Schutzlos gegen IT-Attacken

Gesundheits-Apps: Datenschutz Fehlanzeige

| Redakteur: Manfred Klein

Gesundheits-Apps kranken am Datenschutz
Gesundheits-Apps kranken am Datenschutz (Bild: Denys Prykhodov - Fotolia.com)

Die derzeit so trendigen Gesundheits- und Wellness-Apps wurden von Datenschützern schon immer mit einer gewissen Skepsis beobachtet. Nun zeigt eine Studie, dass sie damit nur zu Recht hatten. Viele der getesteten Apps sind gegen sogenannte Man-in-Middle-Attacken nur unzureichend geschützt.

Die Analyse stammt von dem privaten Zertifizierungsdienstleister ePrivacy. Knapp 730 Apps aus 29 Kategorien wurden ausgewertet, darunter Banking, Media, eHealth, Kommunikation und Social Media. Im Rahmen der Studie wurden die Apps sogenannten Blackbox-Angriffen ausgesetzt, wie Michael Eckard erläuterte, Head of Research and App Testing bei dem Unternehmen.

Unter anderem wurde überprüft, ob eine SSL- Verschlüsselung genutzt wurde, ob es einen Schutz vor Man-in-the- Middle-Angriffen gibt und ob Datenschutzerklärungen vorliegen, abrufbar sind und versioniert werden.

Inhaltliche Grundlage war eine vom Bayerischen Landesamt für Datenschutzaufsicht im Jahr 2014 herausgegebene Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter. Eckart betonte, dass sich die Ergebnisse der Analyse naturgemäß nur auf jene Apps beziehen, die in der Studie untersucht wurden. Insgesamt sind die Resultate in jedem Fall wenig schmeichelhaft für den boomenden Health 2.0-Markt. Denn bei vielen der untersuchten Sicherheitsmerkmale schnitten eHealth-Apps deutlich schlechter ab als Apps in anderen Sektoren.

Über 70 Prozent der eHealth-Apps hatten keine Datenschutzerklärung

So arbeiteten von den getesteten eHealth-Apps 64 Prozent ohne SSL-Verschlüsselung. Bei Reise-Apps und selbst in der Kategorie Medien/Video sind es dagegen nur rund 30 Prozent, denen dieses Sicherheitsfeature fehlt. Über 70 Prozent der eHealth-Apps hatten zudem keinerlei Datenschutzerklärung, aus der hervorgehende würde, was mit den erhobenen Daten gemacht werden darf.

Banking-Apps sind hier mit einer Quote von 10 Prozent deutlich besser. Und der Durchschnitt aller analysierten Apps liegt bei 27 Prozent.

Am gravierendsten sei aber, dass keine einzige der getesteten eHealth-Apps einen Schutz gegen Man-in-the-Middle (MITM)-Attacken bot, so Eckard. Bei ausnahmslos allen getesteten Apps konnte die IT- Experten personenbezogene Daten abfangen.

Dass Banking-Apps und Social Media-Apps mit Quoten um 60 Prozent in diesem Punkt auch nicht gerade gut abschnitten, ist da nur ein schwacher Trost.

Erschütternde Resultate

Als Beispiel für eine MITM-Attacke nannte Eckard das Abgreifen von Daten einer Diabetes-App, die Empfehlungen zur Insulindosis macht. Der „Mittelsmann“ könnte in einem solchen Szenario die vorgeschlagene Insulindosis fälschen und so eine potenziell lebensbedrohliche Situation herbeiführen.

Insgesamt halte er die Resultate für erschütternd, so Eckard, zumal die meisten Sicherheitsfunktionen einschließlich des wichtigen MITM-Schutzes nicht komplex zu programmieren seien.

Es sei daher wünschenswert, dass die App-Entwickler ihrer Verantwortung zum Umgang mit den sensiblen Gesundheitsdaten nachkommen und Apps in Zukunft sicherer machen, so Eckard abschließend.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43329466 / Infrastruktur/Kommunikation)