Webinar: "Lernen Sie APPVISORY kennen" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

eRiXa App – E-Rezepte App mit Sicherheits- und Datenschutzmängeln

23 Nov, 2020

Wie sicher ist die eRiXa App?

 

mediaTest digital hat die erste bundesweit verfügbare e-Rezepte App “eRiXa” hinsichtlich Datenschutz- und sicherheit analysiert und einige gravierende Mängel festgestellt. Die e-Rezepte App des Herstellers smartoffice-rv in Kooperation mit apotheken.de ist bereits für Apple- und Android-Geräte in den jeweiligen App-Stores verfügbar. Damit ist sie der Vorreiter der e-Rezepte Apps: Ab dem 01. Juli 2021 sind E-Rezepte für gesetzlich Versicherte verfügbar und ab dem 01. Januar 2022 laut Patientendaten-Schutzgesetz (PDSG) bundesweit Pflicht.

Die Funktionen einer E-Rezepte App

Mit der eRixa App können Ärzte Rezepte erstellen und an die gesetzlich- und privatversicherten Patienten übermitteln. Daraufhin können diese ihre Rezepte über die App in der Apotheke (online oder stationär) einlösen.Die App bietet außerdem eine Chatfunktion zwischen Arzt, Patient, Apotheke und Angehörigen. Zudem haben die Ärzte mit Hilfe der App Einsicht in Arztbriefe, Laborbefunde und Röntgenbilder. Folglich verarbeitet die App eine Vielzahl hochsensibler Daten. Die App wurde basierend auf den e-Rezept Spezifikationen der gematik (Gesellschaft des Bundesgesundheitsministeriums, der Bundesärztekammer und weiteren öffentlichen Stellen) entwickelt und sie trägt zwei Datenschutzsiegel „Pridatect“ und „Teambeam“.

eRixa App weist Mängel auf

Beide Versionen (v2.2 für iOS und v2.3 für Android) hat das Hannoversche Test-Labor aus Datenschutz- und Datensicherheitsperspektive unter die Lupe genommen und dabei einiges an Optimierungsbedarf festgestellt. Zunächst fiel auf, dass zur Speicherung der Daten der Microsoft Cloud Dienst „Azure“ genutzt wird. Das Rechenzentrum befindet sich zwar in Deutschland, jedoch erhebt Microsoft trotzdem einige Daten, die damit den EU-Raum verlassen. Die App nutzt bisher keine Ende-zu-Ende-Verschlüsselung, was in Anbetracht der sehr sensiblen Daten, die eine Rezepte-App verarbeitet, nicht optimal ist. mediaTest digital konnte im Labortest die Übertragung von Rezept, E-Mail, Passwort, Name und Metadaten mitlesen. Beim Senden von Rezeptdaten an eine Demo-Apotheke landeten die Daten in einem E-Mail-Postfach des Anbieters, was ebenfalls aus Datenschutzsicht höchst bedenklich ist. Die iOS-App sichert sich zudem die Berechtigung zum Zugriff auf das Mikrofon, was sich bisher durch keinen Anwendungsfall plausibilisieren lässt. In der Android-Version ermöglicht ein fehlerhafter Flag außerdem USB-Debugging. Grundsätzlich zu beachten ist zusätzlich, dass Geräte mit einer älteren Android-Version vor 7.0 anfällig für die Janus Schwachstelle (CVE-2017-13156) und somit Datenverlust durch Trojaner und andere Angriffe sind.

Irreführende Datenschutzerklärung

Positiv ist hervorzuheben, dass in der iOS-App keine Trackingdienste eingebunden sind. Dahingegen verwendet die Android-Variante ein Microsoft Analytics Tool sowie den Crash-Reporter. Eine weitere unschöne Auffälligkeit ist die fehlerhafte und offensichtlich nicht für die eRiXa-App vorgesehene Datenschutzerklärung. So ist beispielsweise an einigen Stellen die Rede von Arbeitszeugnissen. Diese irreführenden Erwähnungen sind vermutlich auf den Hersteller smartoffice-rv zurückzuführen, der sich bei anderen Produkten u.a. mit Arbeitszeugnissen beschäftigt. Hier besteht sehr dringender Handlungsbedarf, um den Nutzern der App eine passende Datenschutzerklärung anzubieten.

eRixa App im Datenschutz-Test

Obwohl sich die e-Rezepte App offiziell noch in der Pilotprojekt-Phase befindet, gibt es im Appstore und innerhalb der App keinen Hinweis darauf, dass es sich um eine Demo-Version handelt. mediaTest digital rät NutzerInnen dazu, die App mit Vorsicht zu genießen. Aufgrund der sensiblen Daten, die die App verarbeitet, wäre ein deutscher oder europäischer Clouddienst für die Speicherung der Daten sowie eine Ende-Zu-Ende-Verschlüsselung wichtig. Darüberhinaus empfiehlt mediaTest digital, die Android-Version der App auf keinen Fall auf Geräten zu installieren, die eine ältere Betriebssystemversion als 7.0 nutzen.

Das könnte Sie auch interessieren:

Update-Prüfung der Corona-Warn-App (März)

Update-Prüfung der Corona-Warn-App (März)

Corona Warn App Update – erweiterter Funktionsumfang der Kontakt-Tagebücher   Wie diversen Pressemeldungen kürzlich zu entnehmen war, hat die Corona-Warn-App mit dem Update 1.14 weitere Kontaktverfolgungsmöglichkeiten durch die Eingabe persönlicher...

Datenschutz und Datensicherheit: Ein Glossar

Datenschutz und Datensicherheit: Ein Glossar

Definition: Datenschutz & Co. Datenschutz und Datensicherheit – zwei Begriffe, die den meisten Bürgern schon einmal begegnet sind oder zumindest sein sollten. Schließlich sind diese auch im deutschen Grundgesetz verankert. Doch was meint „Datenschutz“ überhaupt...

PRESSEKONTAKT

 

Karina Quentin | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Möchten Sie Ihr Unternehmen erfolgreich absichern?

Newsletter

Exklusive Tipps und Neuigkeiten rund um Apps und Mobile Sicherheit

Contact