#Gesundheits-Apps: Sensible Daten von Millionen Menschen abrufbar

Bekam die Fitness-App Fitbit jüngst den Titel der App, die am meisten Akku frisst, sind Gesundheits-Apps nun erneut im Fokus. Wie das Fachmagazin c‘t herausfand, sind über Jahre hinweg sensible Daten von eben jenen Anwendungen einsehbar gewesen. Betroffen sind Apps der Entwicklerfirma Hans Dinslage GmbH, die unter anderem hinter den kostenfreien Apps „Health For You“ und „Sanitas Health Coach“ steckt.

Obgleich keine populären Fitness-Marken oder -Tracker hinter dem Skandal stehen, so sind dennoch mehr als eine Million Nutzer betroffen. Vor allem günstiges, smartes Geusndheitszubehör greift auf diese Apps zurück, wie etwa Waagen oder Thermometern. Konkret die Eigenmarke von Lidl, Silvercrest, nutzt die genannten Apps, um beispielsweise den Aktivitätssenor SAS 88 oder das Thermometer SFT 81 mit dem Smartphone zu verbinden. Beliebte Alternativen, die beim Discounter in der Regel weniger kosten als jene von speziellen Marken.

• Gesunder Rücken im Homeoffice: Diese Apps und Videos helfen dir

Gesundheits-Apps geben Daten preis

Wie bei fast jeder Fitness- und Gesundheits-App, müssen Nutzer einige Daten über sich selbst preisgeben. Dazu zählt nicht nur Name, Mail und Geschlecht, sondern auch tiefgreifendere Merkmale wie Geschlecht, Größe und Alter respektive Geburtsdatum. Auf Basis dessen und den erfassten Daten von Waage, Thermometer und Co. erstellen die Apps ein Profil, um Erfolge darstellen zu können. Gerade Anwendungen, die sich um gesundheitliche Themen drehen, ziehen Informationen wie Blutdruck, Puls, Sauerstoffgehalt oder auch Schlafdauer aus den Messungen heraus. Alle Details landen letztlich in der Cloud der App, in der sie abgespeichert sind.

So zumindest bei den Apps der Entwicklerfirma Hans Dinslage GmbH. Wie c‘t berichtet, hätten Fremde zumindest theoretisch alle Daten von Nutzern einsehen können. Dazu hätte man sich lediglich mit der Mail-Adresse eines Nutzers anmelden müssen, um beim Server eine Anfrage stellen zu können. Ohne eine eigentlich nötige Passwort-Abfrage konnten Dritte die Daten einsehen sowie außerdem ein API-Token – also eine eindeutige Identifikation für einen Service – erstellen lassen können, um permanent Zugriff auf den Account zu haben.

Sicherheitslücke seit mehr als fünf Jahren

Weiter heißt es, fand man die Sicherheitslücke bereits im Jahr 2013. Die App „Sanitas Health Coach“ hat im Endeffekt seit 2015, „Health For You“ seit 2017 mit dem Datenleck zu tun. Die Entwicklerfirma bestätigt dies auf Nachfrage von c‘t, äußerte sich aber nicht weiter zu möglichen Fallzahlen. Man habe allerdings keine Hinweise darauf gefunden, dass Dritte die Sicherheitslücke ausnutzen respektive ausgenutzt haben.

Wenn du Nutzer von „Sanitas Health Coach“ bist, kannst du nicht überprüfen, ob deine Daten abgegriffen wurden. Bei „Health For You“ könnte allerdings eine Mail Hinweis darauf geben. Denn loggt sich jemand über ein neues Gerät in der App ein, erhält der Nutzer eine Nachricht per Mail. Es wird jedoch empfohlen, die Passwörter der Apps zu ändern.