Whitepaper: Datensicherheit und Datenschutz von Medical Apps

Diese Studie befasst sich mit Medical Apps, bei deren Nutzung hauptsächlich sensible Daten kommuniziert werden. Zu solchen Daten zählen zum Beispiel Gesundheits-werte oder Login- Daten. Die Laboruntersuchungen von ePrivacy legen erhebliche Mängel offen. Viele Anbieter konnten die vorgegebenen Standards an Datenschutz und Datensicherheit nicht erfüllen. 

Bei 80% aller Apps konnten Login-Daten durch unbeteiligte Dritte ausgelesen werden 

Bei vielen getesteten Medical Apps wurden Mängel beim Schutz personenbezogener Daten festgestellt. Rund 80% der getesteten Apps konnte der Datenverkehr mitgelesen und z.B. Benutzername und –passwort ausgelesen werden. Circa 38% der Apps verwendeten bei der Kommunikation über das Internet keine SSL-Verschlüsselung. Gesundheitsdaten konnten bei über der Hälfte (52%) aller Apps abgefangen werden. Zudem konnten in rund 54% aller Fälle die Daten nicht vor einem sogenannten Man-In-the-Middle-Angriff geschützt werden. 

Hacking: 7% bieten keinen ausreichenden Schutz des Benutzerkontos 

Bei einigen Apps, die vertrauliche Gesundheitsdaten speichern, wurden im Rahmen der Studie Nutzerkonten angelegt. Im Anschluss daran wurde versucht, ohne Verifizierung der Identität durch Social Engineering Daten des Profils zu ermitteln. In etwa 7% aller Fälle konnten so zum Beispiel Login-Daten Dritter ermittelt werden. 7% der Anbieter gaben Daten Dritter ohne zufriedenstellende Identifizierungen preis. 

75% aller Apps ließen eine Manipulation der Gesundheitswerte zu 

Die Gesundheit des Users kann durch mangelhaften Schutz der Daten beeinträchtigt werden. Das Laborteam von ePrivacy konnte bei knapp 75% aller Apps die gesendeten und empfangenen Daten manipulieren und so zum Beispiel Blutzuckerwerte verfälschen. 

Manipulation von Gesundheitswerten bei fast 95% der iOS-Apps 

Besonders bedenklich sind die Ergebnisse der iOS-Apps: Bei fast 95% konnten Gesundheitswerte im Datenverkehr der App manipuliert werden. 

Fehlende Datenschutzerklärung bei über der Hälfte aller Apps 

Die Datenschutzerklärung einer App ist von großer Bedeutung. Sie sollte bereits vor einem potenziellen Login aufrufbar sein, um den Nutzer darüber aufzuklären, was mit seinen Daten bei der Nutzung der App passiert. Rund 65% der getesteten Android- und rund 47% der iOS- Apps schneiden schlecht ab und stellen dem User innerhalb der Anwendung keine Datenschutzerklärung zur Verfügung. Insgesamt fehlt die Datenschutzerklärung bei 57% der Medical Apps.