Mastodawn

realansgar May 9, 2023

Edupression ist die dritte „App auf Rezept“, in der @zerforschung eine massive Sicherheitslücke gefunden hat. In diesem Fall waren Tagebucheinträge von Menschen mit Depressionen einsehbar, Diagnosen, deren Aussagen zu Selbstmordgedanken und vieles mehr. Hoch private, sensible Daten miserabel geschützt.

Ich habe recherchiert, was das systematische Problem hinter der Sicherheit von digitalen Gesundheitsanwendungen ist. (€ Thread gibts morgen)
#datenschutz #gesundheit
https://www.zeit.de/digital/datenschutz/2023-05/gesundheitsapp-datenschutz-depression-edupression-sicherheitsluecke

Datenschutz: Wenn Hacker mit Gesundheits-Apps besonders leichtes Spiel haben

Eine Gesundheits-App verliert Daten psychisch kranker Menschen. Sie ist nicht die erste "App auf Rezept", bei der das passiert. Das liegt auch am System dahinter.

ZEIT ONLINE

Eva Wolfangel May 10, 2023

Good news: Der Artikel über Gesundheitsapps, die eure Diagnosen, Tagebücher und psychische Leiden leaken, ist jetzt frei lesbar für alle.

Bad news: Zu den 3 Apps, in denen @zerforschung
Sicherheitslücken gefunden hat, kommt noch eine (Velibra), die Martin Tschirsich vom @CCC untersucht hatte. Das sind 4 von 45 zugelassenen Diga.
10 Prozent! Das muss man sich mal auf der Zunge zergehen lassen. "App auf Rezept" ist gescheitert, würde ich sagen.

#datenschutz #cybersecurity

Eva Wolfangel May 10, 2023

Was mir bei der Recherche noch aufgefallen ist: @zerforschung hatte mir netterweise die Antworten auf eine IFG-Anfrage zum Thema Sicherheitslücken bei Digas exklusiv zur Verfügung gestellt. Darin ging es auch um die App Velibra, die Martin Tschirisch vom @CCC untersucht hatte. Allerdings waren alle wesentlichen Informationen geschwärzt (also zb zur Natur der Sicherheitslücken). Und obwohl es damals einen intensiven Austausch mit dem BfArm gab, wird im Diga-Verzeichnis nichts davon erwähnt. Dabei

Eva Wolfangel May 10, 2023

Dabei gibt es im Diga-Verzeichnis bei jeder App seitenweise Informationen zu Datenschutz und Datensicherheit, auch bei Velibra: https://diga.bfarm.de/de/verzeichnis/00316
Auch Verbraucherschutz gibt es als Thema, auch viele Seiten Infos. Wäre es nicht im Sinne des Verbraucherschutzes, zumindest auf die Sicherheitslücke hinzuweisen? Selbst wenn sie geschlossen ist, fände ich das wichtig zu wissen, um eine App einschätzen zu können.
#diga #gesundheit #datenschutz

DiGA-Verzeichnis

Finden Sie die passende digitale Gesundheitsanwendung

52kr May 10, 2023

@evawolfangel
Für die Einschätzung einer App, besser noch ihres Herstellers, fände ich viel interessanter, über Reaktionszeiten, Problembehandlung und vor allem Begrenzung des Schadens auf Seiten des Anwenders informiert zu sein.
Ist in aller Regel aber nirgendwo gegeben. Leider.

Eva Wolfangel May 11, 2023

@52kr Der Hersteller informiert bislang nicht auf seiner Webseite. Da steht weiterhin "Höchste Standards
bei Datensicherheit" 🙈

GunChleoc May 10, 2023

@evawolfangel Das schreit geradezu nach dem "Weiß ich nicht, DiGA"-Meme

Eva Wolfangel May 11, 2023

@gunchleoc 😂

Trötifant May 10, 2023

Wo ist der Artikel frei verfügbar? Wenn ich den oben angebenen Zeit-Weblink öffne, kommt das Overlay für die Wahl zwischen Werbung und Abo.

@zerforschung @CCC

Eva Wolfangel May 10, 2023

@Voka Ja, da hast du recht. Das liegt nicht in meiner Macht - genausowenig die Bezahlschranke selbst.
Letztlich ist es so, dass Zeit Online mich dafür bezahlt, gründlich und kritisch zu recherchieren. Von daher muss das Geld irgendwoher kommen. Wenn du nicht bezahlen willst und keine Werbung sehen willst: welche Lösung schlägst du vor? Wenn niemand für Journalismus bezahlt, wird es solche Recherchen künftig nicht mehr geben.

@zerforschung @CCC

Trötifant May 10, 2023

Ich wollte gar nicht auf dieses Grundsatzthema hinaus, für das es verschiedene Lösungen gibt, aber welche für welches Medium wie gut denkbar wäre...

Eigentlich bezog ich mich nur auf das, was du oben nach "Good news" schriebst. Vielleicht habe ich es falsch gedeutet. Mein Verständnis war:
Bisher war der Artikel nicht frei lesbar (Bezahlschranke bei Zeit), jetzt ist er frei lesbar für alle (entweder keine Bezahlschranke mehr oder andere Quelle).

@zerforschung @CCC

Eva Wolfangel May 10, 2023

@Voka Huch, da sollte keine Bezahlschranke mehr sein. (aber: Werbung natürlich trotzdem) Ist bei dir noch eine Bezahlshranke? Ich werde aus diesem System nicht schlau. Bei mir ist die nämlich weg. @zerforschung @CCC

Trötifant May 10, 2023

Ok, also keine andere Quelle, sondern der Zeit-Artikel. Kann sein, dass da auch meine Browser-Konfiguration mit reinspielt. Ich hätte ganz naiv erwartet, dass der Artikel wie eine ganz normale Webseite angezeigt wird. Aber ich kenne mich mit der technischen Umsetzung von Bezahlschranken und einzelnen Freischaltungen nicht aus.

Da muss jetzt kein Wirbel gemacht werden, solange sich nicht auch andere melden.

@zerforschung @CCC

Eva Wolfangel May 11, 2023

@Voka Sorry, dann war das ein Missverständnis. Ich dachte, du beschwerst dich über die Werbung. Ich kann dir den Artikel gerne als pdf schicken (per e-mail oder messenger - hier geht es leider nicht)

Trötifant May 11, 2023

Danke für das Angebot! 😃 Aber das ist nicht nötig.

Hans May 10, 2023

@evawolfangel @Voka @zerforschung @CCC

Ich kaufe mir morgen die Printausgabe.

Hans May 10, 2023

@evawolfangel @zerforschung @CCC

Ganz dickes
DANKE an Eva Wolfangel!

Werde ich gleich an die Ärzte weiterleiten.

Mirko Adam May 12, 2023

@evawolfangel
@zerforschung Na ja, bei solchen Prüfungen ist auch nichts anderes erwartbar. Jedes andere medizinische Medikament/Gerät muss aufwändigst geprüft werden, warum auch nicht Apps? Klar, es dauert, aber wenn die Daten erst mal im Netz sind, sind sie das für Immer. IMHO sollten solche Apps alle verpflichtend unter freien Lizenzen angeboten werden, dann fällt die Prüfung zumindest leichter und Fehler können schneller behoben werden. Hat bei der Corona Warn App auch hervorragend geklappt.

Hans May 10, 2023

@evawolfangel @zerforschung

DANKE!

1/4

Geteilt und favorisiert.

Allein schon, weil die meisten handelsüblichen Betriebssysteme einen grundsätzliches Sicherheits-Problem haben.

Es gibt seit mehreren Jahren Untersuchungen welche nachgewiesen haben, daß alle handelsüblichen Betriebssysteme Daten zu den Herstellen übertragen.
Folgende Studien sind mir bekannt:

1.
https://www.scss.tcd.ie/doug.leith/pubs/apple_google2.pdf

2.
https://www.scss.tcd.ie/doug.leith/Android_privacy_report.pdf

3.
https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf

4.
https://www.scss.tcd.ie/Doug.Leith/pubs/wisecfp034-liu.pdf

Hans May 10, 2023

@evawolfangel @zerforschung

2/4

Letztlich kann der Eigentümer/ Besitzer eines Smartphones NICHT selbst frei entscheiden, welche der Telemetrieübertragungen nützlich und sinnvoll sind bzw. welche ihm schaden könnten bzw. NICHT DSGVO-konform sind.

Beispiel folgt.

Hans May 10, 2023

@evawolfangel @zerforschung

3/4

"Sowohl iOS als auch Google Android übermitteln Telemetrie-
daten, obwohl der der Nutzer dies ausdrücklich ablehnt. Wenn
eine SIM-Karte eingelegt wird, senden sowohl iOS und Google
Android Details an Apple/Google. iOS sendet die MAC-Adressen
von Geräten in der Nähe, z. B. von anderen Handys und dem
Home-Gateway, zusammen mit ihrem GPS-Standort an Apple.
[...]"

(aus: https://www.scss.tcd.ie/doug.leith/pubs/apple_google2.pdf )

Hans May 10, 2023

@evawolfangel @zerforschung

4/4

"[...]
Wenn überhaupt, gibt es derzeit nur wenige realistische
Möglichkeiten, diese Datenweitergabe zu verhindern."

(aus: https://www.scss.tcd.ie/doug.leith/pubs/apple_google2.pdf )

Stephan Matthiesen May 10, 2023

@Hans
Alles richtig, aber es ist schon ein enormer Unterschied, ob das Betriebssystem den Standort registriert oder ob eine App Tagebucheinträge zu psychischen Problemen für andere zugänglich macht.
Diese Gleichmacherei "Handys sind sowieso blöde" finde ich da nicht unbedingt hilfreich.
@evawolfangel @zerforschung

André Stricker May 10, 2023

@StephanMatthiesen @Hans @evawolfangel @zerforschung

Naja auch wenn's nicht direkt zum Thema passt, ist es schon so dass das Problem bis jetzt ignoriert wird. Behörden, Datenschützer und Verbraucherschützer wollen/können nichts gegen diese illegale Praxis machen. Und solange die Betriebssysteme per Design Daten verteilen ist ein effektiver Datenschutz ein echtes Wunschdenken.

Naja und mies programmierte/unsichere APIs gehören offengelegt - und zwar im Gesundheitswesen per Push-Nachricht.

Stephan Matthiesen May 10, 2023

Ja, aber ich würde jetzt mal vermuten, dass mann das
@evawolfangel durchaus nicht immer wieder erklären muss.

Es ist schon zunehmend ermüdend, dass ganz oft bei der Diskussion um ein großes Problem jemand kommt und mit etwas anderem anfängt.

Kann man nicht vielleicht einfach beim Thema "Gesdundheitsanwendungen" bleiben, das für sich alleine eine wesentlich ernstere Gefahr fü+r viele konkrete Personen ist als die allgemeine Handy-Telemetrie?

@Hans @zerforschung

André Stricker May 10, 2023

@StephanMatthiesen @evawolfangel @Hans @zerforschung

Bin bei dir!

Hans May 10, 2023

@andrestricker @StephanMatthiesen @evawolfangel @zerforschung

Für mich fängt es bereits bei den kaputten Systemen an.
Die müssten erstmal sauber werden.

Aber: Ihr habt auch recht.
Die Apps sind ebenso kaputt.

Siehe dazu:

https://benjamin-altpeter.de/doc/thesis-consent-dialogs.pdf

André Stricker May 10, 2023

@Hans @StephanMatthiesen @evawolfangel @zerforschung

Aber den Unterschied zwischen Sicherheitslücke und Feature siehst Du schon, oder?

Hans May 11, 2023

@andrestricker @StephanMatthiesen @evawolfangel @zerforschung

Natürlich.
Für die einen mag es ein "Feature" sein - für die anderen eine Sicherheitslücke.

Fakt ist:
Wir müssen als Bürger mit einer Digitalisierung leben, dessen interne Funktionalitäten für sehr viele von uns nicht nachvollziehbar sind.
("Mangelnde Digitalkompetenz")

Wie soll man einer Digitalisierung vertrauen, wenn es immer zu Problemen kommt, welche nicht von den Herstellern, sondern von den Aktivisten publiziert werden?

Zeroday Podcast (stefan)May 10, 2023

@evawolfangel @zerforschung gibt es da auch was von "Zahl Schranken frei?"

Eva Wolfangel May 10, 2023

@zeroday @zerforschung Ja, ist frei jetzt!

Quincy ⁂May 10, 2023

@evawolfangel @zerforschung

Immer wieder zeigen sich nicht einzelne kleine Probleme, sondern Totalversagen ...

aber egal!

Hauptsache, es gilt "Digital first Bedenken second" und "App" und "Datenreichtum" und "health data space" ...

Sonst sind wir™ nämlich "abgehängt™", muss man wissen.

Peter Däubler May 10, 2023

@evawolfangel @zerforschung Unter anderem aus diesem Grund verschreibe ich bewusst keine Apps.

Myh May 10, 2023

@evawolfangel @zerforschung Wer das allerdings NICHT will hat schlechte Karten, bzw. Erschafft schnell eine neue Religion die alles dies ablehnt.

Dietmar May 10, 2023

@evawolfangel @zerforschung und das bedeutet ja noch lange nicht, dass die übrigen 90% keine Sicherheitslücken haben!

@evawolfangel @zerforschung WTF?

WARUM SIND SO EKLATANT UNSICHERE SHICE ÜBERHAUPT LEGAL?!!???

Jede Praxis die so mit Daten um sich schmeißen würde, würde in Grund und Boden geklagt, die Zulassung entzogen und die verantwortlichen würden im Knast landen...

Mal sehen ob @janboehm das aufgreift.

caretaker May 12, 2023

@evawolfangel @zerforschung gibt es zufällig etwas von den im Artikel erwähnten vorgenommenen Sicherheitsvorkehrungen öffentlich zugänglich? Sicherheitsgutachten, Produktgutachten, Pentest? Und weiß man wieviel Zeit zwischen den Berichten/ Unbedenklichkeits Bescheinigungen und den gefundenen Lücken liegen? Es fällt mir so schwer zu glauben, dass man mit einem Pentest nicht die von @Lilith aufgezeigte Lücke gefunden hat …

Eva Wolfangel May 12, 2023

@caretaker Nein, leider ist das so weit ich weiß nicht öffentlich. Das BFarm hat mir aber bestätigt, dass ein Pentest vorlag - das ist die Bedingung für die Listung. @zerforschung @Lilith

caretaker May 12, 2023

@evawolfangel @zerforschung @Lilith Danke für die Antwort. Vielleicht liegt ja darin der Fehler. So lange es nicht öffentlich ist, kann ja streng genommen alles behauptet und geschrieben werden. Danke für Eure Arbeit.