Déjà-vu: Hacker offenbaren Sicherheitslücken in Depressions-App
Das Kollektiv Zerforschung konnte über eine Sicherheitslücke in der österreichischen Depressions-App Edupression auf sensible Gesundheitsdaten zugreifen.
Das Kollektiv Zerforschung hat Sicherheitslücken in der digitalen Gesundheitsanwendung (DiGA) Edupression gefunden. Zerforschung habe den Hersteller Sofy GmbH am 1. Mai auf die Sicherheitslücke "bei Schnittstellen" von Edupression hingewiesen. Nach Angaben des Unternehmens sei die Lücke daraufhin innerhalb weniger Stunden geschlossen worden. Die österreichische Datenschutzbehörde ist informiert, wie das Handelsblatt berichtet.
Ein Team um IT-Sicherheitsexpertin Lilith Wittmann erlangte unter anderem Zugriff auf Namen, Kundennummern, Mail-Adressen und Gesundheitsdaten – etwa Informationen zur Medikamenteneinnahme und zur Stimmung.
Das für die Zulassung der verschreibungspflichtigen DiGA – der "Apps auf Rezept" – zuständige Bundesamt für Arzneimittel und Medizinprodukte (BfArM) prüft dem Handelsblatt zufolge "weitere Anforderungen an die Durchführung der Penetrationstests". Derzeit verfüge die vorläufig bis zum 25. August 2023 im DiGA-Verzeichnis aufgenommene App über 2.000 Testerinnen und Tester. Eine dauerhafte Aufnahme kann nach 24 Monaten durch die Krankenkassen erfolgen, wobei der Hersteller dazu die Wirksamkeit der App nachweisen muss.
Nicht das erste DiGA-Leck
Bereits im Juni 2022 hatte Zerforschung Sicherheitslücken der Depressions-DiGA Novego und dem digitalen Tagebuch für Krebspatienten Cankado gefunden. Letzteres wurde am 21. April 2023 aus dem DiGA-Verzeichnis gestrichen, da es laut BfArM keinen positiven Versorgungseffekt nachweisen konnte.
Im September 2022 hatte das BfArM neue Prüfkriterien für DiGA und digitale Pflegeanwendungen (DiPA) veröffentlicht. Demnach ist auch ein Datenschutzzertifikat des BSI erforderlich.
(mack)