Bei verschiedenen Gesundheits-Apps der Ärzte im Netz hatte Sicherheitsforscher Martin Tschirsich eine Sicherheitslücke und mehrere Umsetzungsfehler entdeckt. Das geht aus einem Bericht der Zeit hervor. Demnach sei es nicht nur möglich gewesen, dass Dritte unbefugt an verschiedene Gesundheitsdaten und die Arzt-Patienten-Chats kommen. Über eine Passwort-Reset-Funktion waren zudem auch die Identitäten der Ärzte in Gefahr – sofern es den Angreifern gelungen wäre, deren E-Mails abzufangen. Derzeit werde laut Sean Monks, dem Geschäftsführer der Monks Ärzte im Netz GmbH, diese Funktion aber für alle Ärzteverbände deaktiviert, wie er heise online gesagt hat. Stattdessen komme in Kürze eine Zwei-Faktor-Authentifizierung zum Einsatz.

Lesen Sie auch Nach Datenschutz-Eklat: Ärzte und Apotheker stellen Bedingungen für E-Rezept

Ebenfalls bemängelt Tschirsich in dem Bericht eine fehlerhafte Umsetzung der Ende-zu-Ende-Verschlüsselung (E2EE). Dadurch hätten Angreifer Schadsoftware über die Apps an die Arztpraxen schicken können. Die E2EE soll Monks zufolge künftig standardmäßig aktiv sein. Zuvor mussten Ärzte diese Option erst aktivieren.

Hinter den Apps steht ein Produkt, das unter verschiedenen Namen angeboten wird. Betroffen waren demnach "Mein Kinder- und Jugendarzt" mit 700.000 Nutzerinnen und Nutzer, "Meine GynPraxis" mit mehr als 100.000 Downloads und die App "Mein HNO-Arzt" mit mehr als 5.000 Downloads im Playstore. Über die Apps können Versicherte unter anderem Arzttermine vereinbaren oder über Videosprechstunde oder einen Chat mit Ärzten kommunizieren. Mit "Meine hausärztliche Praxis" bietet seit Kurzem auch der bayerische Hausärzteverband seinen Mitgliedern die App an.

Zeitnahe Reaktion

Einer der Gründe für die Sicherheitsmängel war, dass "beim lokalen Entwickeln eine Stelle des Codes auskommentiert und versehentlich vor dem Deploy nicht wieder eingefügt" wurde, sagt Monks. Der Fehler trat im Oktober 2022 auf und sei laut Monks innerhalb von 24 Stunden bereinigt worden. Das Unternehmen hat laut Bundesamt für Sicherheit in der Informationstechnik (BSI) "nach Erhalt der Schwachstellenmeldung zeitnah reagiert. Die Zusammenarbeit mit dem Unternehmen im Rahmen des "Coordinated Vulnerability Disclosure"-Prozesses als auch die zeitnahe Reaktion und Erstellung eines Patches durch das Unternehmen" seien aus Sicht des BSI als positiv zu bewerten.

Zuvor habe Tschirsich laut Zeit-Bericht von einer Patienten-ID hochzählen können, um auf die Daten der Patienten zuzugreifen. Eine häufige und leicht vermeidbare Sicherheitslücke. Seiner Ansicht nach sei die App nicht sehr professionell entwickelt worden. Nach Prüfung der Log-Dateien könne Monks jedoch ausschließen, dass sich außer Tschirsich weitere unbefugt Zugang zu den Daten verschafften.

Keine sichere digitale Basisinfrastruktur

Als gravierender beschreibt Tschirsich, dass keine Prüfung der Identitäten neuer Arztpraxen und Patienten stattfinde. Die Ursache dafür sei "altbekannt", wie er den Beitrag der Zeit auf Twitter kommentiert. Für die Digitalisierung des Gesundheitswesens fehle es "an frei zugänglicher und sicherer digitaler Basisinfrastruktur. Gerade das Fehlen sicherer digitaler Identitäten hat zuletzt im Bereich der Kontaktnachverfolgung, der Impfterminvergabe und der Ausgabe von Test-, Impf- und Genesenenzertifikaten eine starke Bremswirkung entfaltet", geht bereits aus der Stellungnahme des Sicherheitsforschers für den Bundestag (PDF) aus dem Sommer 2021 hervor.

Durch fehlende digitale Identitäten sei es möglich, dass sich Angreifer als Patienten in einer Praxis oder gar als Praxen ausgeben. Monks betont jedoch, dass es damit bisher kein Problem gegeben habe. Für eine Anmeldung sei neben den üblichen, für die Anmeldung erforderlichen Daten auch eine Versichertennummer erforderlich. Dass Teile dieser Daten, wie nach dem Angriff auf den Krankenkassen-IT-Dienstleister Bitmarck im Januar 2023, in Darknet- oder Datenhehler-Foren verfügbar sein können, räumte er ein.

Zwar würden die Ärzte in der Regel mit Patienten kommunizieren, die ihnen bekannt sind, jedoch arbeite Monks Firma gerade an einem neuen Verfahren zur Verifikation der Identitäten der Versicherten. Dass sich Kriminelle über Fake-Accounts, die sich unter den Hunderttausenden Accounts befinden könnten, Zugang zu vertraulichen Patientendaten verschafft haben, hält Monks ebenfalls für unwahrscheinlich. Ärzte würden ihre Patienten in der Regel persönlich kennen. Eine weitere kritische Lücke war, dass der Sicherheitsschlüssel an die Versicherten gemailt wurde. Nach einem Update der Apps am 22. Mai sei das nicht mehr möglich, der Schlüssel für die App könne nur noch lokal auf dem Smartphone gespeichert werden.

Verifikation in Arztpraxis geplant

Monks zeigt sich dankbar für die Hinweise des Sicherheitsforschers. Zusammen mit den Ärzteverbänden habe er über Neuerungen entschieden, um die Identitäten der Versicherten zu bestätigen. Die Patientenidentifikation soll künftig so erfolgen, dass Versicherte die App herunterladen und standardmäßig als "nicht verifiziert" gelistet werden. Erst in der Arztpraxis können sich die Versicherten über einen zeitlich begrenzten QR-Code verifizieren. Den QR-Code erhalten die Versicherten in der Praxis. Da Arztpraxen vor der Nutzung der App doppelt überprüft würden und nicht nur ihre Mitgliedschaft bei Ärzte im Netz, sondern auch ihre Mitgliedsnummer aus ihrem Berufsverband angeben müssen, halte er es für ausgeschlossen, dass sich Dritte unbemerkt als Praxis ausgeben.

Lesen Sie auch Wie ein Datenleck in einem Arzt-Terminservice monatelang offen bleiben konnte

Anders als andere Anbieter wie Doctolib, sammele Monks keine Daten und sei bisher nicht damit aufgefallen, diese an Dritte zu verkaufen. Seine Firma sei nicht investorengetrieben. Er wollte den Ärzten damals – vor 20 Jahren – lediglich eine Internetplattform anbieten.

(mack)