Seit knapp zwei Jahren werden digitale Gesundheitsanwendungen – kurz DiGA genannt – von den Kassen erstattet. Ein Knackpunkt scheint aber die Sicherheit der von den Apps verwendeten Gesundheitsdaten zu sein. Erst im Juni wurden Sicherheitslücken bei drei Anwendungen entdeckt. Die gute Nachricht: Ab 2023 gelten höhere Datenschutzstandards.
33 DiGA, die auf Rezept verordnet werden können, sind derzeit im DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) gelistet. Sie können von Ärzten und Psychotherapeuten verschrieben werden, um bei der Erkennung und Behandlung von Krankheiten oder z. B. der individuellen Umsetzung von Behandlungsprozessen zu unterstützen. Damit sie dies können, müssen von den Apps gesundheitsbezogene Daten verarbeitet werden. Für die Aufnahme ins BfArM-Verzeichnis, was Voraussetzung für die Erstattungsfähigkeit ist, müssen daher Datenschutz und Informationssicherheit belegt werden.
So wird geprüft
Im Rahmen des DiGA-Antrags prüft das BfArM eigenen Aussagen zufolge die Plausibilität der vom Hersteller in den Formularen gemachten Angaben. Zudem werden über Testzugänge z. B. die Datenschutzerklärungen, die Authentisierungsmethoden und die Datenverbindungen geprüft. Die zuvor genannten Sicherheitslücken bleiben laut „Handelsblatt“ bei diesen Tests jedoch unentdeckt.
Gegenüber der Tagesschau räumt das BfArM zudem ein, dass eine „eigene technische Überprüfung“ nicht stattfindet. Es handele sich lediglich um eine Prüfung der eingereichten Unterlagen. Daher ist es auch wenig verwunderlich, dass bislang lediglich eine Anwendung allein aufgrund von mangelhaftem Datenschutz und Datensicherheit durch das BfArM abgelehnt wurde, IT-Experten jedoch erhebliche Sicherheitsmängel entdeckt haben.
Novego und Cankado PRO-React Onco: Zugriff auf Nutzerdaten möglich
Wie das „Handelsblatt“ im vergangenen Juni berichtete, hat das ehrenamtliche Kollektiv „Zerforschung“ auf einfachem Wege Zugriff auf sensible Nutzerdaten von „Novego“ (DiGA bei depressiven Episoden) und „Cankado PRO-React Onco“ (DiGA für Brustkrebspatientinnen) erlangt. Ein wesentliches Manko: Zum Zeitpunkt der Tests wiesen beide Anwendungen keine Zweifaktor-Authentifizierung auf.
Den Sicherheitsexperten war es dem IT- und Technik-Portal Golem.de zufolge z. B. möglich, auf Ergebnisse eines psychologischen Fragebogens (Novego) beziehungsweise auf Tagebuchdaten, Diagnosen sowie Arztberichte (Cankado) zuzugreifen. Dazu mussten die Experten im Falle von Novego lediglich die Nummern innerhalb einer URL für den Datenexport austauschen. Bei Cankado konnten die Experten unter anderem durch Anlegen eines Ärztekontos auf beliebige Patientendaten zugreifen.
Mehr zum Thema
Fünf weitere Apps
DiGA-Verzeichnis: Das sind die „Neuen“
„Vivira“ und „Selfapys“
Apps bei Rückenschmerzen und Depression nun dauerhaft im DiGA-Verzeichnis
DiGA-Update
M-Sense und Mika: Zwei Apps fallen aus dem DiGA-Verzeichnis
Laut Cankado-Geschäftsführer Timo Schinköthe wurde die Sicherheitslücke mittlerweile geschlossen. Dritte, außerhalb des Kollektivs „Zerforschung“, hätten keine Einsicht in die Daten erlangt. Und auch der Novego-Hersteller IVPNetworks gibt an, die entsprechenden Schwachstellen rasch behoben zu haben.
Bereits 2020 Sicherheitslücken aufgedeckt
IT-Sicherheitsberater Martin Tschirsich schätzt im Interview mit dem „Handelsblatt“, dass die meisten digitalen Gesundheitsanwendungen sicher sind. Allerdings seien ähnliche Mängel auch in der Vergangenheit bereits bei DiGA aufgetreten.
Noch bevor „Velibra“ (DiGA bei Angst und Panikstörungen) am 1. Oktober 2020 offiziell ins DiGA-Verzeichnis aufgenommen wurde, nahmen es Sicherheitsexperten unter die Lupe. Dabei entdeckten sie unter anderem, dass sich durch Zurücksetzen des Passworts feststellen ließ, welche E-Mail-Adressen bei Velibra registriert waren – und damit vermutlich die Anwendung aufgrund von psychischen Beschwerden nutzten. Auch war der Code zum Zurücksetzen des Passwortes zu diesem Zeitpunkt so kurz (4 Zeichen), dass er durch bloßes Ausprobieren ermittelt hätte werden können. Damit wäre der Zugriff auf das Nutzerkonto durch Unbefugte möglich gewesen, schlussfolgerte Golem.de.
Die Sicherheitslücken wurden laut Hersteller umgehend behoben. Dennoch zeigte dieser Fall bereits 2020, wie riskant eine mangelnde Überprüfung der DiGA für die Anwender sein kann.
Ab 2023 höhere Standards
Ab 2023 gelten höhere Datenschutzstandards für DiGA: Dann müssen die Anwendungen ein Datensicherheitszertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) nachweisen. Wenig später (ab 1. April 2023) ist zudem ein Datenschutz-Zertifikat nach Art. 42 DSGVO notwendig.
Quelle: Den ganzen Artikel lesen