Als digitaler Helfer ist das eigene Smartphone für viele aus dem Alltag wohl nicht mehr wegzudenken. Sei es die Nutzung der Navigation, die schnelle Suchanfrage übers Web oder das Handy als persönlicher Organizer. Ähnliches zeichnet sich auch im Gesundheitsbereich ab, denn Gesundheits-Apps erfreuen sich zunehmender Beliebtheit. Doch die Meldungen über Sicherheitslücken häufen sich. Und so manche:r User:in wird sich wohl schon bei der Frage ertappt haben, ob die eigenen Daten in der App denn auch wirklich sicher sind.
Expert:innen entdecken wiederholt Sicherheitslücken
Immer wieder stoßen IT-Sicherheitsexpert:innen auf teils gravierende Schwachstellen. Über diese könnten sich Cyberkriminelle im schlimmsten Falle Zugriff auf sensible Daten, wie beispielsweise Diagnosen über körperliche und psychische Erkrankungen oder Medikation, verschaffen. Einfallstore, die in der Vergangenheit entdeckt wurden, waren dabei unter anderem:
- Die Passwort-vergessen-Funktion: Über diese war es teilweise möglich, zu ermitteln, ob eine Person auf einer bestimmten Plattform angemeldet war, um so etwas über ihren Gesundheitszustand in Erfahrung zu bringen.
- Eine fehlerhafte Ende-zu-Ende-Verschlüsselung: Bei manchen Anwendungen konnten IT-Sicherheitsexpert:innen bedingt durch eine unzureichende Ende-zu-Ende-Verschlüsselung auf private Ärzte-Patienten-Chats zugreifen.
- Keine sichere Identifizierung: In einigen Fällen war es nicht notwendig, die eigene Identität in irgendeiner Form zu bestätigen. Das eröffnet Angreifer:innen die Möglichkeit, sich beispielsweise als bestehende:r Patient:in auszugeben und so personenbezogene Daten zu erhalten.
Das macht deutlich: In Sachen IT-Sicherheit und Datenschutz herrscht im boomenden Markt der Gesundheits-Apps noch Nachholbedarf. Für digitale Gesundheitsanwendungen (DiGA), die durch Ärzt:innen verschrieben werden können, gelten bereits strenge Vorgaben. Gesundheits-Apps, die jedoch nicht unter diese strengen Vorgaben fallen, werden derzeit nicht reguliert. Heißt: Welche Datenschutzmaßnahmen konkret ergriffen und umgesetzt werden, obliegt den Anbietern. Vertrauen und Transparenz in den Markt bringt allerdings die Technische Richtlinie TR-03161, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde.
Vertrauen stärken mit der BSI TR-03161
Die Norm dient Entwicklern von Gesundheitsanwendungen als Leitfaden, um sichere Lösungen zu erstellen und die Themen IT-Sicherheit und Datenschutz von Anfang an zu berücksichtigen und umzusetzen. Hauptziel der TR-03161 ist es, die Vertraulichkeit, Integrität und Verfügbarkeit medizinischer Daten zu schützen, die durch (digitale) Gesundheitsanwendungen erhoben werden. Dabei enthält der Standard sowohl Sicherheitsanforderungen für mobile Anwendungen (TR-03161-1) als auch für Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). Betrachtet werden unter anderem Aspekte wie die Architektur, die kryptographische Umsetzung oder die Netzwerkkommunikation.
Mithilfe der TR-03161 können Hersteller ihre (digitale) Gesundheitsanwendung demnach auf den Prüfstand stellen, mögliche Schwachstellen aufdecken und die Sicherheit der eigenen Anwendung gezielt verbessern. Das führt gleichzeitig zu einem höheren Vertrauen von Nutzer:innen, die ihre sensiblen Daten damit in sicheren Händen wissen. Denn die bisher bekannt gewordenen Sicherheitslücken zeigen: Regelmäßige Prüfungen der App-Sicherheit sind nicht nur wichtig, sondern zwingend notwendig, um sensible Daten angemessen zu schützen.