Sicherheitslücken in "App auf Rezept" gegen Angsterkrankungen entdeckt

Experten haben in velibra, einer "App auf Rezept", Sicherheits- und Datenschutzmängel entdeckt. Sie kritisieren vor allem das Prüfverfahren des BfArM.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 40 Beiträge

Im Verzeichnis für digitale Gesundheitsanwendungen (DiGA) landen Apps erst nach einer Prüfphase.

(Bild: diga.bfarm.de)

Von
  • Olivia von Westernhagen

Menschen mit Angsterkrankungen, die im Rahmen ihrer Therapie die Webanwendung velibra nutzen, hätten bis vor kurzem offenbar ganz realen Anlass zur Sorge gehabt: Zwei IT-Sicherheitsexperten haben eine Reihe gravierender Sicherheitslücken und -mängel in velibra entdeckt. Angreifer hätten diese missbrauchen können, um Angstpatienten als solche zu "enttarnen" und schlimmstenfalls deren Accounts mit sensiblen Daten zu übernehmen. Die Lücken wurden durch die velibra-Entwickler der Gaia AG geschlossen – und zwar noch bevor die App erstmals verschrieben wurde. Was bleibt, sind Zweifel am BfArM-Prüfverfahren, das der App-Zulassung vorangegangen war.

velibra ist eine von zwei "Apps auf Rezept", die das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) am 6. Oktober 2020 in das neue Verzeichnis für digitale Gesundheitsanwendungen (DiGA) aufgenommen hat. Solche Anwendungen können vom Arzt verschrieben, die Kosten bei entsprechender Diagnose direkt von den gesetzlichen Krankenkassen erstattet werden. Das Konzept der "Apps auf Rezept" basiert auf einem Gesetzentwurf von Gesundheitsminister Jens Spahn (CDU), der im Juli 2019 im Kabinett gebilligt worden war.

Lesen Sie auch

Im Rahmen einer Bundestagsanhörung hatten Sachverständige bereits im Oktober 2019 nicht nur den therapeutischen Nutzen solcher Apps infrage gestellt, sondern auch Datenschutzbedenken geäußert. Wie die velibra-Analyse durch die IT-Sicherheitsexperten André Zilch und Martin Tschirsich zeigte, waren diese Bedenken gerechtfertigt.

So habe die App Nutzern beispielsweise beim Registrierungsvorgang mitgeteilt, wenn E-Mail-Adressen bereits im Kontext anderer Accounts vergeben waren. Angreifer hätten somit gezielt Adressen "durchprobieren" können, um ihnen bekannte Personen als Patienten mit Angst- und Panikstörungen zu identifizieren. Der (per E-Mail verschickte) Code zum Zurücksetzen bestehender Passwörter sei zu kurz, die Gültigkeit des Codes mit 24 Stunden zu lang gewesen. Außerdem konnten sich Nutzer der velibra-App Namen und E-Mail-Adressen anderer Nutzer auflisten lassen.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Laut einer Pressemitteilung des BfArM vom 6. Oktober beträgt die Bewertungszeit bis zur Freigabe als DiGA derzeit drei Monate nach Eingang des vollständigen Antrags. Momentan befinden sich zahlreiche Anwendungen in der Prüfphase – die allerdings bedarf offenbar selbst einer Prüfung und Überarbeitung.

Gegenüber dem Handelsblatt kritisierten Zilch und Tschirsich vor allem, dass das BfArM die Anwendungen gar nicht selbst teste: Das Institut überprüft nach eigener Aussage lediglich die Plausibilität der Herstellerangaben. "Bei unwahren Angaben muss mit Konsequenzen, wie zum Beispiel der Streichung aus dem Verzeichnis, gerechnet werden", teilte es gegenüber dem Handelsblatt mit.

Die Gaia AG wiederum hatte zuvor eine US-Firma mit Penetration Tests beauftragt, die allerdings keine Sicherheitslücken zutage gefördert hatten. Auf die Hinweise der Forscher, so Zilch, hätten die Entwickler schnell und vorbildlich reagiert – und zwar vor dem tatsächlichen Launch der App. Laut Handelsblatt ist diese nämlich zwar schon als DiGA gelistet; bis sie tatsächlich verschrieben werde, seien aber noch technische Details zu klären. Zilch sieht das Problem in letzter Instanz beim BfArM: "Solche Fehler bei der Sicherheit dürfen (...) keinesfalls weiter unentdeckt bleiben.“

Update 13.10.20, 13:24: Inhaltliche Ergänzung – die Lücken wurden rechtzeitig vor der noch anstehenden erstmaligen App-Verschreibung/-Nutzung geschlossen. (ovw)