IT-Sicherheit: Warum die Medizin-IT ihre Abwehrkräfte stärken muss

Seite 2: DiGA-Verzeichnis

Dabei kommt dem BfArM bei der Zulassung der "Apps auf Rezept" eine zentrale Rolle zu. Will ein Hersteller, dass die gesetzlichen Krankenkassen die Kosten seiner vom Arzt verschriebenen Medizin-App dem Patienten erstatten, muss er ins Verzeichnis für digitale Gesundheitsanwendungen (DiGA) aufgenommen werden. Da es bislang kein einheitliches Gütesiegel für Gesundheitsanwendungen und Medizin-Apps gibt, ist der Blick ins DiGA-Verzeichnis auch die einzige Möglichkeit für Ärzte und Patienten, sich von der Qualität einer solchen App zu überzeugen.

Doch seit dem Start Ende Mai 2020 haben es bis Anfang Dezember gerade einmal 6 von 43 beantragten Apps ins DiGA-Verzeichnis geschafft. Bei hunderten weiterer Medizin- und Gesundheits-Apps in den Stores von Apple und Google gibt es für Anwender bislang kaum eine Möglichkeit, deren Qualität zu prüfen.

Das BfArM listet im DiGA-Verzeichis alle Medizin-Apps auf, deren Kosten bei einer Verschreibung durch den Arzt von den gesetzlichen Krankenkassen erstattet werden. Bislang haben nur wenige Apps die Prüfungen bestanden.

(Bild: BfArM)

Warum eine solche Qualitätsprüfung jedoch wichtig ist, zeigt unser Sicherheits-Check von knapp zwei Dutzend Apps deutscher Krankenkassen. Haarsträubende Mängel haben sich in manche Krankenkassen-Apps eingeschlichen. Unser Pentester fand im Code unter anderem Login-Daten und Passwörter im Klartext, veraltete Softwarebibliotheken sowie unverschlüsselte Datenübertragungen. Immerhin gab es aber auch einzelne Apps, die den Tester rundum überzeugten.

Hilfe zur Selbsthilfe

Weil Gesundheits-Apps wie Pilze aus dem Boden schießen, kommen Prüfer und Pentester kaum noch hinterher. Deshalb erklären wir, wie Sie eine Ihnen suspekte App selbst untersuchen. Die dort gezeigten Techniken reichen von der Verschleierung eines Root-Zugriffs bis zur Aushebelung von Certificate Pinning, um verschlüsselte Datenübertragungen zu entziffern.

Schließlich decken wir in unserem Hacker-Experiment auf, mit welchen einfachen Bastelutensilien sich die Sicherheitsvorkehrungen eines in Arztpraxen weit verbreiteten Kartenlesegeräts von Ingenico innerhalb weniger Minuten umgehen lassen. Bemerkenswert ist, dass die Gematik bei der Zulassung der Geräte vor drei Jahren offenbar ahnte, wie leicht ein Angreifer den technischen Schutz überwinden könnte. Doch statt eine robustere Technik zu fordern, begnügte sie sich mit organisatorischen Sicherungsvorgaben – die in Praxen bislang jedoch wenig bekannt sind. Der Artikel erklärt, mit welchen einfachen Mitteln sich die Sicherheit der Terminals verbessern ließe und worauf Ärzte und Klinikbetreiber achten sollten.

c’t 2/2021

Dieser Artikel stammt aus c’t 1/2021. Darin beraten wir Sie bei der Auswahl und Einrichtung von Netzwerkspeichern für zu Hause und testen passende NAS-Leergehäuse. In einem weiteren Schwerpunkt beleuchten wir die Sicherheit von Krankenkassen-Apps und Kartenterminals und zeigen, wie Sie Android-Apps für E-Health selbst analysieren können. Ebenfalls brisant: Ein Serverfehler ermöglichte Identitätsklau bei Hostern und die Schufa will Privatkonten durchleuchten. Wir haben Tastaturen für Vielschreiber getestet, Telefonanlagen fürs Homeoffice und vieles mehr. c't 1/2021 ist ab sofort im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.

(hag)