Viele medizinische Apps nicht sicher

BREMEN. 102 Milliarden Apps wurden 2013 weltweit aus allen App-Stores heruntergeladen, so das Technologie-Zentrum Informatik und Informationssicherheit (TZI) der Universität Bremen.

Die Bremer Wissenschaftler haben für eine Studie aus Googles PlayStore exemplarisch 900 Apps namhafter Hersteller wie Microsoft, Intes, Adobe oder Siemens heruntergeladen und dann Kommunikationsverhalten und den Softwarecode analysiert. Das Ergebnis: 550 der 900 herunter geladenen Apps waren löchrig und boten Datenspionen Einfallstore.

Dabei könnten Datenspione über die Vielzahl der geforderten Berechtigungen für die Apps "Daten abgreifen oder sogar auf Funktionen des Handys, wie Kamera, Mikro, Kontakte oder GPS-Ortung zugreifen", sagt Christian Liebig, der am TZI seine Masterarbeit über das Thema schreibt. "Der Nutzer bemerkt davon nichts."

Dabei wären die Berechtigungen für die Funktionalität der App gar nicht nötig. So fanden die Informatiker bei einer App 22 Berechtigungen, von der tatsächlich nur eine gebraucht wurde, um ins Internet zu kommen. Das andere Einfallstor ist die Verschlüsselung nach dem SSL-Standard.

"Die Programmierer machen hier immer wieder Fehler, weil sie sehr komplex ist und hohe Kenntnisse erfordert", erläutert Karsten Sohr vom TZI. Datenspione nutzen dann die minimalen Sicherheitslücken, um Java-Code einzuspeisen und das Smartphone übernehmen zu können. "Wir haben selbst in sicherheitssensiblen Bereichen wie Online-Banking oder der Steuerung von Alarmanlagen unverschlüsselte Einfallstore in Apps gefunden", berichtet Liebig.

Auch medizinische Apps bieten Einfallstore

"Auch Health-Apps können betroffen sein", erklärt Dr. Urs Vito Albrecht, stellvertretender Institutsleiter des hannoverschen Standorts des P.L. Reichertz Instituts für Medizinische Informatik der Technischen Universität Braunschweig und der Medizinischen Hochschule Hannover (MHH).

"In einer eigenen Untersuchung zum Datensendungsverhalten, die wir anhand einer kleinen Stichprobe von acht Gesundheitsapps 2012 durchgeführt haben, waren nur drei in Bezug auf eine mögliche Verletzung der Privatsphäre oder Sicherheit durch Übertragung von Daten unkritisch zu werten, da hier keine Datenübertragung stattfindet", so Albrecht.

Drei weitere Apps waren im Handling der anvertrauten Daten kritisch zu bewerten, da sie die Daten unverschlüsselt übertragen. Zwei dieser Apps übermittelten identifizierende Daten ohne Wissen der Nutzer, so das Ergebnis der Studie.

Um die Lücken zu schließen, gehen Albrecht und die Bremer Forscher verschiedene Wege. Das TZI hat ein Werkzeug geschrieben, "um die gröbsten Fehler zu verhindern", sagt Sohr. Basis für sehr viele Apps ist das Framework Cordova von Apache, das meistens sehr viele Berechtigungen fordere. Das TZI hat ein Werkzeug entwickelt, "mit dem sich jetzt Cordova-Apps für Android automatisiert auf Lücken testen lassen", hieß es.

Albrecht dagegen schaut genau nach Datenschutzerklärungen, Gerichtsstand oder Kontaktadresse der Hersteller.

"Die Einhaltung dieser Kriterien liegt nicht nur im Interesse der Nutzer", sagt er. "Verstoßen Anbieter gegen die genannten Kriterien, riskieren sie, das Vertrauen der Nutzer zu verlieren. Zurzeit werden zudem Entwürfe für Zertifizierungen und das regulatorische Procedere im In- und Ausland diskutiert, um medizinische Apps sicherer zu gestalten." (cben)