gms | German Medical Science

20. Jahrestagung des Deutschen Netzwerks Evidenzbasierte Medizin e. V.

Deutsches Netzwerk Evidenzbasierte Medizin e. V.

21. - 23.03.2019, Berlin

Article

Send article

Security Testing von Medizin-Apps

Meeting Abstract

Search Medline for

  • Wilfried Kirsch - softScheck GmbH, Deutschland
  • Hartmut Pohl - softScheck GmbH, Deutschland
  • Sascha Böhm - softScheck GmbH, Deutschland

EbM und Digitale Transformation in der Medizin. 20. Jahrestagung des Deutschen Netzwerks Evidenzbasierte Medizin. Berlin, 21.-23.03.2019. Düsseldorf: German Medical Science GMS Publishing House; 2019. Doc19ebmS2-V4-05

doi: 10.3205/19ebm020, urn:nbn:de:0183-19ebm0203

Published: March 20, 2019

© 2019 Kirsch et al.
This is an Open Access article distributed under the terms of the Creative Commons Attribution 4.0 License. See license information at http://creativecommons.org/licenses/by/4.0/.

Outline

Text

Hintergrund/Fragestellung: Die Anzahl der verfügbaren Medizin-Apps steigt stetig. Über 50% der Ärzte greifen laut Umfragen auf entsprechende Apps während der Arbeit zurück. Aber auch Privatleute setzen oft auf Medizin-Apps. Sei es zur Diagnose oder um sein eigenes Krankenprofil immer dabei zu haben, welches dann auch Ärzten vorgelegt werden kann. Aktuell ist hier die Krankenkassen App Vivy zu nennen die mit ihren Sicherheitslücken in den Schlagzeilen stand [1].

Bei medizinischen Daten ist es von höchster Priorität, dass diese sicher sind. Es stellt sich daher die Frage, ob alle Medizin-Apps diese Daten schützen. Auch Anfragen zu Diensten welche aufgrund von Symptomen auf die Krankheit schließen, müssen abgesichert und anonymisiert sein.

Methoden: Mittels einem Man-in-the-Middle Angriff wurden die Daten, die zwischen App und Server verschickt werden, soweit möglich gelesen und ausgewertet. Außerdem wurde getestet, ob die Daten von der App unerkannt manipuliert werden können. Ebenfalls wurde untersucht wo die Daten auf dem Smartphone gespeichert werden. Je nach Speicherort können neben der Medizin-App auch andere Apps die sensiblen Medizindaten lesen und diese wiederrum ins Internet verschicken.

Ergebnisse: Die Ergebnisse fielen je nach App unterschiedlich aus. Manche Apps erscheinen sicher doch bei anderen konnten wir Medizindaten lesen und oft sogar verändern. Viele Apps sind, gleichwohl der sensiblen Daten, die bei Veränderungen im schlimmsten Fall sogar Leben kosten können, unsicher.

Schlussfolgerungen: Um solche Sicherheitslücken zu vermeiden, ist ein ganzheitlicher Prozess erforderlich. Dieser sichert nicht nur die Medizin-App ab, sondern alle Kommunikationswege der App. Um dies zu erreichen muss von Grund auf sicher entwickelt werden. Hierzu bietet sich der sichere Entwicklungsprozess von softScheck an. Der softScheck Security Testing Process basiert auf der ISO 27034 und enthält 6 Methoden zur Identifizierung von Sicherheitslücken:

  • Security Requirements Analysis
  • Threat Modeling
  • Conformance Testing
  • Static Source Code Analysis
  • Penetration Testing
  • Dynamic Analysis: Fuzzing

Jede dieser Methoden identifiziert andere Klassen von Sicherheitslücken.

Outline

Literatur

1.
Scherschel FA. Vivy: Gravierende Sicherheitsmängel in Krankenkassen-App aufgedeckt. Heise online. 2018 Oct 10. Available from: https://www.heise.de/security/meldung/Vivy-Gravierende-Sicherheitsmaengel-in-Krankenkassen-App-aufgedeckt-4207260.html External link