Suchen

Digitale Gesundheitsanwendungen im Test Schwachstellen bei vielen Medizin-Apps

| Autor: Julia Mutzbauer

Die Corona-Pandemie hat die Entwicklung von digitalen Gesundheitsanwendungen weiter vorangetrieben. Doch wie sieht es dabei mit der Sicherheit aus? Aus einer Studie des Beratungs- und Dienstleistungsunternehmens Intertrust geht hervor: 71 Prozent der getesteten Gesundheits-Apps weisen mindestens eine gravierende Schwachstelle auf.

Firmen zum Thema

In einer Gesundheits-App-Studie von Intertrust fielen 91 Prozent der untersuchten Anwendungen bei den kryptografischen Tests durch
In einer Gesundheits-App-Studie von Intertrust fielen 91 Prozent der untersuchten Anwendungen bei den kryptografischen Tests durch
(© Denys Prykhodov – stock.adobe.com)

Für den „2020 Security Report on Global mHealth Apps“ wurden 100 weltweit öffentlich verfügbare Medizin-Apps in einer Reihe von Kategorien getestet – darunter Telemedizin, Medizinprodukte, Health Commerce und COVID-Tracking –, um kritische Bedrohungen aufzudecken. Demnach fallen 91 der untersuchten Apps bei den kryptografischen Tests durch. Bei 71 Prozent wurden Fehler festgestellt, die ein hohes Risiko für Organisationen im Gesundheitswesen und deren Patienten darstellen. Insgesamt wurden 741 Schwachstellen in den 100 Apps entdeckt.

Betrachtet man die verschiedenen mHealth-App-Kategorien, so hatten Apps für Telemedizin und Patienten Engagement den größten Anteil mit mindestens einer schwerwiegenden Schwachstelle (80,3 Prozent). Darauf folgten Health-Commerce-Apps (80 Prozent) und Apps für medizinische Geräte (45,5 Prozent). Überraschenderweise wiesen COVID-Tracking-Apps den geringsten Prozentsatz mit einer schwerwiegenden Schwachstelle auf (38,5 Prozent). Jedoch legen 85 Prozent der Tracking-Apps Daten offen, heißt es in der Studie.

Wie sich weiterhin ergeben hat, weisen Android-Apps weit mehr Probleme auf als iOS-Apps. 28 Prozent der iOS-basierten Apps haben Schwächen in den Verschlüsselungsverfahren, während dies bei Android-basierten Apps sogar zu 34 Pozent der Fall war.

Nach den Aussagen der Studien-Autoren können Cyberkriminelle in diesen Fällen die Verschlüsselung der getesteten Apps leicht umgehen. Schwerwiegende Folgen sind nicht auszuschließen: So besteht das Risiko, dass vertrauliche Patientendaten ausgelesen oder manipuliert werden. Dabei hätten 83 Pozent der schwerwiegenden Bedrohungen mithilfe einer In-App Protection verhindert werden können, heißt es weiter.

Die Studie im Urteil von IT-Sicherheitsexperten

„Bei der Entwicklung von Apps liegt das Hauptaugenmerk auf Benutzerfreundlichkeit und Funktionalität. Leider wird Sicherheit immer noch als Hemmnis oder einschränkender Faktor betrachtet “, erklärt Boris Cipot, Senior Sales Engineer beim Software-Hersteller Synopsys. „Nicht wenige Unternehmen kämpfen, trotz bester Absichten, oft mit einer Vielzahl von Richtlinien für die sichere Kodierung.“ Hierfür würden sie spezifische Codeanalysen verwenden und eine vollständige Software Composition Analysis (SCA) durchführen, um zu prüfen, ob die Codes von Drittanbietern anfällig seien.

„Viele Sicherheitsüberprüfungen werden zum Ende des Entwicklungszyklus durchgeführt und fungieren während der Testphase als Endkontrolle. Das setzt Sicherheitsteams stark unter Druck, Probleme schnell zu identifizieren und mit den Entwicklungsteams vor der Veröffentlichung des Produkts an einer Lösung zu arbeiten. In solchen Fällen können die im Bericht beschriebenen Probleme tatsächlich auftreten“, so der Experte weiter.

Dabei lägen die Ursachen für die identifizierten Probleme nicht immer bei den App-Entwicklern. Beispielsweise, wenn ein Problem mit dem Betriebssystem vorliege oder wenn die Kommunikationstechnologie eine Schwachstelle aufweise. Boris Cipot fordert jedoch: „Medizinische Apps müssen Schutzmechanismen integrieren, die solche Probleme so weit als möglich ausschließen. Der Schutz der Daten durch korrekte Verschlüsselung, die Überwachung der Schnittstellenkommunikation und das Blockieren verdächtiger Aktivitäten sollten bereits Teil des App-Designs sein“.

Sascha Spangenberg, Senior Sales Engineer beim IT-Security-Anbieter Lookout bringt es auf den Punkt: „Dieser Report zeigt einmal mehr, dass zahlreiche mobile Gesundheits-Applikationen nicht den aktuellen Sicherheitsstandards entsprechen! Wenn sich die IoT-Kaffeemaschine zuhause durch einen Netzwerkangriff selbständig macht, ist das noch als begrenzt kritisch zu betrachten.“ Aber wenn sich eine solche Atacke gegen ein Gerät in einer Klinik richte, das bei einer Operation zum Einsatz komme, könnte das durchaus lebensbedrohlich für einen Patienten sein.

Worin liegen die Ursachen für diese Risiken? Spangenberg: „Oftmals in einem zu niedrigem Sicherheits-Budget, aber häufig sind auch App-Entwickler nicht auf mobile Endgeräte spezialisiert und zu wenig mit den erforderlichen Sicherheitsvoraussetzungen vertraut.“

Deshalb macht der Security-Fachmann auf „geeignete Tools, die solche Schwachstellen aufdecken und zeigen, ob eine Applikation eine aktuelle TLS-Version oder Certificate Pinning verwendet“ aufmerksam. Spangenberg resümiert: „Ein Schwachstellen-Management sollte zudem auf Lücken in den Applikationen sowie im Betriebssystem angewendet werden. Angreifer können, wie aufgezeigt, nicht nur über die Applikationen, sondern auch über Geräte-Schwachstellen eindringen.“

(ID:46906716)

Über den Autor

 Julia Mutzbauer

Julia Mutzbauer

Redaktion, eGovernment Computing