Startseite > Smarter World > Security Testing von Medical Apps

Boomender Medical-App-Markt

Security Testing von Medical Apps

4. Dezember 2019, 14:04 Uhr | Wilfried Kirsch und Prof. Dr. Hartmut Pohl, softScheck GmbH

Die Anzahl der Medical Apps steigt, europäische und internationale Sicherheitsforderungen hierfür werden konkreter. Aktuell bekannt gewordene Sicherheitsmängel in Medical Apps geben Anlass, wirksame Security Testing Verfahren für Medical Apps vorzustellen.

Die Anzahl verfügbarer Medizin-Apps steigt stetig. Über 50 % der Ärzte greifen laut Umfragen auf entsprechende Apps während der Arbeit zurück. Aber auch Private setzen zunehmend auf Medizin-Apps. Sei es zur Diagnose oder um seine eigene Krankenakte immer dabei zu haben, welche dann auch Ärzten vorgelegt werden kann. Aktuell ist hier als Beispiel eine Krankenkassen-App zu nennen die mit ihren, zwar wohl zügig gepatchten, aber vielerlei Sicherheitslücken in die Schlagzeilen geriet.

Bei medizinischen Daten ist es von höchster Priorität, dass diese sicher sind: Unverändert und nur von Berechtigten lesbar. Es stellt sich daher die Frage, ob Medizin-Apps diese Daten schützen können. Auch Anfragen zu Services, die auf eine Krankheit (Symptome) schließen lassen, müssen entsprechend abgesichert und anonymisiert sein. Darüber hinaus muss die Verfügbarkeit der gespeicherten Daten gegeben sein.

Als Beispiel wie unsicher Gesundheits-Apps sein können, sei hier besagte App Vivy genannt. Vivy versteht sich als eine Assistenzapp in Sachen Gesundheit. Neben der Pflege von Medikamentenplänen und Impfterminen soll die App den Austausch von Gesundheitsakten wie Rezepten, Befunden und Laborwerten zwischen Ärzten und Patienten ermöglichen. Laut Webseite bietet Vivy „Sicherheit auf höchsten Niveau“ und ist von unabhängigen externen Organisationen zertifiziert worden. Im September 2018 entdeckte ein Sicherheitsforscher, auf Nutzeranfrage hin mehrere Tracker in der App, dass Unternehmen wies die Vorwürfe zurück, da sie im Grunde fast alle Apps beträfen. Dennoch besserten sie nach. Durch den Vorfall auf die App aufmerksam geworden, untersuchte das IT-Security Unternehmen moderzo die App auf Sicherheitslücken und veröffentlichte am 25. Oktober einen Bericht über von ihnen gefundenen Schwachstellen in der Gesundheits-App Vivy. Diese Liste der Sicherheitslücken, welche als kritisch eingestuft worden ist lang.

Solche Vorfälle wie bei Vivy sind kein Einzelfall, wie eine kurze Recherche im Internet zeigt. Für nicht Security Experten sind solche Probleme leider nicht aufzudecken. Es gibt allerdings dennoch eine Möglichkeit, wie zumindest technisch versierte Menschen bemerken können, ob eine App möglicherweise zu viele sensible Informationen abzieht. Der nächste Abschnitt bezieht sich auf das Aufdecken von Datenschutzproblemen in Android Apps mit Fokus auf sogenannten Trackern.