Edupression
Hackerangriff auf Gesundheitsapp
Von: Britta Rybicki
Das österreichische Unternehmen SOFY gibt in einer Kundenmail einen Hack von Aktivisten bekannt, die auf personenbezogene Daten und Gesundheitsdaten Zugriff hatten.
IT-Sicherheit
Ethische Hacker haben Zugriff auf personenbezogene Daten und Gesundheitsdaten bei der App edupression.
Bild: dpa
Düsseldorf In der Nacht am 5. Mai erhielt Carolin Zimmer* eine E-Mail von der App edupression. Im Betreff stand „Sicherheitsinformationen an UserInnen“. In der Mitteilung wurde gemeldet, dass Aktivisten das Unternehmen aus Wien am 1. Mai auf eine Sicherheitslücke „bei Schnittstellen“ ihrer Gesundheitsapp hingewiesen haben. Behoben worden sei die Lücke „binnen weniger Stunden“, noch am selben Tag, stand außerdem in der Mail.
Ausgeschlossen wird, dass die Daten an Dritte weitergegeben worden sind. Österreichische Sicherheitsbehörden wurden informiert. Im Zusammenhang mit dem Aufzeigen der Sicherheitslücke sei es allerdings zu einer Einsicht und einem Abzug einiger Daten durch die Aktivisten gekommen. „Konkret betrifft dies Ihre Stammdaten (wie Name, Kundennummer, Nickname, E-Mail etc.) sowie Gesundheitsdaten aus der Applikation (wie insbesondere Log-Daten, Ablauf in Anwendung, Gamification-Punkte, Suizidgedanken vorhanden ja/nein)“, hieß es in der Mail.
Zimmer fühlt sich durch den Hinweis verunsichert: „Ich habe das Gefühl, dass eine fremde Person einen Einblick in mein Gehirn hat und all meine Gedanken kennt.“ Seit circa zwei Monaten trägt sie fast täglich ihre Stimmungslage in edupression ein. Dazu gehört, ob sie Minderwertigkeits- oder Schuldgefühle hatte oder sich energie- und lustlos fühlte.
Eingetippt habe Zimmer auch Medikamenteneinnahmen für ein Aufmerksamkeitsdefizitsyndrom (ADHS) und für Depressionen. „Ich möchte auf keinen Fall, dass diese sehr intimen Informationen über mich bei meinem Arbeitgeber landen“, sagt Zimmer*. Dass es sich bei den Angreifern um „ethische Hacker “und nicht um Kriminelle handelt, nennt sie „Glück“.
Datenverwendung durch Hacker unwahrscheinlich
SOFY hält eine Verwendung der Daten durch die Hacker für unwahrscheinlich. Das Unternehmen habe am 4. Mai mit den Aktivisten gesprochen und darauf hingewiesen, Daten bei anderen Angriffen nie verwendet zu haben.
Dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zufolge handelt es sich bei den Hackern um die Gruppe Zerforschung. Den Aktivisten gelang es bereits im Sommer 2022, personenbezogene Daten bei digitalen Gesundheitsanwendungen (DiGA) einzusehen. Das sind durch das BfArM zugelassene Apps, die vom Arzt verordnet und von gesetzlichen Krankenkassen erstattet werden. Im Rahmen dieser Zulassung kontrolliert das BfArM auch die Datensicherheit einer App. Die von Zerforschung entdeckte Sicherheitslücke blieb allerdings unentdeckt. Edupression ist seit Dezember 2022 eine DiGA.
Wird das BfArM den Datenschutz schärfen?
Das BfArM bestätigte auf Anfrage, mit den Herstellern in Kontakt zu stehen. Neben der Behebung der Sicherheitslücke würde die IT-Sicherheit der App mit weiteren Tests kontrolliert werden. „Hinsichtlich der Nichtaufdeckung der Vulnerabilität durch den gesetzlich vorgeschriebenen und vom Hersteller durchgeführten Penetrationstest prüft das BfArM weitere Anforderungen an die Durchführung der Penetrationstests“, so die Behörde.
Insgesamt 2350 Menschen setzen die App Unternehmensangaben zufolge ein, davon sind 28 DiGA-Nutzer. „Der Großteil der User kommt aus Österreich; deutsche User sind nur in geringer Anzahl betroffen“, schreibt SOFY. Einen Nutzer hat SOFY jedenfalls verloren. Carolin Zimmer hat kein Vertrauen mehr in Gesundheitsapps.
*Name von der Redaktion geändert
Direkt vom Startbildschirm zu Handelsblatt.com
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×