gms | German Medical Science

20. Jahrestagung des Deutschen Netzwerks Evidenzbasierte Medizin e. V.

Deutsches Netzwerk Evidenzbasierte Medizin e. V.

21. - 23.03.2019, Berlin

Artikel

Artikel empfehlen

Security Testing von Medizin-Apps

Meeting Abstract

Suche in Medline nach

  • Wilfried Kirsch - softScheck GmbH, Deutschland
  • Hartmut Pohl - softScheck GmbH, Deutschland
  • Sascha Böhm - softScheck GmbH, Deutschland

EbM und Digitale Transformation in der Medizin. 20. Jahrestagung des Deutschen Netzwerks Evidenzbasierte Medizin. Berlin, 21.-23.03.2019. Düsseldorf: German Medical Science GMS Publishing House; 2019. Doc19ebmS2-V4-05

doi: 10.3205/19ebm020, urn:nbn:de:0183-19ebm0203

Veröffentlicht: 20. März 2019

© 2019 Kirsch et al.
Dieser Artikel ist ein Open-Access-Artikel und steht unter den Lizenzbedingungen der Creative Commons Attribution 4.0 License (Namensnennung). Lizenz-Angaben siehe http://creativecommons.org/licenses/by/4.0/.

Gliederung

Text

Hintergrund/Fragestellung: Die Anzahl der verfügbaren Medizin-Apps steigt stetig. Über 50% der Ärzte greifen laut Umfragen auf entsprechende Apps während der Arbeit zurück. Aber auch Privatleute setzen oft auf Medizin-Apps. Sei es zur Diagnose oder um sein eigenes Krankenprofil immer dabei zu haben, welches dann auch Ärzten vorgelegt werden kann. Aktuell ist hier die Krankenkassen App Vivy zu nennen die mit ihren Sicherheitslücken in den Schlagzeilen stand [1].

Bei medizinischen Daten ist es von höchster Priorität, dass diese sicher sind. Es stellt sich daher die Frage, ob alle Medizin-Apps diese Daten schützen. Auch Anfragen zu Diensten welche aufgrund von Symptomen auf die Krankheit schließen, müssen abgesichert und anonymisiert sein.

Methoden: Mittels einem Man-in-the-Middle Angriff wurden die Daten, die zwischen App und Server verschickt werden, soweit möglich gelesen und ausgewertet. Außerdem wurde getestet, ob die Daten von der App unerkannt manipuliert werden können. Ebenfalls wurde untersucht wo die Daten auf dem Smartphone gespeichert werden. Je nach Speicherort können neben der Medizin-App auch andere Apps die sensiblen Medizindaten lesen und diese wiederrum ins Internet verschicken.

Ergebnisse: Die Ergebnisse fielen je nach App unterschiedlich aus. Manche Apps erscheinen sicher doch bei anderen konnten wir Medizindaten lesen und oft sogar verändern. Viele Apps sind, gleichwohl der sensiblen Daten, die bei Veränderungen im schlimmsten Fall sogar Leben kosten können, unsicher.

Schlussfolgerungen: Um solche Sicherheitslücken zu vermeiden, ist ein ganzheitlicher Prozess erforderlich. Dieser sichert nicht nur die Medizin-App ab, sondern alle Kommunikationswege der App. Um dies zu erreichen muss von Grund auf sicher entwickelt werden. Hierzu bietet sich der sichere Entwicklungsprozess von softScheck an. Der softScheck Security Testing Process basiert auf der ISO 27034 und enthält 6 Methoden zur Identifizierung von Sicherheitslücken:

  • Security Requirements Analysis
  • Threat Modeling
  • Conformance Testing
  • Static Source Code Analysis
  • Penetration Testing
  • Dynamic Analysis: Fuzzing

Jede dieser Methoden identifiziert andere Klassen von Sicherheitslücken.

Gliederung

Literatur

1.
Scherschel FA. Vivy: Gravierende Sicherheitsmängel in Krankenkassen-App aufgedeckt. Heise online. 2018 Oct 10. Available from: https://www.heise.de/security/meldung/Vivy-Gravierende-Sicherheitsmaengel-in-Krankenkassen-App-aufgedeckt-4207260.html Externer Link