ipopba - stock.adobe.com
Wie es um die Sicherheit von Gesundheits-Apps steht
Das BSI hat eine neue Technische Richtlinie zur Sicherheit von Digitalen Gesundheitsanwendungen veröffentlicht. Ein Blick auf Security und Datenschutz bei Gesundheits-Apps.
Sicherheitslücken bei Gesundheits-Apps, meldete zum Beispiel die Tagesschau Mitte Juni 2022. Die Meldung nimmt Bezug auf einen Bericht „Datenabfluss auf Rezept“ des Kollektivs „Zerforschung“.
Der Spitzenverband Digitale Gesundheitsversorgung meldete sich umgehend zu Wort. „Der Umgang mit Daten und insbesondere mit Gesundheitsdaten ist ein sensibles Feld. Das wissen wir und das wissen die bei uns organisierten Unternehmen“, erklärte Dr. Anne Sophie Geier, Geschäftsführerin des Spitzenverbandes Digitale Gesundheitsversorgung.
„Nutzerinnen und Nutzer von digitalen Gesundheitsanwendungen müssen sich darauf verlassen können, dass ihre Angaben in guten und sicheren Händen sind. Unser Arbeitskreis Datenschutz und Datensicherheit entwickelt deshalb gemeinsam mit unabhängigen Expert:innen Sicherheits-Leitfäden, Webinare und weitere Angebote für die tägliche Arbeit unserer Mitglieder“, so Dr. Anne Sophie Geier weiter.
„Alle Mitglieder des Verbandes nehmen die Vorgaben des Gesetzgebers sehr ernst. Mit verpflichtenden Penetrationstests und einem zertifizierten Informationssicherheits-Management-System nach ISO 27001 wurden diese erst kürzlich verschärft. Gleichzeitig ist Datensicherheit eine dauerhafte und immer wieder herausfordernde Aufgabe. Wir begrüßen Initiativen wie „Zerforschung“ und unsere Mitglieder gehen jedem Hinweis aus dieser Richtung nach. Auch die in diesem Fall beanstandeten Lücken wurden schnellstmöglich geschlossen und dank direkter Warnung konnte ein Schaden verhindert werden.“
Doch was sagen die Datenschützer und IT-Sicherheitsbehörden zu Gesundheits-Apps?
Vorsicht bei Gesundheits-Apps
Schutz und Sicherheit von Patientendaten müssen höchste Priorität haben“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz bereits im Jahr 2020.
Anfang Oktober 2020 hatte das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen.
Voraussetzung für die Aufnahme in das DiGA-Verzeichnis ist unter anderem, dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist.
Aber: Schon damals war bekannt geworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt wurde, IT-Sicherheitsexperten gravierende Datenschutzmängel festgestellt haben. So hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.
Der Stellvertretende Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Helmut Eiermann, erklärte dazu: „Bei Gesundheits-Apps müssen Schutz und Sicherheit der Daten höchste Priorität haben. Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, die genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen. Die Nutzerinnen und Nutzer von Gesundheitsanwendungen müssen darauf vertrauen können, dass ihre Daten wirksam geschützt werden. Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hatte in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt.
Nutzende offen für Datenweitergabe an Gesundheits-Apps
Wie wichtig der Datenschutz auch gerade bei Gesundheits-Apps ist, zeigt zudem die relativ hohe Bereitschaft der Nutzerinnen und Nutzer, entsprechenden Apps ihre Daten anzuvertrauen.
So ergab eine Umfrage des Digitalverbands Bitkom: 36 Prozent der Nutzerinnen und Nutzer von Fitness- und Gesundheits-Apps würden Echtzeitdaten wie ihre Herzfrequenz mit den Anbietern der Programme teilen. 35 Prozent könnten sich vorstellen, Informationen über ihren Körperzustand zu teilen, und 34 Prozent sind bereit dazu, ihre Aktivitätsdaten zur Verfügung zu stellen. Rund ein Viertel würde Einblick in den Kalorienhaushalt geben (26 Prozent) oder den aktuellen Standort teilen (25 Prozent). Und sechs Prozent haben Sympathien dafür, eine Auswertung ihrer DNA bereitzustellen.
Im Gegenzug für die Fitnessdaten erwarten die Befragten einen klaren Mehrwert: 54 Prozent der Nutzerinnen und Nutzer dieser Apps, die Daten teilen würden, könnten sich dies im Gegenzug für einen perfekt auf sie abgestimmten Ernährungsplan vorstellen. 45 Prozent erwarten sich ein besseres Nutzungserlebnis, und ein Drittel (33 Prozent) würde sich für die Daten einen optimal angepassten Trainingsplan erhoffen. Zudem würden 31 Prozent ihre Informationen teilen, um von der Krankenkasse Rabatte oder andere Vorteile zu erhalten. Mehr als jede zehnte dieser Personen (11 Prozent) würde eigene Daten sogar für Geld verkaufen.
Sicherheitsvorgaben für Gesundheits-Apps
Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3).
Die Anforderungen basieren laut BSI auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an.
Ohne Zweifel sind aktuelle Sicherheitsanforderungen und Zertifizierungsverfahren bei Gesundheits-Apps nicht nur wünschenswert, sondern unabdingbar. Die bisher bekannt gewordenen Sicherheitslücken bei Medizin-Apps unterstreichen den Bedarf für regelmäßige Prüfungen der App-Sicherheit. Es ist sehr zu begrüßen, dass nun entsprechende Grundlagen gelegt sind.