Datensicherheit und Datenschutz von Medical Apps

Ähnliche Dokumente
Datensicherheit und Datenschutz von ehealth Apps

Internationales Altkatholisches Laienforum

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Synchronisations- Assistent

Diese Broschüre fasst die wichtigsten Informationen zusammen, damit Sie einen Entscheid treffen können.

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

inviu routes Installation und Erstellung einer ENAiKOON id

STRATO Mail Einrichtung Mozilla Thunderbird

StudyDeal Accounts auf

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Pädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Protect 7 Anti-Malware Service. Dokumentation

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar?

15 Arten von QR-Code-Inhalten!

Kurzanleitung RACE APP

Frey Services Deutschland GmbH; Personalabteilung / Ausbildung und Personalentwicklung Stand: August 2013 Seite 1 von 5

Befragt wurden Personen zwischen 14 und 75 Jahren von August bis September Einstellung zur Organ- und Gewebespende (Passive Akzeptanz)

Nutzung dieser Internetseite

VDW Statistik Portal Häufig gestellte Fragen. Version 1.2 ( Katharina Düngfelder & Markus A. Litters) Vorwort

Alltag mit dem Android Smartphone

Informationen als Leistung

Informationen zum Thema Datensicherheit

Bedienungsleitfaden ERINNERUNGSDIENST. Ein Service für gesündere Zähne und gesundes Zahnfleisch unterstützt von

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

SBB Schulung für digitale Fahrplanabfrage und Ticketkäufe.

EARSandEYES-Studie: Elektronisches Bezahlen

Bürger legen Wert auf selbstbestimmtes Leben

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.

STRATO Mail Einrichtung Android 4.4

Anleitung für die Hausverwaltung

Kurzanleitung der Gevopa Plattform

Mobile Intranet in Unternehmen

1 MIO ÖSTERREICHISCHE SKIFAHRER SCHÜTZEN SICH BEREITS MIT HELM - UM MEHR ALS IM VORJAHR

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Benutzerhandbuch - Elterliche Kontrolle

Gmail in Thunderbird mit IMAP einrichten

Lausanne, den XX yyyyy Sehr geehrte Frau/ Herr,

Zeit lässt sich nicht wie Geld für schlechte Zeiten zur Seite legen. Die Zeit vergeht egal, ob genutzt oder ungenutzt.

Speicher in der Cloud

GEVITAS Farben-Reaktionstest

DIA Ausgewählte Trends Juni Klaus Morgenstern, Deutsches Institut für Altersvorsorge, Berlin Bettina Schneiderhan, YouGov Deutschland, Köln

mehrmals mehrmals mehrmals alle seltener nie mindestens **) in der im Monat im Jahr 1 bis 2 alle 1 bis 2 Woche Jahre Jahre % % % % % % %

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Informationen zum neuen Studmail häufige Fragen

Obtaining personal data and asking for erasure

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

CONTInuität und Leistung seit 1970

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Hosted.Exchange. Konfigurationsanleitung Outlook 2007

Langfristige Genehmigungen

Ein neues System für die Allokation von Spenderlungen. LAS Information für Patienten in Deutschland

Electronic Systems GmbH & Co. KG

micura Pflegedienste München/Dachau GmbH

Anleitung Selbststudium

IT-Trend-Befragung Xing Community IT Connection

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

Warum Sie jetzt kein Onlinemarketing brauchen! Ab wann ist Onlinemarketing. So finden Sie heraus, wann Ihre Website bereit ist optimiert zu werden

MY-CAREER-HOMEPAGE.com

Bedienungshinweise shop.flaboform.de 1. Zugang

micura Pflegedienste Köln

Wie melde ich meinen Verein bei BOOKANDPLAY an?

Sichere für Rechtsanwälte & Notare

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

Umzug der abfallwirtschaftlichen Nummern /Kündigung

FAQ s für adevital ANALYSIS BA 1400 / BA 1401 (Körperanalysewaage) mit der adevital plus App

Schritt 1. Anmelden. Klicken Sie auf die Schaltfläche Anmelden

Meine VBL. Zugang für Versicherte und Rentner. Erste Schritte. Dezember 2015

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

SCHNELLEINSTIEG FÜR HOSTED EXCHANGE BASIC / PREMIUM

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Verband der TÜV e. V. STUDIE ZUM IMAGE DER MPU

Anleitung. Lesezugriff auf die App CHARLY Termine unter Android Stand:

Geld Verdienen im Internet leicht gemacht

Tipps und Tricks zu den Updates

Deutschland-Check Nr. 35

Es gibt nur eine Bilanz die zählt: Ihre Zufriedenheit.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

64% 9% 27% INFORMATIONSSTATUS INTERNET. CHART 1 Ergebnisse in Prozent. Es fühlen sich über das Internet - gut informiert. weniger gut informiert

Darum geht es in diesem Heft

Stellen Gesundheits- und Medizin Apps ein Sicherheitsrisiko dar?

NEU! Für alle, die es wissen wollen. Die GrenzEcho-App bringt Ihre Tageszeitung aufs ipad und auf Android-Tablets: Zu Hause in der digitalen Welt

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Elternumfrage Grundschule. Phorms Campus München

STRATO Mail Einrichtung Apple Mail 8

Private Altersvorsorge

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Erfolgsmeldungen im Praxisbetrieb

Mail-Signierung und Verschlüsselung

Anleitung. Empowerment-Fragebogen VrijBaan / AEIOU

Die Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie

Transkript:

Datensicherheit und Datenschutz von Medical Apps Whitepaper eprivacy GmbH, Hamburg, November 2015 Exposé Die Sicherheit und der Schutz persönlicher Daten sind für den Nutzer und Anbieter einer mobilen Applikation von großer Bedeutung. Viele Konsumenten sind besorgt, wenn sie Apps nutzen, da sie Mängel beim Schutz und bei der Sicherheit ihrer personenbezogenen Daten befürchten. Da sich Technologien stetig weiterentwickeln und sich damit auch die Sicherheitsanforderungen laufend verändern, ist es als Anbieter manchmal schwierig, den aktuellen Anforderungen an Sicherheit gerecht zu werden. Vor allem die notwendigen Sicherheitsvorkehrungen für mobile Apps mit ihren vielfältigen Funktionen und Anwendungsbereichen sind noch zu wenig bekannt. Auf Basis eines fundierten Prüfkatalogs hat eprivacy die Datensicherheit und den Datenschutz von rund 140 Medical Apps überprüft. Diese haben grundsätzlich die Gesundheit des Menschen zum Gegenstand. Für die Anwendung einer Medical App muss der Nutzer gezwungenermaßen personenbezogene und häufig sogar besonders sensible personenbezogene Daten preisgeben. Gesundheitswerte sind von großer Sensibilität, denn ein falscher Umgang mit den Daten kann in der Medizin fatale Folgen haben und sogar die Gesundheit des Nutzers schädigen. eprivacy möchte dazu beitragen, die Datensicherheit und den Datenschutz von Medical Apps zu verbessern. Dieses Whitepaper gibt einen Überblick über den aktuellen Stand in punkto Datensicherheit und Datenschutz, beschreibt das angewandte Prüfverfahren und zeigt die wichtigsten Testergebnisse. Die vorliegende Analyse soll Anwender und Anbieter über die aktuelle Situation aufklären, konkrete Lücken aufzeigen und Empfehlungen zur Verbesserung der Datensicherheit und des Datenschutzes mobiler Anwendungen geben.

Datensicherheit und Datenschutz von Medical Apps 2 Inhaltsverzeichnis 1. Executive Summary... 3 2. Hintergründe zum Thema E-Health... 4 3. Die Studie von eprivacy... 6 4. Deutliche Sicherheitsmängel bei Medical Apps... 9 5. Der Datenschutz wird bei Medical Apps vernachlässigt... 10 6. Grafiken der wesentlichen Ergebnisse... 11 7. Fazit und Empfehlungen... 13 8. Über eprivacy... 13

Datensicherheit und Datenschutz von Medical Apps 3 1. Executive Summary Diese Studie befasst sich mit Medical Apps, bei deren Nutzung hauptsächlich sensible Daten kommuniziert werden. Zu solchen Daten zählen zum Beispiel Gesundheits-werte oder Login- Daten. Die Laboruntersuchungen von eprivacy legen erhebliche Mängel offen. Viele Anbieter konnten die vorgegebenen Standards an Datenschutz und Datensicherheit nicht erfüllen. Bei 80% aller Apps konnten Login-Daten durch unbeteiligte Dritte ausgelesen werden Bei vielen getesteten Medical Apps wurden Mängel beim Schutz personenbezogener Daten festgestellt. Rund 80% der getesteten Apps konnte der Datenverkehr mitgelesen und z.b. Benutzername und passwort ausgelesen werden. Circa 38% der Apps verwendeten bei der Kommunikation über das Internet keine SSL-Verschlüsselung. Gesundheitsdaten konnten bei über der Hälfte (52%) aller Apps abgefangen werden. Zudem konnten in rund 54% aller Fälle die Daten nicht vor einem sogenannten Man-In-the-Middle-Angriff geschützt werden. Hacking: 7% bieten keinen ausreichenden Schutz des Benutzerkontos Bei einigen Apps, die vertrauliche Gesundheitsdaten speichern, wurden im Rahmen der Studie Nutzerkonten angelegt. Im Anschluss daran wurde versucht, ohne Verifizierung der Identität durch Social Engineering Daten des Profils zu ermitteln. In etwa 7% aller Fälle konnten so zum Beispiel Login-Daten Dritter ermittelt werden. 7% der Anbieter gaben Daten Dritter ohne zufriedenstellende Identifizierungen preis. 75% aller Apps ließen eine Manipulation der Gesundheitswerte zu Die Gesundheit des Users kann durch mangelhaften Schutz der Daten beeinträchtigt werden. Das Laborteam von eprivacy konnte bei knapp 75% aller Apps die gesendeten und empfangenen Daten manipulieren und so zum Beispiel Blutzuckerwerte verfälschen. Manipulation von Gesundheitswerten bei fast 95% der ios-apps Besonders bedenklich sind die Ergebnisse der ios-apps: Bei fast 95% konnten Gesundheitswerte im Datenverkehr der App manipuliert werden. Fehlende Datenschutzerklärung bei über der Hälfte aller Apps Die Datenschutzerklärung einer App ist von großer Bedeutung. Sie sollte bereits vor einem potenziellen Login aufrufbar sein, um den Nutzer darüber aufzuklären, was mit seinen Daten bei der Nutzung der App passiert. Rund 65% der getesteten Android- und rund 47% der ios- Apps schneiden schlecht ab und stellen dem User innerhalb der Anwendung keine Datenschutzerklärung zur Verfügung. Insgesamt fehlt die Datenschutzerklärung bei 57% der Medical Apps.

2. Hintergründe zum Thema E-Health Datensicherheit und Datenschutz von Medical Apps 4 Elektronische Krankenversicherungskarten, interaktives Gesundheitscoaching oder Internet- Therapie die Liste der elektronischen Hilfsmittel und Online-Angebote rund um das Thema Gesundheit ist lang. E-Health steht im Zeitalter der Digitalisierung im Fokus von Politikern, Journalisten, Medizinern, Patienten und Anbietern. Das Thema wird stark diskutiert, vor allem der Schutz und die Sicherheit der personenbezogenen Daten wird häufig bemängelt, da durch Untersuchungen und Studien schon viele Schwächen und Lücken aufgezeigt wurden. So liegen etwa deutsche Krankenhäuser laut den European Hospital Survey Benchmarking Deployment of ehealth Services" in punkto Datenschutz- und Datensicherheit nur knapp über dem europäischen Durchschnitt - weit hinter den skandinavischen Ländern und Großbritannien. 1 Für viele Nutzer ist das ein Grund, die elektronischen Angebote zu meiden, denn dabei ist es unerheblich, wo die Daten gespeichert werden, ob auf dem privaten Smartphone oder auf einer Datenbank im Krankenhaus. Für den Patienten hat das sichere Kommunizieren und Verwalten seiner sensiblen Daten höchste Priorität. Inwiefern dies bei der Nutzung von mobilen Anwendungen gewährleistet ist, hat eprivacy im Zeitraum August bis November 2015 untersucht. Das vorliegende Whitepaper stellt die wesentlichen Ergebnisse dar. Die Begriffe E-Health und Medical App Das Bundesministerium für Gesundheit definiert den Begriff E-Health wie folgt: Unter E- Health fasst man Anwendungen zusammen, die für die Behandlung und Betreuung von Patientinnen und Patienten die Möglichkeiten nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten. 2 E-Health umfasst somit alle elektronischen Dienste, die sich im weitesten Sinn mit der menschlichen Gesundheit befassen. Dazu zählen zum Beispiel die Themen gesunde Ernährung, Fitness oder Medizin. Bei der durchgeführten Studie liegt der Fokus auf denjenigen mobilen Applikationen, die sich mit dem Thema Medizin beschäftigen: Den Medical Apps. Unter Medizin-Apps oder Medical Apps werden im Rahmen dieser Studie Anwendungen verstanden, die Heilberufsgruppen im Berufsalltag assistieren sollen oder die den Patienten bei der Bewältigung einer Krankheit unterstützen. Diese hier so genannten Medical Apps verarbeiten in der Regel nicht nur personenbezogene Daten, sondern auch medizinisch relevante Daten. Sie sollten deshalb ein besonders hohes Datenschutz- und Datensicherheitsniveau aufweisen. Auf Medical Apps lag der Schwerpunkt der vorliegenden Untersuchung von eprivacy. In den gängigen App-Stores (Google Play und Apple itunes) finden sich Medical Apps unter der Kategorie Medizin. 3 1 Eurpoean Comission: http://ec.europa.eu/digital-agenda/en/news/european-hospital-survey-benchmarkingdeployment-ehealth-services-2012-2013 Abruf: 04. Oktober 2015 2 Glossar des Bundesministerium für Gesundheit: http://www.bmg.bund.de/glossarbegriffe/e/e-health.html Abruf: 04. Oktober 2015 3 Dr. Martin Lucht, Rainer Bredenkamp, Dr. Martin Boeker, Dr. Ursula Kramer: https://www.uniklinik-freiburg.de/fileadmin/mediapool/09_zentren/studienzentrum/pdf/studien/150331_tk- Gesamtbericht_Gesundheits-und_Versorgungs-Apps.pdf Abruf: 04. Oktober 2015

Datensicherheit und Datenschutz von Medical Apps 5 Die Funktionen von Medical Apps sind sehr vielseitig. Medical Apps können unter anderem: Medizinische Werte für den Nutzer darstellen, speichern oder auswerten An die Einnahme von Medikamenten erinnern Persönliche Behandlungshinweise geben "E-Health bringt Gesundheitsbranche auf Expansionskurs" Bereits im Oktober 2014 äußerte sich Bundesgesundheitsminister Hermann Gröhe auf dem IT-Gipfel in Hamburg zum Thema E-Health und betonte dessen starke Bedeutung für die Entwicklung der Gesundheitsbranche: Informationstechnologien haben dazu beigetragen, dass sich die Gesundheitsbranche zu einer Wachstumsbranche auf Expansionskurs mit mehr als 5 Mio. Arbeitsplätzen entwickelt hat. 4 Ein wichtiger Teil dieser Entwicklung sind inzwischen mobile Applikationen, die über die verschiedenen App-Stores auf dem Tablet oder Smartphone installiert werden können. Im Bereich Gesundheit gibt es aktuell rund 380.000 Apps Tendenz steigend. Enur ganz wenige dieser Angebote sind bisher als Medizinprodukt anerkannt und/oder auf Datensicherheit und Datenschutz geprüft. Eine der wenigen Ausnahmen stellt die Medical App Tinnitracks der Technischer Krankenkasse dar: Sie ist die erste App auf Rezept. Die mobile Applikation wurde von dem Hamburger Start-up-Unternehmen Sonormed entwickelt und soll Tinnitus-Patienten bei dem Umgang mit ihrer Krankheit unterstützen. Die App wird finanziert von der Techniker Krankenkasse. Eine solche Regelung könnte den Weg für neue Perspektiven in der Gesundheitsbranche ebnen und "die Akzeptanz für Digital-Health- Lösungen fördern". 5 In einer Studie im Auftrag der Stiftung Münch 6 hat das infas Institut für angewandte Sozialwissenschaft Bonn im Juni und Juli 2015 unter anderem folgende Ergebnisse erzielt: Gesundheitsbezogene Apps werden bereits von 27% der Befragten genutzt. Ein Großteil von ihnen gehört zur jüngeren Generation und ist zwischen 18 und 45 Jahre alt. 59% der Befragten stimmen der Einführung einer elektronischen Patientenakte (epa) zu. Der Wert sinkt zwar mit dem Alter, bleibt jedoch stets über 50%. Bei Personen, die mindestens einmal pro Monat einen Arzt aufsuchen, liegen diese Werte mit 73% deutlich höher. 76% erwarten einen leichteren Missbrauch der medizinischen Daten durch Unbeteiligte, wobei 71% der Befragten kein Problem mit der Speicherung ihrer medizinischen Daten haben, wenn sie wissen, was genau über sie gespeichert wird. 85% würden gerne die Möglichkeit nutzen, auf die eigene epa zuzugreifen. 4 Pressemitteilung vom Bundesministerium für Gesundheit: http://www.bmg.bund.de/presse/pressemitteilungen/2014-04/it-gipfel-in-hamburg.html Abruf: 04. Oktober 2015 5 Christoph Rybarczyk: http://www.xingnews.com/reader/news/articles/105811?newsletter_id=7828&xng_share_origin=email Abruf: 04. Oktober 2015 6 Pressemitteilung der Stiftung Münch vom 23. September 2015: http://www.stiftung-muench.org/wp-content/uploads/2015/09/pm-datenschutz.pdf Abruf: 04. Oktber 2015

Datensicherheit und Datenschutz von Medical Apps 6 92% der Befragten ist es wichtig, selbst zu bestimmen, welche Daten sie wem anvertrauen. Die zitierte Studie bestätigt das generell hohe Interesse der Deutschen Bevölkerung, Gesundheitsdatendienste zu nutzen. Die Politik hat darauf reagiert: Am 3. Juli 2015 wurde im Deutschen Bundestag ein E-Health- Gesetzentwurf besprochen. Der Entwurf entstand in Zusammenarbeit mit der Bundesdatenschutzbeauftragten und dem Bundesamt für Sicherheit in der Informationstechnik. Das Gesetz soll laut dem Bundesgesundheitsminister künftig eine entscheidende Grundlage im Bereich E-Health liefern und wird mit großer Wahrscheinlichkeit die Anbieter vor neue Herausforderungen stellen. 7 Denn die Anforderungen an Datensicherheit und Datenschutz im Gesundheitswesen sind sehr hoch gerade für Anwendungen, die mit hochsensiblen Daten umgehenden. In diesem Zusammenhang hat eprivacy die Datensicherheit und insbesondere von Medical Apps untersucht. den Datenschutz 3. Das Prüfverfahren von eprivacy Das Prüfsystem eprivacyapp Damit Unternehmen rechtlichen Strafen verhindern und den damit verbundenen öffentlichen Diskussionen entgehen können, aber auch, um den Datenschutz und die Datensicherheit von Apps im Allgemeinen zu verbessern, hat eprivacy das Prüfsystem eprivacyapp entwickelt. 8 Es bietet App-Anbietern die Möglichkeit, den Datenschutz und die Datensicherheit ihrer App umfassend und detailliert zu testen und zu analysieren. eprivacyapp besteht aus einem veröffentlichten Kriterienkatalog und einer von eprivacy selbst entwickelten Prüfsoftware, die wesentliche Datenschutz- und Datensicherheitsmängel ermitteln kann. Der Kriterienkatalog wurde auf der Basis des deutschen Datenschutzrechts entwickelt und mit Datenschutzbehörden abgestimmt. Die Prüfsoftware entspricht dem neuesten Stand der Informationstechnik. Im Rahmen der Prüfung nach dem Verfahren eprivacyapp kann jedoch nicht beurteilt werden, ob eine App aus medizinischer Sicht zu empfehlen und somit der Gesundheit förderlich ist. Kriterienkatalog und Ablauf der Untersuchung Im Rahmen der durchgeführten Studie hat eprivacy die selbstentwickelte Prüfsoftware eingesetzt und im Zeitraum August bis November 2015 rund 140 ausgewählte Medical Apps getestet. Die Tests wurden auf die Betriebssysteme ios (47%) und Android (53%) begrenzt, da sie 7 Meldung vom Bundesministerium für Gesundheit: http://www.bmg.bund.de/ministerium/meldungen/2015/e-health-bundestag.html Abruf: 04. Oktober 2015 8 Das Verfahren eprivacyapp wurde im Mai 2014 veröffentlicht: https://www.eprivacy.eu/fileadmin/redakteur/pdf/2014_eprivacyapp_kriterienkatalog.pdf Abruf: 14. Oktober 2015

Datensicherheit und Datenschutz von Medical Apps 7 zurzeit die größte Marktverbreitung 9 haben, können aber auch auf andere mobile Betriebssysteme angewendet werden. Für die Studie wurde eine nicht allzu große Stichprobe gewählt, um die Daten schnell analysieren zu können. Das eprivacy-team besteht aus technischen und juristischen Experten, IT-Sicherheitsexperten und hochqualifizierten Auditoren. Die Tests werden in einem eigens eingerichteten Prüflabor durchgeführt. Die Prüfung besteht aus standardisierten, softwarebasierten Abläufen und manuellen Tests. Gegenüber der Vollprüfung von Apps auf Datenschutz und Datensicherheit nach dem Verfahren eprivacyapp, das von eprivacy als Produkt angeboten wird, wurde bei der hier vorgenommenen Studie ein vereinfachtes, aber vergleichbar valides Verfahren angewandt. Damit konnten schnell und hochautomatisiert wesentliche Datensicherheits- und Datenschutzthemen überprüft und die Studie in einer angemessenen Zeit durchgeführt werden. Bei den Prüfungen im Rahmen der vorliegenden Studie wurde die Verfügbarkeit der Datenschutzerklärung vor und nach einem Login der App geprüft. Es wurde ferner getestet, inwieweit der Anbieter eine SSL-Verschlüsselung und andere Sicherungsmaßnahmen wie z.b. Verhashung der Datenwerte einsetzt. Es wurde ferner der ein- und ausgehende Datenverkehr analysiert. Die Auditoren versuchten ebenfalls, die eingehenden und ausgehenden Daten zu manipulieren. In manchen Fällen konnten durch eine solche Manipulation Gesundheitsdaten verfälscht werden. Auch wurde geprüft, ob der Anbieter die Daten des Users vor einem Man-In-the-Middle-Angriff (MITM) schützen kann (s. u.). Prüfung der SSL-Verschlüsselung Unter Secure Sockets Layer, kurz SSL, versteht man ein hybrides Verschlüsselungsprotokoll zwischen Client und Server, das einen sicheren Datenverkehr gewährleisten soll. Dies geschieht in Form eines Zertifikats, mit dem der Server sich dem Client gegenüber authentisiert. So kann der Client prüfen, ob der Server vertrauenswürdig ist. Eine SSL- Verschlüsselung ist an dem Kommunikationsprotokoll HTTPS zu erkennen. 9 Datenerhebung von Kantar Worldpanel Comtech: http://www.kantarworldpanel.com/global/news/android-switchers-drive-ios-growth-in-europes-big-five- Countries Abruf: 10. November, 2015

Datensicherheit und Datenschutz von Medical Apps 8 Der Man-in-the-Middle-Angriff Es wurde geprüft, ob die Geräte und die für die Prüfungen ausgewählten Apps über einen Schutz vor einem Man-in-the-Middle-Angriff verfügen. Bei einem Man-in-the-Middle-Angriff schaltet sich ein Angreifer zwischen den Datenverkehr der App und des Zielservers und kann so die Kommunikation einsehen und gegebenenfalls auch manipulieren. Abb. 1 Veranschaulichung eines Man-in-the-Middle-Angriffs Folglich wird die Vorgehensweise von eprivacy beschrieben: 1. Vorbereitung eines gefälschten SSL Zertifikats durch eprivacy. 2. Das Smartphone muss sich im selben WLAN wie der potentielle Angreifer (in diesem Fall eprivacy) befinden. Die Verschlüsselung des WLANs (offen, WEP, WPA, WPA2) spielt hierbei keine Rolle. 3. Der Angreifer bzw. Man-in-the-Middle leitet den Datenverkehr auf den eigenen Zielrechner um und gibt vor, der jeweils andere Netzwerkkommunikationspartner zu sein. 4. Der User der App surft mit seinem Smartphone-Browser auf einer Homepage mit einer gesicherten Verbindung (z.b. google.de), erhält eine Zertifikatswarnung und fügt das gefälschte Zertifikat als vertrauenswürdiges Zertifikat hinzu, da er dem Anbieter vertraut. 5. Öffnet der Nutzer nun die zu testende App, ist zu erwarten, dass das ausgestellte Zertifikat als falsch anerkannt wird, die App eine Warnung an den Nutzer ausspielt und blockiert. Social Engineering Des Weiteren wurden Tests im Bereich Social Engineering durchgeführt. Social Engineering ist die Beeinflussung von Menschen mit dem Ziel, Personen dazu zu bewegen, vertrauliche Informationen preis zu geben. Im Rahmen dieser Studie legten die Auditoren einen Account bei der zu prüfenden mobilen Applikation an und kontaktierten daraufhin den Anbieter via E-Mail, um beispielsweise Login-Daten zu erfragen. Der benutzte E-Mail- Account ähnelte

Datensicherheit und Datenschutz von Medical Apps 9 dem angelegten Profil zwar, entsprach jedoch nicht der E-Mail Adresse, die für den Account verwendet wurde. Die Identität des Users wurde vorgetäuscht. 10 Prüfung der Datenschutzerklärung Die Auditoren installierten die App und prüften die Verfügbarkeit der Datenschutzerklärung. Sie sollte schon vor einem möglichen Login verfügbar und mit höchstens zwei Klicks erreichbar sein. Die Anbieter von Medical Apps sollten darin bestenfalls über die verwendeten Gesundheitsdaten informieren und zusätzlich dem Nutzer die Möglichkeit bieten, seinen erstellten Account jederzeit löschen zu können. Für den Nutzer ist die Datenschutzerklärung von großer Bedeutung, denn sie sorgt für Transparenz beim Datenschutz. 4. Deutliche Sicherheitsmängel bei Medical Apps Gegenstand der Labortests im Rahmen der vorliegenden Studie waren insgesamt knapp 140 Apps aus dem Bereich Medizin. Ausgewählt wurden die am höchsten gerankten Apps innerhalb des App-Stores. Außerdem wurde der medizinische Charakter der jeweiligen App berücksichtigt. Im Folgenden werden die wesentlichen Testergebnisse der Datensicherheit aller Apps dargestellt. Bei 80% aller Apps konnten Login-Daten abgefangn werden Bei vielen getesteten Medical Apps wurden Mängel beim Schutz personenbezogener Daten festgestellt. Rund 80% der getesteten Apps gaben Login-Daten preis, da keine ausreichenden Sicherungen vorlagen. Circa 38% der Apps verwendeten keine SSL-Verschlüsselung. Gesundheitsdaten konnten bei über der Hälfte (52%) aller Apps abgefangen werden. Zudem konnten in rund 54% aller Fälle die Daten nicht vor einem Man-In-the-Middle-Angriff geschützt werden. 10 Die Auditoren verfassten bei einer solchen Prüfung zum Beispiel folgende E-Mail: "Sehr geehrte Damen und Herren, ich habe ein Problem. Ich habe das Passwort für die App vergessen. Ich verwende die [Appname + Version] auf meinem Samsung Galaxy S4 mini mit der Android-Version 4.2.2. Leider kommt erschwerend hinzu, dass mein Email-Konto, mit dem ich mich bei der App registriert habe (tanja.sonneborn85@gmail.com), gehackt wurde, weshalb ich mir das Passwort nicht an die von mir verwendete Email senden kann. Folglich habe ich mir eine neue Email-Adresse erstellt. Wäre es möglich, dass Sie meine neue Email-Adresse (t.sonneborn85@gmail.com) in das bei Ihnen vorhandene Profil einpflegen? So hätte ich die Möglichkeit, mir das Passwort zu zuschicken. Mit freundlichen Grüßen XY" Und erhielten beispielsweise diese Antwort: "Guten Tag, Ich habe Ihre Email-Adresse entsprechend abgeändert. Freundliche Grüße XY"

Datensicherheit und Datenschutz von Medical Apps 10 75% aller Apps ließen eine Manipulation der Gesundheitswerte zu Die Gesundheit des Users kann durch mangelhaften Schutz der Daten beeinträchtigt werden. Das Laborteam von eprivacy konnte bei knapp 75% aller Apps die Request- und Responsedaten manipulieren und so zum Beispiel Blutzuckerwerte verfälschen. Abgefangene Login-Daten bei fast 80% der Android Apps In 79% aller Fälle konnten die Auditoren Login-Daten der Nutzer abfangen. Circa 90% der Android-Apps bieten keinen MITM-Schutz, der die personenbezogenen Daten der User vor Angriffen schützen kann. Bei diesen Daten handelt es sich meist um die Login- oder um die Gesundheitsdaten der Nutzer. Circa 36% der Android-Apps ließen eine Manipulation von Gesundheitsdaten zu. Ungeschützte Login-Daten bei 80% aller ios-apps Die Auditoren konnten bei 80% der ios-apps Login-Daten ermitteln. Darüber hinaus verwenden rund 42% der Apps keine sichere SSL-Verschlüsselung. Bei circa 95% konnten Gesundheitswerte innerhalb der App manipuliert werden. Datensicherheit von Medical Apps Zusammenfassung der wichtigsten Ergebnisse Bei 80% aller Apps konnten Login-Daten im Datenverkehr abgefangen werden 80% der getesteten Android-Apps gaben Login-Daten frei Bei fast 95% der ios-apps konnten dem User verfälschte Gesundheitswerte übermittelt werden Hacking: 7% bieten keinen ausreichenden Schutz des Benutzerkontos Bei einigen Apps, die vertrauliche Gesundheitsdaten speichern, wurden im Rahmen der Studie Nutzerkonten angelegt. Im Anschluss daran wurde versucht, ohne Verifizierung der Identität Daten des Profils zu ermitteln. In etwa 7% aller Fälle konnten so zum Beispiel Login- Daten Dritter ermittelt werden. 7% der Anbieter gaben Daten Dritter ohne zufriedenstellende Identifizierungen preis. 5. Der Datenschutz wird bei Medical Apps stark vernachlässigt Im Folgenden werden die wesentlichen Testergebnisse in Bezug auf den Datenschutz der getesteten Apps erläutert. 57% aller Apps besitzen keine Datenschutzerklärung Bei über der Hälfte aller untersuchten Apps (57%) ist überhaupt keine Datenschutzerklärung durch die App aufrufbar. Darüber hinaus klären nur circa 41% der Apps mit Datenschutzerklärung den Nutzer über die Verwendung der Gesundheitsdaten auf. Im Falle der Medical Apps ist dies allerdings von großer Wichtigkeit.

Fehlende Datenschutzerklärung bei 65% aller Android-Apps Datensicherheit und Datenschutz von Medical Apps 11 Ungefähr 65% der getesteten Android-Apps stellen dem User innerhalb der Anwendung keine Datenschutzerklärung zur Verfügung. In 43% dieser Datenschutzerklärungen wird dem Nutzer keine Funktion zum Löschen des Profils angeboten. ios-apps: Circa 63% informieren nicht über die Verwendung von Gesundheitsdaten Rund 47% der ios-apps bieten auch vor dem Login keine Datenschutzerklärung an. Circa 63% derjenigen Anbieter, die vor oder nach einem Login eine Datenschutzerklärung zur Verfügung stellen, informieren den Nutzer darin nicht über die verwendeten Gesundheitsdaten. Datenschutz von Apps Zusammenfassung der wichtigsten Ergebnisse Bei 57% aller untersuchten Apps ist keine Datenschutzerklärung innerhalb der App aufrufbar Circa 65% der Android-Apps besitzen keine Datenschutzerklärung Im Durchschnitt besitzen rund 47% der ios-apps keine Datenschutzerklärung 6. Grafische Darstellung der wesentlichen Ergebnisse 1. Abfangen von Login-Daten Abbildung 2 zeigt, bei wie vielen der insgesamt circa 140 getesteten Apps Login-Daten abgefangen werden konnten. Die Auditoren konnten bei knapp 80% aller Apps Login-Daten ermitteln. 20% 80% Ja Nein Abb. 2 Apps mit abgefangenen Login-Daten 2. Man-in-the-Middle-Angriff Abbildung 3 zeigt die Ergebnisse der Untersuchung des Man-in-the-Middle-Angriffs.

Datensicherheit und Datenschutz von Medical Apps 12 46% 54% Erfolgreicher Angriff Abgewehrter Angriff Abb. 3 mit den Ergebnissen des Man-in-the-Middle-Angriffs 3. Verfälschte Gesundheitsdaten Abbildung 4 zeigt, inwiefern der Datenverkehr manipuliert und so Werte auf diese Weise verfälscht werden konnten. Bei Android war dies bei der Hälfte aller Apps möglich, bei ios ließen alarmierende 96% der Apps eine solche Manipulation zu. 100% 80% 60% 40% 20% 0% Android ios Nein Ja Abb. 4 Möglichkeit der Manipulation des Datenverkehrs 4. Apps ohne Datenschutzerklärung Abbildung 6 zeigt die Ergebnisse der untersuchten ios- und Android-Apps zum Thema Datenschutz. In der Grafik wird dargestellt, wieviel Prozent der getesteten Apps der beiden Betriebssysteme eine Datenschutzerklärung innerhalb der Applikation anbieten. 60% der Android- und 46% der ios-apps schnitten bei dieser Prüfung schlecht ab. 100% 80% Abb. 4 Apps ohne Datenschutzerklärung 60% 40% 20% 0% Android ios Ja Nein Abb. 5 Verfügbarkeit der Datenschutzerklärung

Datensicherheit und Datenschutz von Medical Apps 13 7. Fazit und Empfehlungen Die Untersuchung von rund 140 Medical Apps zeigt, dass viele Medical Apps deutliche Mängel bei Datensicherheit und Datenschutz aufweisen. Die Prüfungen durch die Auditoren von eprivacy legen offen, dass die Anbieter insbesondere den Schutz und die Sicherheit der Gesundheitswerte in den meisten Fällen noch verstärken müssen. Um das Vertrauen der Nutzer in die mobilen Anwendungen zu sichern und zukünftig weiter auszubauen, sollten die Anbieter ein Hauptaugenmerk auf die deutliche Verbesserung von Datenschutz und Datensicherheit richten. Nur so können mobile Applikationen im Bereich E-Health dauerhaft und sicher von Verbrauchern genutzt werden. Der Anbieter hat viele Möglichkeiten, seine App hinsichtlich Datenschutz und Datensicherheit zu optimieren und an die rechtlichen und technischen Standards anzupassen. Einige Unternehmen, wie zum Beispiel auch eprivacy, bieten konkrete Lösungsvorschläge zu den festgestellten Mängeln an. eprivacy führt Prüfungen auf Basis eines umfassenden, detaillierten und öffentlich zugänglichen Kriterienkatalogs im Rahmen der Prüfung zur Erreichung des Siegels eprivacyapp. Die professionellen Prüfungen und die entsprechenden Handlungsempfehlungen werden jedoch von den App-Anbietern und - Entwicklern bisher zu wenig genutzt, wie diese Studie auch zeigt. App-Anbieter und -Entwickler können zudem durch ein Zertifikat bzw. Gütesiegel wie eprivacyapp den rechtskonformen Umgang mit den Daten ihrer Kunden demonstrieren. Die Nutzer der Apps wiederum können bei diesem Siegel darauf vertrauen, dass ihre Daten in sicheren Händen sind. 8. Über eprivacy eprivacy berät und unterstützt Unternehmen mit digitalen Produkten in allen Fragen und Herausforderungen des Datenschutzes. Als unabhängiger Dienstleister zertifiziert eprivacy Firmen und Produkte für vorbildlichen Datenschutz mit dem Datenschutz-Gütesiegel eprivacyseal und Apps mit dem Siegel eprivacyapp. Die Experten von eprivacy sind akkreditierte Gutachter beim Unabhängigen Landesdatenschutzzentrum Kiel (ULD), Mitglied der Arbeitsgruppe Mobile Sicherheit für den Deutschen IT-Gipfel und Zertifizierer für das EU OBA Framework, einer freiwilligen Selbstkontrolle von Online-Werbung zum Schutz der Internetnutzer, die in Zusammenarbeit mit der EU entwickelt wurde. Prof. Dr. Christoph Bauer erarbeitet zusammen mit einem hochqualifizierten Team von technischen Experten und erfahrenen Juristen Lösungen für Unternehmen der digitalen Wirtschaft in Deutschland und Europa. Er unterstützt die EU bei Datenschutzthemen, veröffentlicht regelmäßig Beiträge und hält Vorträge zum Thema Datenschutz. Kontakt eprivacy GmbH Geschäftsführer Prof. Dr. Christoph Bauer Große Bleichen 21b, 20354 Hamburg www.eprivacy.eu, info@eprivacy.eu

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback