Datenschutz im Gesundheitsbereich Digital Health: höchste Zeit für App-Sicherheit

Nur wenn Sicherheit und Datenschutz eindeutig gewährleistet sind, kann sich eine Gesundheits-App langfristig erfolgreich etablieren. Mit einem mehrschichtigen Framework kann ein Höchstmaß an Nutzen bei maximaler Sicherheit für eHealth-Applikationen erreicht werden.

Gesundheits-Apps gewinnen immer mehr an Attraktivität für Cyberkriminelle. Denn ein Datensatz mit Gesundheitsinformationen wird meist sehr gut entlohnt. Es ist also höchste Zeit für die Betreiber, sich schon während der Entwicklung intensiv mit dem Thema App-Security auseinanderzusetzen.

Die Reihe an verfügbaren eHealth-Apps ist mittlerweile groß. Sie sind für viele Menschen eine enorme Hilfe und haben einige positive Effekte – angefangen bei der Motivation, etwas für sich persönlich zu verändern, bis zu dem Wunsch, die Gesundheit bewusster zu steuern beziehungsweise zu verbessern. Derartige Health-Apps informieren, bieten Maßnahmen zur Prävention, unterstützen bei Training und Ernährung oder messen, speichern und werten medizinische Daten aus.

Seit 2020 können in Deutschland bestimmte medizinische Apps nach ausreichender Prüfung sogar von Ärzten verschrieben und ihre Kosten von den Krankenkassen übernommen werden. Diese digitalen Gesundheitsanwendungen (DiGA) begleiten Patienten bei einem gezielten Krankheitsfall, beispielsweise bei Diabetes, Adipositas oder einem anhaltenden Tinnitus. Die Hürden, es in das DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) zu schaffen, sind jedoch alles andere als niedrig. Voraussetzung dafür ist die Erfüllung hoher Sicherheits-, Qualitäts- und Datenschutzstandards.

Was für die digitalen Gesundheitsanwendungen zutrifft, sollte allerdings auch bei allen anderen eHealth-Apps nicht außer Acht gelassen werden. Jede App verarbeitet personenbezogene Daten, die man im Sinne der Patienten, des Gesetzgebers sowie des Herstellers und Betreibers schützen muss.

App-Sicherheit ist keine Nebensache

Sicherheit gilt als eine der wichtigsten Anforderungen, die Nutzer an eine Gesundheits-App stellen. Wird eine eHealth-App über ein Smartphone oder Tablet verwendet, hinterlegen die User ihre medizinischen Daten, woraufhin die Ausgabe entsprechender Informationen erfolgt. Diese Daten müssen natürlich auch transportiert werden. Die große Herausforderung dabei ist, dass all das auf eine sichere Art und Weise passiert, damit unberechtigte Dritte zu keinem Zeitpunkt Zugriff auf die Gesundheitsdaten haben. Kommt es erst einmal zu einem Ernstfall und sensible Daten werden veröffentlicht oder für eine Erpressung genutzt, geht das Vertrauen in die Technologie verloren. Schlimmstenfalls führt ein gelungener App-Angriff zur Insolvenz des Unternehmens. Daher sollten auch die App-Hersteller und -Betreiber den Sicherheitsaspekt niemals unterschätzen.

Nichtsdestotrotz lässt sich immer wieder beobachten, dass die Security im Entwicklungsprozess von Apps häufig hinten angestellt und mehr Wert auf die User Experience gelegt wird. Darüber hinaus sehen die Verantwortlichen im ersten Moment lediglich die zusätzlichen Kosten und vernachlässigen das Thema zunächst wieder. Um diese Einstellung zu ändern, ist es notwendig, die Vorteile einer sicheren App transparenter zu kommunizieren.

Hersteller und Betreiber von Apps bedenken oftmals nicht, dass es neben der Absicherung der sensitiven Patientendaten und damit der Einhaltung der Datenschutz-Grundverordnung (DSGVO) auch noch weitere Vorteile von sicheren Apps gibt. Dazu zählen unter anderem der Schutz des geistigen Eigentums, zum Beispiel neuer Algorithmen und somit der eigenen Forschungskosten, sowie die Eindämmung von Folgekosten, die durch Cyberangriffe entstehen. Dies ist in der Regel mit ganz anderen Summen verbunden, als direkt von Beginn an auf ausreichende Security zu achten. Hinzu kommt, dass sich ein erst einmal angeknackstes Image nicht so schnell wieder aufpolieren lässt. All das unterstreicht die Notwendigkeit, dass Sicherheit und Datenschutz bei der Entwicklung von eHealth-Apps keine Nebensache sein sollten.

Zweifellos erfordert App-Sicherheit sehr viel Wissen und ein tiefes Verständnis dafür, wie mobile App-Technologie funktioniert und inwiefern die benötigte Security implementiert werden kann. Genau deshalb gibt es bereits Frameworks, die gemäß dem Shift-Left-Security-Ansatz schon während der Entwicklung in kürzester Zeit integriert werden können.

Gesundheitsanwendungen optimal schützen

Ein professionelles Framework beinhaltet alle notwendigen Features, um zu verhindern, dass Cyberkriminelle verwertbare Gesundheitsinformationen abgreifen und weiterverkaufen. So unterbindet es etwa das Abhören der Verbindung zwischen App und Server, durch das Krankheitssymptome nahezu im Klartext übertragen werden könnten. Zusätzlich wird durch die Integration verhindert, dass persönliche Daten oder Gesundheitsdetails im Klartext auf dem Smartphone abgelegt und somit für jeden lesbar sind. Insgesamt können Entwickler mit einer solchen Lösung nicht nur eine unbefugte Analyse, Manipulation, Vervielfältigung und Nutzung der sicherheitsrelevanten Teile einer mobilen Gesundheitsanwendung verhindern, sondern auch viel Zeit sparen.

Somit gibt es keinen Grund mehr dafür, die Sicherheit nur halbherzig zu implementieren, um den Termin halten zu können. Mit einem ganzheitlichen Framework gehen Sicherheit, nutzerorientiertes Design und schneller Launch in der Entwicklung von Health-Apps – und auch von allen anderen mobilen Anwendungen – Hand in Hand.

* Der Autor, Torsten Leibner, ist Head of Product Management and Technology bei Build38.

Telematik-Infrastruktur

gematik stellt eRezept vor

(ID:47330922)