Wenige Tage nach dem fünften Jubiläum der DSGVO in Deutschland, macht eine Schlagzeile in der Zeit darauf aufmerksam, dass der Schutz von Daten auf mobilen Geräten und in Apps noch immer vernachlässigt wird. Ein Sicherheitsforscher hatte mehrere inzwischen behobene Schwachstellen in der App „Mein Kinder- und Jugendarzt“ aufgedeckt.

Ein Beitrag von Melanie Eschbach, Sales Team Manager (Public & Healthcare) & Ulrike Scharf, SE Team Leader Public bei Check Point.

Die App „Mein Kinder- und Jugendarzt“ wird von 700.000 Nutzern in Deutschland für die Kommunikation mit Arztpraxen genutzt und kann bei Google und Apple heruntergeladen werden. Er konnte nicht nur die Chat-Kommunikation anderer zu lesen, sondern hätte auch Malware an die Arztpraxen versenden können.

Der Fall mag für die Leser damit abgeschlossen sein, dennoch zeigt er wieder einmal, dass Patientendaten auf allen Geräten mit dem gleichen Sicherheitslevel geschützt gehören. Dabei ist es unerheblich, ob sie in einer Arztpraxen-Software, in einer App auf Smartphones wie im beschriebenen Fall oder aber auf Cloud Plattformen gehostet werden.

Organisationen aus dem Gesundheitssektor sind aus verschiedenen Gründen ein bevorzugtes Ziel für Cyberkriminelle. Einer davon ist, dass diese Unternehmen Zugang zu sensiblen und wertvollen Daten haben, darunter wie eben bei der App Gesundheitsdaten von Patienten und Bankkartendaten wie Kreditkarten oder aber auch Debit-Karten.

Ein Angreifer, der Zugang zu diesen Daten hat, kann diese im Darknet teuer verkaufen oder vom Opfer ein Lösegeld für ihre Freigabe verlangen, wenn er sie zuvor verschlüsselt hat. Darüber hinaus kann er im Falle einer Schwachstelle in einer App Zugriff auf das Mobiltelefon erlangen und damit auch alle anderen Daten und sensiblen Informationen auslesen.

Generell sehen sich alle Anbieter im Gesundheitswesen von Krankenhäusern bis hin zu Kliniken und Forschungslaboren mit erheblichen Herausforderungen im Bereich der Cybersicherheit konfrontiert. Die Einführung von Cloud-, Mobil- und IoT-Technologien verbessert zwar die Effizienz und Qualität ihrer Dienstleistungen, setzt sie aber zugleich vermehrt Cyberangriffen aus, einschließlich der Gefahr von Datenverlusten und Lösegeldforderungen.

Sicherheitsstrategien müssen auf Prävention setzen, wenn personenbezogenen Informationen und Patientendaten abgeflossen sind, ist es bereits zu spät. Dies gelingt mit einer zentralen Architektur, die mobile und Endpunktsysteme wie mobile Geräte, Laptops und medizinische Geräte bis hin zu dem „Internet of Medical Things (IoMT)“ vereint und absichert.

Weitere Beiträge....