digitalwirtschaft Gesundheitsapps mit Sicherheitslücken
So hätten sechs von sieben tiefgreifend geprüften Apps Passwörter im Klartext an Authentifizierungsdienste übermittelt, heißt es in einem am Mittwoch vorgestellten BSI-Bericht. Keine der Apps habe die Sicherheitsanforderungen der entsprechenden BSI-Richtlinie vollständig erfüllt.
„Aus Sicht der technischen IT-Sicherheit muss dieses Ergebnis, insbesondere im Hinblick darauf, dass ein bedeutender Anteil der Apps sensible und besonders schützenswerte Daten verarbeitet, mindestens als kritisch bewertet werden“, kritisierte das Amt, das sich auch um die Datensicherheit der Bundesregierung kümmert. „Denn die Daten der Nutzerinnen und Nutzer werden hierdurch nach Erkenntnissen der Studie nicht ausreichend gegenüber Angriffen geschützt.“ BSI-Experte Nicolas Stöcker schränkte ein, dass der Schaden bei Ausnutzung der festgestellten Lücken „erstmal überschaubar“ wäre. „Wenn hier ein Angriff stattfinden sollte, dann betrifft er immer einen einzelnen Nutzer, eine einzelne Person. Schlimmer wäre, wenn das Backend (das technische System), wo die Daten gehalten werden, auch unsicher wäre.“ Eine entsprechende weitergehende Untersuchung habe die Behörde für die Zukunft „auf dem Schirm“.
„Erhebliche Gefährdung“
BSI-Präsident Arne Schönbohm betonte zugleich, dass auch die festgestellten Mängel gefährlich seien: „Jede Lücke, die da ist, jede Schwachstelle, die da ist, ist irgendwann irgendwie ausgenutzt worden.“ Das Fehlen von Prozessen zur Behebung von Sicherheitslücken habe eine „erhebliche Gefährdung“ zur Folge. Zum Teil werde das normale Niveau von Sicherheitsanforderungen nicht erfüllt, „so wie wenn ich das Haus verlasse, ich die Tür zuziehe und nicht offen stehenlasse“. Das BSI nennt keine Namen der untersuchten Apps. Aktuell arbeite man mit den Anbietern daran, die Lücken zu schließen. „Wenn wir sehen, dass das nicht behoben wird, dann behalten wir uns vor, eine entsprechende Produktwarnung auszusprechen“, sagte Schönbohm.
Die Gesundheitsanwendungen waren aktuelles Schwerpunktthema im BSI-Bericht zum digitalen Verbraucherschutz. Ein solcher wurde erstmals vorgelegt, nachdem die Bundesbehörde durch das neue IT-Sicherheitsgesetz seit Kurzem auch für diesen Bereich zuständig ist. Als besonders kritische Handlungsfelder identifiziert der Bericht smarte Verbraucherprodukte oder die regelmäßige Verwundbarkeit von Kundendatenbanken. „Leider stellen wir eine Vielzahl von Anbietern fest, die Sicherheit offenbar nicht ab Werk ab als Produktvoraussetzung sehen“, sagte der BSI-Präsident. „Digitalisierung kann nur gelingen, wenn Informationssicherheit von Beginn an mitgedacht wird.“
