NDR mit schweren Vorwürfen
Krankenkassen-Apps in der Kritik: Sicherheitsmängel und Spionage
Der NDR hat einen Blick auf die von verschiedenen Krankenkassen angebotenen Gesundheits-Apps geworfen. Das Ergebnis ist ernüchternd, überrascht aber irgendwie auch nicht: Die Anwendungen weisen nicht nur gravierende Sicherheitsmängel auf, eine davon gibt sogar Daten an einen US-Konzern weiter.
Insgesamt 22 Apps der großen Krankenkassen haben die Tester geprüft. Die Vorwürfe in diesem Zusammenhang sind kernig. So würden Anmeldedaten und Passwörter im Klartext gespeichert, Patientendaten ohne Verschlüsselung und somit einfach ausspionier- und manipulierbar übertragen, zudem ist teils auch von Datenspionage die Rede.
Bild: Barmer Ersatzkasse
Bei vier der geprüften Apps haben die Tester festgestellt, dass sie auf dem Smartphone vorhandene persönliche Daten sammeln, die nur wenig mit der eigentlichen Anwendung zu tun haben. Dazu zählen beispielsweise der Browserverlauf, Klicks oder Standortdaten. Die Telekdoktor-App der Barmer Ersatzkasse übertrage derlei Daten zudem an Tealium, einen US-Konzern, der sich auf das Sammeln und Verwerten von Kundendaten spezialisiert hat.
Mit diesen Vorwürfen konfrontiert, habe die Barmer Ersatzkasse auf Anfragen zunächst gar nicht reagiert. Später habe man dann mitgeteilt, dass der Sachverhalt geprüft werde. Andere Kassen wie die DAK und IKK zeigten sich einsichtiger und haben die beanstandeten Probleme sofort beseitigt.
Unterm Strich stärken die Ergebnisse das Vertrauen in die Apps der Kassen nicht. Die deutschen Krankenkassen haben sich schon in den vergangenen Jahren bei Digitalisierungsfragen oft überfordert gezeigt. Schlimm ist dabei besonders, dass Kritik und Verbesserungsvorschläge regelmäßig ignoriert werden und ein Einlenken meist nur auf massiven Druck oder gar der Androhung von Rechtsmitteln hin erwirkt werden kann.
Ein vom NDR zitierter Patientenberater sieht dann auch die Gefahr, dass die Unzulänglichkeiten im App-Bereich sich schädlich auf die gesamte Digitalisierung im Gesundheitswesen auswirken.
Betrifft das nur Android oder auch iOS?
Zum Glück ist das hier ja ein Android-Blog.
Ich finde die Frage auch berechtigt. Mir wäre es neu das Apps unter iOS einfach den Browserverlauf auslesen können!
Ich finde die Frage berechtigt. Mir war nicht bewusst, dass eine iOS-App ungefragt meinen Browserverlauf auslesen und übermitteln darf. Oder wie war nochmal der Spruch auf den großen Plakaten von Apple?
@Hand Hauser
Wirklich?
Das machen 95% deiner Apps auf deinem Smartphone.
Ich bin immer wieder überrascht über die Unwissenheit und Naivität mancher Smartphone-Nutzer.
Bitte mit Fakten belegen.
@Bloodsaw: Ja, wirklich. Nicht jeder hier kommt aus dem IT-Sektor und/oder hat als Hobby Datenströmen aus dem Netzwerkverkehr auszulesen.
@Traum
Leg dir einfach einen DNS-Server zu und guck dir selber an welche Seiten angesteuerten werden von den Apps die du öffnest.
Es wurde außerdem schon mehrfach belegt das Apps dein Nutzerverhalten loggen.
Die Belege darfst du dir selber mit Google zusammensuchen, viel Spaß.
Ich bin kein IT-ler. Und wenn Apple mit Datenschutz etc. Wirbt, gehe ich davon aus, dass auch die Apps überprüft werden, was ausgelesen wird, bzw. ich wenigstens darüber informiert werde.
@Bloodsaw: Frage an Dich als Experte, da Ich selber Pi-hole mit Unbound nutze. Wie ermittelst du denn mit einem DNS-Server dass dein Browserverlauf übermittelt wird?
Das habe ich mich auch gefragt…
Ich musste jetzt zwar wirklich suchen, aber z.B. die App „Freeletics Hiit Fitness Coach“ zeigt in der App-Beschreibung eindrucksvoll, welche Daten sich eine Fitnessapp so alles abgreifen kann.
Wäre schön, wenn ifun.de dazu mal einen aufklärenden Artikel für naive Anwender wie mich bringen würde….;-)
Er meinte nicht DNS sondern eine Proxy. Damit werden alle Daten erstmal darüber geleitet, was man auswerten kann. Kannst den Proxy ja in den WLAN Einstellungen eines Netzwerkes einfach eintragen.
Also was den DNS Server angeht verwechselt Bloodsaw hier scheinbar einiges.
Richtig ist: zu einem Domainnamen muss erstmal die IP-Adresse ermittelt werden. Das geschieht über einen DNS Server. Dies geschieht allerdings nicht bei jedem Seitenaufruf sondern je nach Einstellung ca. alle 300 bis 86400 Sekunden.
Dabei wird aber nicht die gesamte URL sondern nur der Domainname übertragen.
@Bloodsaw sollte für seine Aussagen mal Belege posten, dann wird vielleicht auch klar was er meinte. Die DNS Sache war bestimmt nicht gemeint.
Es wurden nur Android-Apps getestet. Siehe Artikel in der c’t
Ich würde trotzdem davon ausgehen das auch die iOS-Apps genau das gleiche machen. Schaut euch doch mal die neuen Datenschutzhinweise an. Dort wo sie vorhanden sind werdet ihr überrascht sein was alles gesammelt wird. Insbesondere bei kostenlosen Apps ist das nicht wenig. Aber das ist bei denen das Geschäftsmodell. Man bekommt nichts umsonst!
Bei so sensiblen Themen wie den Gesundheitsdaten der Krankenkasse hatte ich mir aber wirklich sehr viel mehr erhofft…
@Stan davon würde ich nicht ausgehen, da die iOS Apps weniger allgemeine Daten aus dem System abgreifen können.
Es wäre aber schön zu wissen was die Krankenkassen Apps unter iOS alles übertragen.
Ich hoffe ich darf das hier weitergeben, aber wenn ihr euch mal überraschen lassen wollt: https://youtu.be/82Hfh1AItiQ
Video vom 35C3 zum Thema digitale Gesundheit. Und so lange ist das noch nicht her…
2018
Die TK App hat im Jahr 2020 zb 17 App-Updates bekommen. Ich glaube die gezeigten Probleme sollten schon längst behoben sein.
Ich glaube, du liegst falsch
Mit was mit der Zahl der Updates?
Das weiß ich nicht. Es würde mich nicht wundern, wenn nicht.
Es geht mir eigentlich auch darum, dass dies Daten sind, welche niemals in falsche Hände kommen sollten. Die TK-Lösung kam noch halbwegs gut bei dem Beitrag weg, war aber noch in der Beta.
Ich wollte das Bewusstsein für das Thema schärfen. Hier sollte das Sprichwort „Vertrauen ist gut, Kontrolle ist besser“ oberstes Gebot haben.
Und der Vortrag zeigt, dass mit diesen Daten von vielen Unternehmen sehr falsch umgegangen wird.
Ich selber bleibe da vorerst Skeptisch, dem Werbemüll kann man leider nicht trauen…
Sehr interessant
Mich würde ja interessieren ob die TK App auch davon betroffen ist, oder ob sie bewusst nur die Apps getestet haben die auch Potenzial für Skandale haben.
Zumindest macht die TK App mit der IBM Cloud einen potenten Eindruck.
+1.
Ich selbst arbeite bei der TK (aber weder im Marketing noch in der App-Entwicklung) und bin damit selbst Kunde bei den Kollegen. Ich vertraue der App. Die TK hat lange und ausführliche interne Tests, Beta-Tests und viele Ressourcen in die Hand genommen um diese Projekte ins Leben zu rufen. Dabei wird immer auf 2-Faktoren gesetzt und eine vollständige verschlüsselte Kommunikation, die den Richtlinien des BSI entspricht, verwendet. Die Kollegen sind dazu auch auf der offiziellen Webseite sehr transparent.
Hallo Matthias,
das ist gut zu hoeren. Allerdings heisst das nicht, dass die TK nicht auch Daten sammelt und evtl an die USA schickt.
Eine 2-FA bedeutet nicht, dass Dten nicht unverschluesselt gespeichert sind. Das viel getestet wurde ist gut, aber was wurde getestet? Das sammeln von Daten? Funktioniert die Schnittstelle zu einem Datenhaendler?
Solange das nicht open Source ist, kann ich es nicht pruefen. Damit bleibt mir nur, zu Vertrauen. Und das sollte man scheinbar eher nicht tun. Egal, welche Krankenkasse.
… das kann ich nachvollziehen. blindes Vertrauen ist nie gut.
Ich kann auch nur für mich sprechen. Aus meiner Kundensicht, angereichert mit den Informationen aus den internen Dokumentationen, die mir als Mitarbeiter hier zur Verfügung stehen und den externen Tests, die durchgeführt worden sind, schätze ich die App als vertrauenswürdig ein.
Könntest du bitte einmal nachsehen welche jailbreak detection methods ihr in der App verwendet? Da ist sie echt zickig. Man kann jede Banking App mit einem jailbreak nutzen aber nicht die TK App.
Die TK hat mir letztens erst Werbung zu einer Zahnzusatzversicherung geschickt obwohl ich eine Weitergabe meiner Daten 10 Monate davor schriftlich komplett untersagt hatte.
Die TK scheißt auf die DSGVO und die Anzeige beim Bundesdatenschutzbeauftragten brachte keinerlei Antworten.
Die ganze DSGVO ist nen Witz und Firmen machen doch weiter was se wollen. Wenn man sich beschwert, kümmert es keinen.
Die TK hat doch deine Daten, damit kann sie dir auch Werbung schicken. Wo sind da Daten weitergegeben worden?
Die TK-App, hat laut Test überall ein + (=gut)
Die Punkte sind „Code-Qualität“, „Transportverschlüsselung“ und „Datenschutz/Tracker“
Die AOK Bonus App hat die gleiche Bewertung
Ja, auch alte Hasen auf dem Gebiet wurden dort gezeigt. Wer nur ein Minimum an Sicherheitsbewusstsein hat dem wird bei dem Video schlecht.
Die Erklärung wird auch mitgeliefert: Sicherheit bedeutet teilweise einen Wettbewerbsnachteil zu haben.
Und man darf nicht vergessen, um welche Daten es sich hier handelt. Kein Konto mit ein paar Zahlen oder die Amazon-Bestellhistorie. Sondern der Gesundheitsverlauf eines Menschen. Dieser lässt sich nicht durch einen Bankwechsel korrigieren.
Ich persönlich sehe dieses Thema sehr kritisch.
Traurig aber wahr.
Gibt es (vom NDR) eine Liste der betroffenen Krankenkassen beziehungsweise Apps?
Ich frage mal meine VIACTIV an. Rückmeldung kann ich gerne geben.
Wurde nicht getestet!
Scheinbar nur in den verlinkten Artikel von der ct.
Zitat auf ct:
Lediglich die App der TK konnte den c’t-Autoren überzeugen.
Habe die Barmer gerade mal angeschrieben und um Stellungnahme zu diesem Artikel gebeten.
Wie im Artikel erwähnt, bezweifle ich, das du als 0815 Kunde hierzu eine Antwort bekommen wirst
Er wird ganz sicher eine Antwort bekommen ;-)
Ja in bester Pressesprecher Manier. Lügen Ali während des Irak Krieges oder BP Pressesprecher nach der Deepwater Horizon Katastrophe lassen Grüßen.
Eine 0815-Antwort wird schon drin sein ;-)
First-Level-Support eben – mehr als Copy&Paste ist da nicht zu erwarten!
Die allermeisten Apps die in Deutschland programmiert wurden sehen aus, als wenn n sap Azubi auf Crack 10 min Zeit bekommen hat um sich ein Design einfallen zu lassen.
Ähnlich ist es mit der Sicherheit bestellt
Das Grundproblem ist, dass die meisten nicht verstehen, dass Datenschutz und Datensicherheit zwei paar Schuhe sind.
Eine App kann zwanzig Siegel DSGVO konform bekommen, ist aber Misst, wenn sie schlampig programmiert ist. Und das sind nicht wenige. Gerade deutsche Apps reihen sich da in eine unrühmliche Rangfolge ein.
Krasse Verschwörung :D DSGVO Konform? :)
Diese Regierung und verbunden deutschen „Unternehmen“ genießen mein vollstes Vertrauen. Das darf auch nicht in Abrede gestellt werden. Ja und amen. Määh
Du bist ein sehr ordnungsgemäßer deutscher Bundesbürger. Nun zurück ins Hamsterrad mit Dir.
Wäre schön wenn hier auch die Krankenkassen genannt würden.
So bringt der Artikel relativ wenig und viel Platz für Spekulationen, die jedoch nicht zielführende sind.
Selbst schuld wer Versicherungen freiwillig seine Daten überlässt….
Ich glaube demnächst wirst Du keine Wahl mehr haben…..
Gut, dass die DAK gar nicht erst funktioniert.
Interessant ist bei der „Meine AOK“ App wenn man sich da registrieren möchte und auf den Link der AGBs klickt wird eine weiße Seite angezeigt.
Also bei der iOS-App wie es bei Android ist weiß ich nicht !
Unwichtige Randbemerkung: Den Namen „BARMER Ersatzkasse“ gibt es seit Jahren nicht mehr…
Aber das Photo ist süss…
Krankenkassen, die lediglich Pflichtbeiträge einsammeln, um sie möglichst ungeprüft wieder rauszuhauen, sind an Digitalisierung gar nicht interessiert…
Erst war ich geschockt, dann aber doch erleichtert weil bei der AOK alles OK ist. Ich denke, da werden die meisten erleichtert sein, dass es nur die Techniker und Co betrifft.
Eben Antwort von der Barmer auf meine Anfrage hin bekommen:
Wir weisen die Behauptung des NDR zurück, wonach die Teledoktor-App der BARMER Nutzerdaten an den US-Konzern Tealium liefert. Angesichts der Schwere der Vorwürfe werden wir auch die Einschätzung unserer entsprechenden Dienstleister einholen. Es gilt die Maßgabe, dass alle unsere Onlineanwendungen höchsten Sicherheits- und Datenschutzbestimmungen entsprechen.
Auf dem Papier bestimmt in der Realität eher weniger!
Die BKK Mobil Oil schreibt folgendes :
„Das c’t Magazin (Ausgabe 1/2021) hat in seiner Titelgeschichte „IT-Sicherheit in der Medizin“ das Thema Datensicherheit von Krankenkassen-Apps aufgegriffen. In diesem Zusammenhang hat das Fachmedium auch die App „Mobil Me by BKK Mobil Oil“ in der Version 1.0.2 (veröffentlicht am 27.11.2020) betrachtet und hat dabei die Codequalität und das Tracking kritisch bewertet.
Wir nehmen die Testergebnisse der Redaktion sehr ernst und sind dankbar für hilfreiche Hinweise, die uns helfen, die Qualität und Sicherheit unserer Apps weiter zu verbessern. Bereits vor Veröffentlichung des Testberichts haben wir Anfang Dezember eine von Grund auf neu programmierte Android-Version (1.1) unserer App veröffentlicht. Dabei haben wir vor allem auch auf die Qualität des App-Codes geachtet, weil wir mit dem Code der alten App selbst nicht zufrieden waren.
In den iOS- und Android-Versionen unserer App ist derzeit ein anonymes Tracking enthalten. Dieses soll es uns ermöglichen, das Nutzerverhalten zu bewerten und zu verbessern. Durch den Test der c’t haben wir dies noch einmal neu bewertet und wollen in einer der nächsten Versionen das Tracking aus unseren Apps für iOS und Android entfernen.“
Die TK sagt folgendes:
vielen Dank für Ihr Feedback und Ihre guten Wünsche!
Wir arbeiten daran, die Sicherheitsstandards stetig zu verbessern und gleichzeitig die Bedienfreundlichkeit ebenfalls zu erhöhen, zumindest aber auf gleichem Niveau zu halten. Das ist im Rahmen des Sozialdatenschutzes und den Anforderungen unserer Aufsichten eine berechtigte und von uns gern angenommen Herausforderung. Denn der Schutz Ihrer Daten ist uns sehr wichtig! Wir werden den Artikel auswerten und prüfen, welche Konsequenzen sich aus dem Testergebnissen für uns ergeben. „Sehr gut“ ist nämlich tatsächlich unser Anspruch.