· Rund 140 getestete Medical Apps aus dem Bereich E-Health
· Eklatante Mängel bei Datenschutz und Datensicherheit
· Tests auf Basis eines fundierten Prüfkatalogs und aktueller Hacking-Methoden
(firmenpresse) - Hamburg, 2. Dezember 2015. Viele Patienten verwenden auf ihrem Smartphone oder Tablet medizinische Apps, sogenannte Medical Apps. Diese Apps können den Nutzer beispielsweise bei der Behandlung einer chronischen Krankheit unterstützen. Bei der Anwendung einer mobilen Applikation aus dem medizinischen Bereich ist der Nutzer gezwungen, sensible Daten preiszugeben, die einen sorgfältigen Umgang seitens der Anbieter verlangen. Datenschutz und Datensicherheit spielen hier eine besonders wichtige Rolle. ePrivacy stellte mittels dieser Studie jedoch fest, dass viele Anbieter diesen Anforderungen aktuell nicht nachkommen.
Zwischen August und November 2015 führten die Experten von ePrivacy umfangreiche Laboruntersuchungen durch, bei denen der Schutz und die Sicherheit von Daten bei rund 140 Medical-Apps mit den Betriebssystemen iOS und Android analysiert wurden. Die Prüfungen bezogen sich u.a. auf die Verfügbarkeit der Datenschutzerklärung, den Einsatz von SSL-Verschlüsselung und anderen Sicherheitsmaßnahmen, die Analyse des ein- und ausgehenden Datenverkehrs und Social Engineering.
Abgefangene Login-Daten bei 80% aller Apps
Die Auditoren konnten bei den Laboruntersuchungen den Datenverkehr von 54% der getesteten Medical Apps abfangen. Durch einen Man-in-the-Middle-Angriff konnten bei fast 80% aller Apps Login-Daten und bei 52% Gesundheitsdaten ermittelt werden. Bei einem Man-in-the-Middel-Angriff schaltet sich ein Dritter zwischen den Datenverkehr zweier Kommunikationspartner und kann so an sensible Daten gelangen.
75% aller Apps ließen eine Manipulation der Gesundheitswerte zu
Die Gesundheit des Users kann durch mangelhaften Schutz der Daten beeinträchtigt werden. Das Laborteam von ePrivacy konnte bei knapp 75% aller Apps die gesendeten und empfangenen Daten manipulieren und so zum Beispiel Blutzuckerwerte verfälschen.
57% aller Apps bieten keine Datenschutzerklärung
Zusätzlich wurde die Verfügbarkeit der Datenschutzerklärung innerhalb der App untersucht. Dabei stellte ePrivacy fest, dass über die Hälfte der Apps beider Betriebssysteme dem Nutzer keine Datenschutzerklärung anbieten. Die Datenschutzerklärung sorgt für Transparenz und ist für den Nutzer der App von großer Bedeutung. Bestenfalls sollte der Anbieter den Nutzer darin auch über die Verwendung der Gesundheitsdaten informieren.
Prof. Dr. Christoph Bauer, Geschäftsführer bei ePrivacy GmbH, weist darauf hin, wie viele Patienten mit steigender Tendenz Medical Apps verwenden und erklärt weiter: „Um die Verbraucher zu schützen und das Vertrauen in mobile Anwendungen zu stärken, ist bei den Anbietern dringender Handlungsbedarf geboten. Die Angebote zur professionellen Analyse, individuelle Handlungsempfehlungen und die Möglichkeit zur Zertifizierung sollten mehr genutzt werden.“
ePrivacy berät und unterstützt Unternehmen mit digitalen Produkten in allen Fragen und Herausforderungen des Datenschutzes. Als unabhängiger Dienstleister zertifiziert ePrivacy Firmen und Produkte für vorbildlichen Datenschutz mit dem Datenschutz-Gütesiegel „ePrivacyseal“ und Apps mit dem Siegel „ePrivacyApp“. Die Experten von ePrivacy sind akkreditierte Gutachter beim Unabhängigen Landesdatenschutzzentrum Kiel (ULD), Mitglied der Arbeitsgruppe Mobile Sicherheit für den Deutschen IT-Gipfel und Zertifizierer für das EU OBA Framework, einer freiwilligen Selbstkontrolle von Online-Werbung zum Schutz der Internetnutzer, die in Zusammenarbeit mit der EU entwickelt wurde.
Prof. Dr. Christoph Bauer, geschäftsführender Gesellschafter von ePrivacy, erarbeitet zusammen mit einem hochqualifizierten Team von technischen Experten und erfahrenen Juristen Lösungen für Unternehmen der digitalen Wirtschaft in Deutschland und Europa. Er unterstützt die EU bei Datenschutzthemen, veröffentlicht regelmäßig Beiträge und hält Vorträge zum Thema Datenschutz.
ePrivacy GmbH
Prof. Dr. Christoph Bauer
Große Bleichen 21A
20354 Hamburg
Telefon: +49 40 6094518-10
E-Mail: presse(at)eprivacy.eu
Internet: www.eprivacy.eu