Die Telemedizin erlebt seit Beginn der Covid-19-Pandemie einen wahren Boom: Während das Zentralinstitut für die Kassenärztliche Versorgung im zweiten und dritten Quartal 2019 nur einige tausend Videosprechstunden zählte, waren es im gleichen Zeitraum ein Jahr später bereits 1,7 Millionen.
Auch Gesundheitsapps werden immer beliebter. Seit dem Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) am 19. Dezember 2019 haben die 73 Millionen Versicherten in der gesetzlichen Krankenversicherung (GKV) Anspruch auf eine Versorgung mit digitalen Gesundheitsanwendungen (DiGa). Mit einem beschleunigten Zulassungsverfahren fördert das Bundesgesundheitsministerium die Nutzung der Apps, die beispielsweise an die Einnahme von Medikamenten erinnern, bei der Kontrolle des Blutdrucks assistieren oder die Therapie psychischer Erkrankungen unterstützen. Wie sehr die Apps das Gesundheitswesen zukünftig entlasten können, zeigt eine aktuelle McKinsey-Studie für Österreich, die das Einsparpotenzial auf rund 4,7 Milliarden Euro beziffert.
Leider zeigt sich in der Praxis, dass digitale Anwendungen im Gesundheitssystem nicht immer so sicher sind, wie Ärzte und Patienten es mit Recht erwarten: So fanden Sicherheitsforscher in der Gesundheitsapp Velibra gleich mehrere Sicherheitslücken, über die Angreifer Nutzerkonten übernehmen konnten. Angriffspunkt war der Login über eine E-Mail-Adresse und einen lediglich vierstelligen Code, der durch bloßes Erraten geknackt werden konnte. Eine Zweifaktor-Authentifizierung kam nicht zum Einsatz, obwohl die App sensible Daten zur psychischen Gesundheit verwaltet. Und das alles, nachdem Velibra vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geprüft und ins DiGa-Verzeichnis aufgenommen worden war.
Der Handlungsbedarf beim Datenschutz ist im boomenden Markt der Gesundheitsapps und Telemedizinanwendungen offensichtlich. Das BfArM ist laut eigenem Bekunden nicht für die technische Sicherheitsprüfung von DiGa-Apps zuständig und verlässt sich im Wesentlichen auf die Herstellerangaben. Die können stimmen – oder auch nicht: der Fall Velibra macht erschreckend deutlich, dass das Problembewusstsein auf Entwicklerseite teils noch wenig ausgeprägt ist.
Politik und Unternehmen sind in der Pflicht
Was können Politik und Wirtschaft tun, um die Lage zu verbessern? Zunächst ist es wichtig, das Problembewusstsein in der Politik zu schärfen: Wenn sich staatliche Einrichtungen wie das BfArM, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesgesundheitsministerium mit Verweis auf Nicht-Zuständigkeit aus der Affäre ziehen, mag das eine Zeitlang gutgehen – doch bei der ersten großen Datenpanne wird es zu einem bösen Erwachen führen. Die Zuständigkeit und Verpflichtung zur Prüfung auf Datensicherheit muss möglichst schnell, umfassend und eindeutig geregelt werden.
Ebenso sind die Entwickler in der Pflicht, die Sicherheitsaspekte nicht zu vernachlässigen. Eine Goldgräberstimmung im sich rasch entwickelnden Markt für DiGa-Apps ist nicht von der Hand zu weisen. Eine schnelle Entwicklung kann sich lohnen, wenn man so bestimmte Marktnischen bei den Gesundheitsapps frühzeitig besetzt. Mitbewerber, deren Lösung erst später fertig ist, müssen dann erst mühsam Marktanteile erobern. Doch dieses Kalkül birgt große Risiken: Immer noch geht die schnelle Entwicklungszeit zu oft auf Kosten der Sicherheit – entweder, weil sie fälschlicherweise als zweit- oder drittrangig eingeschätzt und schlimmstenfalls nicht im Entwicklungsbudget berücksichtigt wird, oder weil die Programmierer mit Sicherheitsaspekten der unterschiedlichen Plattformen, möglichen Schwachstellen und Angriffspfaden nicht gut genug vertraut sind.
Die Sicherheitsprüfungen durch die App-Marktplätze wie den Apple App Store oder Google Play leistet hier nur bedingt Abhilfe. Sie filtern zwar zuverlässig als Apps getarnte Schadprogramme heraus; sicherheitskritische Programmierfehler oder falsch verwendete Verschlüsselungsverfahren können sie aber nicht aufspüren.
BSI moniert Sicherheitslücken in Gesundheits-Apps
Dass der Sicherheitsaspekt in dem noch jungen Markt zu kurz kommt, wird auch in einer Untersuchung des BSI zu Gesundheitsapps deutlich, die weder zu den streng kontrollierten Medizinprodukten zählen noch ins DiGa-Verzeichnis aufgenommen wurden: Neben anderen Mängeln rügten die Experten vor allem den Umgang mit Passwörtern, die bei sechs der sieben untersuchten Anwendungen nicht in gehashter Form, sondern als Klartext übertragen wurden. Nutzerdaten könnten so von Kriminellen einfach abgegriffen werden.
Ein eingehender Sicherheitscheck vor der Veröffentlichung ist also unvermeidlich, um mehr Sicherheit im Sektor E-Health zu schaffen. Dabei müssen jedoch keineswegs alle Prüfungen behördenintern erfolgen oder alternativ den Entwicklern als zusätzliche Verpflichtung aufgebürdet werden. Schon jetzt gibt es eine Vielzahl etablierter Anbieter auf dem Markt, die Apps auf Sicherheitsmängel abklopfen und bei der Härtung der Software gegen Angriffe helfen.
Zudem lässt sich das Problem an der Wurzel packen, wenn Entwickler der Sicherheit die gleiche Wichtigkeit einräumen wie der optimalen Usability. Dabei müssen sie Sicherheitsfunktionen wie einen passwortfreien Login und eine nach aktuellen Standards abgesicherte Nutzerverwaltung nicht von Grund auf selbst aufbauen. Entsprechende Sicherheitslösungen lassen sich von darauf spezialisierten Unternehmen zukaufen und können mittels Software Development Kit (SDK) nahtlos in bestehende Apps integriert werden.
Klar ist: Insgesamt muss dem Thema Sicherheit für Anwendungen im Gesundheitswesen mehr Aufmerksamkeit gewidmet werden. Adäquate Maßnahmen zum Schutz von Nutzer- und Patientendaten sind eine tragende Säule für einen Gesundheitsmarkt, in dem digitale Lösungen eine immer wichtigere Rolle spielen. Jetzt liegt es an Politik und Wirtschaft, die Weichen zu stellen, um Datenlecks und kriminelle Angriffe auf die Gesundheits-Infrastruktur zu unterbinden – möglichst, bevor ein Daten-GAU zum Umdenken zwingt.