobleme auch bei jenen „Apps auf Rezept“ zeigen, ist eine solche unabhängige Überprüfung offenbar auch nicht die Lösung.

 

Datenschutz braucht Zeit

Ein Problem ist beispielsweise die der einseitigen Perspektive: Denn während sich Sean Monks damit beschäftigt, wie er legitime Patienten an Bord bekommt, beschäftigen sich ethische Hacker wie Tschirsich damit, was schiefgehen kann, wenn andere Zugriff bekommen. Tschirsich akzeptiert beispielsweise die Sichtweise Monks nicht, dass es nicht möglich sei, falsche Patientenprofile zu erstellen, weil man dafür Name, Geburtsdatum und Krankenversicherungsnummer angeben muss. Denn diese Daten sind weniger privat als viele denken.

 

Immer wieder erbeuten Cyberkriminelle solche Daten, zuletzt beispielsweise beim Angriff auf den Krankenkassendienstleister Bitmarck, der sowohl im Januar als auch im April 2023 angegriffen wurde – nach dem ersten Angriff landeten 300.000 Patientendatensätze im Darknet. Bitmarck stellt technische Infrastruktur und Softwarelösungen für rund 80 Krankenkassen mit insgesamt 25 Millionen Versicherten bereit. Genau jene Daten, die in der App zur Verifizierung genutzt werden, sind also vermutlich in großer Zahl in den Händen Krimineller. „Man muss davon ausgehen, dass das öffentliche Daten sind“, sagt Tschirsich.

 

Auch Marit Hansen betont, wie wichtig ein Wechsel der Perspektive im Entwicklungsprozess von Gesundheits-Apps ist – doch dieser komme häufig zu kurz, erklärt die Landesbeauftragte für Datenschutz Schleswig-Holstein und Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, die sich viel mit Sicherheit im Gesundheitsbereich beschäftigt hat: „Man braucht dafür mehrere Personen im Team und oft zusätzliche Expertise.“ Das sei aufwendig und brauche Zeit, „das ist ein iterativer Prozess einer Risikoanalyse, auf die hin Maßnahmen implementiert werden müssen, die dann erneut auf Risiken geprüft werden müssen“.

 

Das benötige Ressourcen, die sich viele Unternehmen sparten – auch, weil der Zeitdruck groß sei angesichts eines Marktes, der gerade an Fahrt aufnehme. „Wenn der Markt aufgeteilt wird, wollen Anbieter schnell sein und sich einen Platz sichern.“ Ein Grund für diese Entwicklung ist möglicherweise die Pandemie, in der sich digitale Lösungen etabliert hätten, „sie sind selbstverständlicher geworden auch angesichts von Apps, die auch staatlich beworben wurden wie die Corona-Warn-App.“ Es sei natürlich falsch, ausgerechnet an der Sicherheit zu sparen.

 

Selbst im Bereich der zertifizierten, also nach gesetzlichen Vorgaben überprüften Anwendungen zeigten sich Lücken – doch noch viel mehr betreffe das Anwendungen, die aus dem Wellnessbereich kommen und sich zur Gesundheits-App entwickelten, sagt Hansen. Das beginne oft mit einer scheinbar harmlosen Funktion, beispielsweise einer Möglichkeit, das eigene Schlafverhalten oder den Zyklus zu protokollieren. „Für den Entwickler wirkt es vielleicht, als handle es sich einfach um einen Kalender“, sagt Hansen, „er denkt nicht so weit, dass andere womöglich Interesse an diesen Daten haben oder dass es sich um Gesundheitsdaten handelt.“

 

 

 

 

Bildquelle: Shutterstock


 

Die Lösung für Sie:

Keine Patientenverunsicherung, kein Bußgeld – nutzen Sie INFINITYQ für die Zeitgemäße Patientenkommunikation.

INFINITYQ basiert auf dem von der gematik geforderten MATRIX Standard.
Die Daten liegen auf Ihrem Server in Ihrer Hoheit.
Bei Interessesenden Sie einfach eine Email an infinityQ@crosssoft.de

 

Anwendungsfälle:

Stellen Sie Ihren Patienten zur Aufklärung Listen mit Videos zur Verfügung, die Situationsbezogen aufklären.
Archivieren Sie die digital vom Patienten unterschriebenen Anamnesebögen.
Bündeln Sie die gesamte Kommunikation in einer Anwendung und entlasten Sie Ihre Mitarbeiter im Dokumentationsaufwand.
Verschaffen Sie sich einen Überblick über Anfragevolumen, Wartezeiten, dringende Fälle.
Und fassen Sie mit der Unterstützungsfunktion nach ob die Unterlagen angekommen, verstanden und angenommen werden.
CRM bedeutet, einen Mehrwert für Ihr Unternehmen zu schaffen. Wir zeigen Ihnen, welche Vorteile es hat und wie es Ihnen hilft, strategisch zu verkaufen:
Es ermöglicht Ihnen, den Kunden besser kennenzulernen und ihm ein personalisiertes Angebot zu unterbreiten.
Es hilft Ihnen, die interne Kommunikation des Unternehmens zu verbessern und ermöglicht es Ihnen, alle Informationen zu Ihren Kunden für alle Mitarbeiter zugänglich zu machen.
Es hilft Ihnen, Verkäufe zu analysieren und zu verfolgen.
Es ermöglicht Ihnen, den Überblick über Ihre Kunden zu behalten, Anrufe zu planen und den Versand von E-Mails und SMS zu planen.
Es hilft Ihnen, alle erstellten Budgets und Angebote zu identifizieren und sie zu verfolgen, bis sie in bezahlte Rechnungen umgewandelt werden.
Es ermöglicht Ihnen, Besprechungen mit Ihrem Kunden angemessen vorzubereiten und zu bestimmen, was Sie ihm wann anbieten können.