Die Corona-Pandemie hat die Entwicklung von digitalen Gesundheitsanwendungen weiter vorangetrieben. Doch wie sieht es dabei mit der Sicherheit aus? Aus einer Studie des Beratungs- und Dienstleistungsunternehmens Intertrust geht hervor: 71 Prozent der getesteten Gesundheits-Apps weisen mindestens eine gravierende Schwachstelle auf.
In einer Gesundheits-App-Studie von Intertrust fielen 91 Prozent der untersuchten Anwendungen bei den kryptografischen Tests durch
100 weltweit öffentlich verfügbare Medizin-Apps in einer Reihe von Kategorien getestet
Bei 71 Prozent wurden Fehler festgestellt, die ein hohes Risiko für Organisationen im Gesundheitswesen und deren Patienten darstellen
Zahlreiche mobile Gesundheits-Applikationen entsprechen nicht den aktuellen Sicherheitsstandards
Für den „2020 Security Report on Global M-Health Apps“ wurden 100 weltweit öffentlich verfügbare Medizin-Apps in einer Reihe von Kategorien getestet – darunter Telemedizin, Medizinprodukte, Health Commerce und Covid-Tracking –, um kritische Bedrohungen aufzudecken. Demnach fallen 91 der untersuchten Apps bei den kryptografischen Tests durch. Bei 71 Prozent wurden Fehler festgestellt, die ein hohes Risiko für Organisationen im Gesundheitswesen und deren Patienten darstellen. Insgesamt wurden 741 Schwachstellen in den 100 Apps entdeckt.
Betrachtet man die verschiedenen M-Health-App-Kategorien, so hatten Apps für Telemedizin und Patienten Engagement den größten Anteil mit mindestens einer schwerwiegenden Schwachstelle (80,3 Prozent). Darauf folgten Health-Commerce-Apps (80 Prozent) und Apps für medizinische Geräte (45,5 Prozent). Überraschenderweise wiesen Covid-Tracking-Apps den geringsten Prozentsatz mit einer schwerwiegenden Schwachstelle auf (38,5 Prozent). Jedoch legen 85 Prozent der Tracking-Apps Daten offen, heißt es in der Studie.
Wie sich weiterhin ergeben hat, weisen Android-Apps weit mehr Probleme auf als iOS-Apps. 28 Prozent der iOS-basierten Apps haben Schwächen in den Verschlüsselungsverfahren, während dies bei Android-basierten Apps sogar zu 34 Prozent der Fall war.
Nach den Aussagen der Studien-Autoren können Cyberkriminelle in diesen Fällen die Verschlüsselung der getesteten Apps leicht umgehen. Schwerwiegende Folgen sind nicht auszuschließen: So besteht das Risiko, dass vertrauliche Patientendaten ausgelesen oder manipuliert werden. Dabei hätten 83 Prozent der schwerwiegenden Bedrohungen mithilfe einer In-App Protection verhindert werden können, heißt es weiter.
Die Studie im Urteil von IT-Sicherheitsexperten
„Bei der Entwicklung von Apps liegt das Hauptaugenmerk auf Benutzerfreundlichkeit und Funktionalität. Leider wird Sicherheit immer noch als Hemmnis oder einschränkender Faktor betrachtet “, erklärt Boris Cipot, Senior Sales Engineer beim Software-Hersteller Synopsys. „Nicht wenige Unternehmen kämpfen, trotz bester Absichten, oft mit einer Vielzahl von Richtlinien für die sichere Kodierung.“ Hierfür würden sie spezifische Codeanalysen verwenden und eine vollständige Software Composition Analysis (SCA) durchführen, um zu prüfen, ob die Codes von Drittanbietern anfällig seien.
„Viele Sicherheitsüberprüfungen werden zum Ende des Entwicklungszyklus durchgeführt und fungieren während der Testphase als Endkontrolle. Das setzt Sicherheitsteams stark unter Druck, Probleme schnell zu identifizieren und mit den Entwicklungsteams vor der Veröffentlichung des Produkts an einer Lösung zu arbeiten. In solchen Fällen können die im Bericht beschriebenen Probleme tatsächlich auftreten“, so der Experte weiter.
Dabei lägen die Ursachen für die identifizierten Probleme nicht immer bei den App-Entwicklern. Beispielsweise, wenn ein Problem mit dem Betriebssystem vorliege oder wenn die Kommunikationstechnologie eine Schwachstelle aufweise. Boris Cipot fordert jedoch: „Medizinische Apps müssen Schutzmechanismen integrieren, die solche Probleme so weit als möglich ausschließen. Der Schutz der Daten durch korrekte Verschlüsselung, die Überwachung der Schnittstellenkommunikation und das Blockieren verdächtiger Aktivitäten sollten bereits Teil des App-Designs sein“.
Sascha Spangenberg, Senior Sales Engineer beim IT-Security-Anbieter Lookout bringt es auf den Punkt: „Dieser Report zeigt einmal mehr, dass zahlreiche mobile Gesundheits-Applikationen nicht den aktuellen Sicherheitsstandards entsprechen! Wenn sich die IoT-Kaffeemaschine zuhause durch einen Netzwerkangriff selbständig macht, ist das noch als begrenzt kritisch zu betrachten.“ Aber wenn sich eine solche Attacke gegen ein Gerät in einer Klinik richte, das bei einer Operation zum Einsatz komme, könnte das durchaus lebensbedrohlich für einen Patienten sein.
Worin liegen die Ursachen für diese Risiken? Spangenberg: „Oftmals in einem zu niedrigem Sicherheits-Budget, aber häufig sind auch App-Entwickler nicht auf mobile Endgeräte spezialisiert und zu wenig mit den erforderlichen Sicherheitsvoraussetzungen vertraut.“
Deshalb macht der Security-Fachmann auf „geeignete Tools, die solche Schwachstellen aufdecken und zeigen, ob eine Applikation eine aktuelle TLS-Version oder Certificate Pinning verwendet“ aufmerksam. Spangenberg resümiert: „Ein Schwachstellen-Management sollte zudem auf Lücken in den Applikationen sowie im Betriebssystem angewendet werden. Angreifer können, wie aufgezeigt, nicht nur über die Applikationen, sondern auch über Geräte-Schwachstellen eindringen.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/a7/d9/a7d9c7cf33e8cf838bb097ee5814e6b5/0128879647v2.jpeg "Im Visier der Hacker: Vernetzte Medizintechnik rettet Leben und bietet Angriffsflächen. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/d3/16d3e08f9404aae1cec19cf11f471e27/0126703504v2.jpeg "Aktuelle Nachrichten aus der Medizintechnik-Industrie und branchenrelevante Forschungsmeldungen (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/58/825827ed19c3bf98c02caf79f0e3796d/0128846504v2.jpeg "Healthcare Hackathon Bayern: Vom 4. bis 6. Dezember 2025 wurde das Microsoft Deutschland Headquarter in München zum Zentrum für digitale Gesundheitsinnovationen. (Bild: Fotografie Lukas Barth )")
:quality(80)/p7i.vogel.de/wcms/65/54/6554f4ce23c476df9d69d09fbde2bceb/0128851621v2.jpeg "Jens Kirsch, Geschäftsleitung des Start-ups Terraplasma Medical (Bild: Terraplasma Medical)")
:quality(80)/p7i.vogel.de/wcms/4f/cd/4fcda72dae0ec5f23220a21b3647b424/0128897721v2.jpeg "Ein orange fluoreszierender UV-Klebstoff, der die Schläuche verbindet, wird mit einer Hoenle Bluepoint LED ausgehärtet. (Bild: Hoenle)")
:quality(80)/p7i.vogel.de/wcms/55/b5/55b55fb65e806d35c50c087ec4bff9dd/0128858611v1.jpeg "Im Zentrum der Zusammenarbeit von Precisis und Infineon steht EASEE, ein minimalinvasives Gehirnstimulationssystem. (Bild: Precisis)")
:quality(80)/p7i.vogel.de/wcms/02/5f/025f95f5f36c3ad2fa8b659db0ace995/0128775261v1.jpeg "Medizinisches System sowie Verfahren zur Überprüfung einer Registrierungsgenauigkeit (Bild: B. Braun New Ventures GmbH/DPMA)")
:quality(80)/p7i.vogel.de/wcms/1a/2c/1a2c9f5eba9be6ec8613f8e5c4ca57f1/0128897329v2.jpeg "Mit Inodent bietet Inovatools ein vollständiges Werkzeugprogramm für die CAD/CAM-Fertigung von Kronen, Brücken, Implantaten, Abutments und Prothesen an. (Bild: Inovatools)")
:quality(80)/p7i.vogel.de/wcms/34/47/34475cfdd1f50e24afcdf222f68ae3db/0128305449v2.jpeg "Das EPU-Gitterdesign bot eine leicht zu reinigende, atmungsaktive und leichte Lösung mit einer flachen Struktur, die sich ideal für dynamischere Bewegungen eignet. (Bild: Phoenix Hipwear)")
:quality(80)/p7i.vogel.de/wcms/1b/fc/1bfcc1ba3a0fa9a79d8d7ce419e58e96/0128511304v2.jpeg "Automatisiertes Surf-Finishing in einer komplexen Fertigungszelle. (Bild: Rösler Oberflächentechnik GmbH)")
:quality(80)/p7i.vogel.de/wcms/07/36/07367f9a363a707b56866bfb3845058f/0128767723v2.jpeg "Am 16. Dezember startete die EU-Kommission eine Initiative zur umfassenden Verbesserung der MDR und IVDR. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/b9/15b9ec6f13f4e84fadfd86a37661add0/0128668842v2.jpeg "Erfolgreiche Change-Management-Prozesse hängen von guter Planung und effektiver Durchführung ab. (Bild: © Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/05/3705d26af51e1a3aee495f891597dc42/0128556699v2.jpeg "Hier finden Sie unsere Highlight-Artikel aus dem Jahr 2025 zum Thema Regulatory Affairs. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/cc/f7/ccf7abfb351958b31b69126dc609a9fd/0128558828v2.jpeg "Patientenmonitoring direkt auf der Haut. Biosensorik und KI-Algorithmen sind vereint, um traditionelle Diagnosen zu ersetzen. (Bild: Adaptyx Biosciences)")
:quality(80)/p7i.vogel.de/wcms/09/81/098141e1559787f0c6b63e9da7534414/0128826948v2.jpeg "Lichtblattmikroskop mit neu entwickelter Plattform beim Scan einer Hörschnecke (Bild: Mostafa Aakhte)")
:quality(80)/p7i.vogel.de/wcms/c1/34/c13484a67020f30f20b86ac794b6f222/0128433373v2.jpeg "Osteosynthese-Implantat für einen Unterkiefer, ausgerüstet mit einer mittels Micro-Arc-Oxidation hergestellten porösen Oberfläche. (Bild: Fraunhofer IFAM)")
:fill(fff,0)/p7i.vogel.de/companies/60/35/60353b32617d5/logo-kumavision-400x100px.png "logo_kumavision_400x100px.png (KUMAVISION)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/60/676050c92dbbf/codialist-logo-weisse-schrift-rgb-square--3-.png "codialist-logo-weisse-schrift-rgb-square--3- (Codialist)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1754300/1754358/original.jpg "BfArM-Präsident Prof. Dr. Karl Broich: „Mit der erstmalig systematischen und zügigen Prüfung digitaler Gesundheitsanwendungen im neuen Fast-Track-Verfahren leistet das BfArM einen wichtigen Beitrag zur Digitalisierung der Gesundheitsversorgung. Das kommt den Patientinnen und Patienten sowie dem Innovationsstandort Deutschland gleichermaßen zugute.“ (BfArM)")
:quality(80)/p7i.vogel.de/wcms/da/63/da63106b2ce72a0ac5c96573554a855c/91131621.jpeg "Es drohen Verzögerungen für die elektronische Patientenakte (© MQ-Illustrations – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/94/5694e535c1c904b988c38f9dce5875a2/0122738325v2.jpeg "Das Interesse der Malware-Akteure am Gesundheitswesen steigt. (© deimos.az – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/7d/807d8a8cfb5f7b595ff633779c606979/0124735836v2.jpeg "Professionelles Lieferkettenmanagement kann frühzeitig Sicherheitslücken in Software entdecken und vermeiden. (Bild: ChatGPT / KI-generiert)")