Der mdr verbreitet heute in seinen Radionachrichten und online die Behauptung, die AOK Bonus-App hätte eine Sicherheitslücke. Daten von Nutzern würden von der AOK an Server in den USA weitergeleitet. Das ist falsch.
Die Redaktion “Zeitgeschehen” des mdr hatte seit September 2018 für die Sendung “exakt” am 10.10.2018, 20:15 Uhr einen Beitrag zur Sicherheit von Apps im Gesundheitswesen vorbereitet. Dafür hat ein vom mdr beauftragter IT-Experte die AOK Bonus-App, die von der AOK PLUS und der AOK Bremen/Bremerhaven eingesetzt wird, vorige Woche getestet und eine mögliche Sicherheitslücke identifiziert.
Die AOK Bonus-App übermittelt bzw. speichert keine Daten auf Servern in den USA.
Sämtliche Daten der App werden auf Servern der AOK in Rechenzentren in Deutschland verarbeitet und gespeichert.
Ein Zugriff auf sensible Daten der Versicherten wie z. B. Arztrechnungen war zu keinem Zeitpunkt möglich.
In dem durch die mdr-Redaktion gestellten Angriffsszenario musste:
• der Anwender eine veraltete Betriebssystemversion einsetzen und zusätzliche Software auf seinem Endgerät installiert haben
• der Angreifer sich im selben WLAN befinden wie ein fiktiver Nutzer der Bonus-App
• der Anwender die Sicherheitshinweise seines Smartphones ignorieren.
Nur unter diesen Voraussetzungen konnte die Kommunikation überhaupt mitprotokolliert werden. Die dabei verfügbaren Informationen reichen aber definitiv nicht aus, um auf sensible Gesundheitsdaten zuzugreifen, da diese durch weitere Mechanismen geschützt sind.
Nur ein kleiner Teil der 65.000 Nutzer der AOK Bonus-App war überhaupt theoretisch betroffen.
Das potentielle Sicherheitsrisiko betraf lediglich veraltete Versionen des Android-Betriebssystems, welches bei weniger als 5 Prozent der Nutzer zum Einsatz kam.
Eine aktualisierte Version der App ist seit gestern verfügbar.
Jeder Nutzer, der noch nicht die aktuelle Version auf dem Gerät hat, wird ab Donnerstag, dem 11.10.2018 im Interesse der eigenen Datensicherheit aufgefordert, die AOK Bonus-App über den Google Play Store zu aktualisieren.
Keine Kommentare bisher