Webinar: "Lernen Sie APPVISORY kennen" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

eRiXa App – E-Rezepte App mit Sicherheits- und Datenschutzmängeln

23 Nov, 2020

Wie sicher ist die eRiXa App?

 

mediaTest digital hat die erste bundesweit verfügbare e-Rezepte App “eRiXa” hinsichtlich Datenschutz- und sicherheit analysiert und einige gravierende Mängel festgestellt. Die e-Rezepte App des Herstellers smartoffice-rv in Kooperation mit apotheken.de ist bereits für Apple- und Android-Geräte in den jeweiligen App-Stores verfügbar. Damit ist sie der Vorreiter der e-Rezepte Apps: Ab dem 01. Juli 2021 sind E-Rezepte für gesetzlich Versicherte verfügbar und ab dem 01. Januar 2022 laut Patientendaten-Schutzgesetz (PDSG) bundesweit Pflicht.

Die Funktionen einer E-Rezepte App

Mit der eRixa App können Ärzte Rezepte erstellen und an die gesetzlich- und privatversicherten Patienten übermitteln. Daraufhin können diese ihre Rezepte über die App in der Apotheke (online oder stationär) einlösen.Die App bietet außerdem eine Chatfunktion zwischen Arzt, Patient, Apotheke und Angehörigen. Zudem haben die Ärzte mit Hilfe der App Einsicht in Arztbriefe, Laborbefunde und Röntgenbilder. Folglich verarbeitet die App eine Vielzahl hochsensibler Daten. Die App wurde basierend auf den e-Rezept Spezifikationen der gematik (Gesellschaft des Bundesgesundheitsministeriums, der Bundesärztekammer und weiteren öffentlichen Stellen) entwickelt und sie trägt zwei Datenschutzsiegel „Pridatect“ und „Teambeam“.

eRixa App weist Mängel auf

Beide Versionen (v2.2 für iOS und v2.3 für Android) hat das Hannoversche Test-Labor aus Datenschutz- und Datensicherheitsperspektive unter die Lupe genommen und dabei einiges an Optimierungsbedarf festgestellt. Zunächst fiel auf, dass zur Speicherung der Daten der Microsoft Cloud Dienst „Azure“ genutzt wird. Das Rechenzentrum befindet sich zwar in Deutschland, jedoch erhebt Microsoft trotzdem einige Daten, die damit den EU-Raum verlassen. Die App nutzt bisher keine Ende-zu-Ende-Verschlüsselung, was in Anbetracht der sehr sensiblen Daten, die eine Rezepte-App verarbeitet, nicht optimal ist. mediaTest digital konnte im Labortest die Übertragung von Rezept, E-Mail, Passwort, Name und Metadaten mitlesen. Beim Senden von Rezeptdaten an eine Demo-Apotheke landeten die Daten in einem E-Mail-Postfach des Anbieters, was ebenfalls aus Datenschutzsicht höchst bedenklich ist. Die iOS-App sichert sich zudem die Berechtigung zum Zugriff auf das Mikrofon, was sich bisher durch keinen Anwendungsfall plausibilisieren lässt. In der Android-Version ermöglicht ein fehlerhafter Flag außerdem USB-Debugging. Grundsätzlich zu beachten ist zusätzlich, dass Geräte mit einer älteren Android-Version vor 7.0 anfällig für die Janus Schwachstelle (CVE-2017-13156) und somit Datenverlust durch Trojaner und andere Angriffe sind.

Irreführende Datenschutzerklärung

Positiv ist hervorzuheben, dass in der iOS-App keine Trackingdienste eingebunden sind. Dahingegen verwendet die Android-Variante ein Microsoft Analytics Tool sowie den Crash-Reporter. Eine weitere unschöne Auffälligkeit ist die fehlerhafte und offensichtlich nicht für die eRiXa-App vorgesehene Datenschutzerklärung. So ist beispielsweise an einigen Stellen die Rede von Arbeitszeugnissen. Diese irreführenden Erwähnungen sind vermutlich auf den Hersteller smartoffice-rv zurückzuführen, der sich bei anderen Produkten u.a. mit Arbeitszeugnissen beschäftigt. Hier besteht sehr dringender Handlungsbedarf, um den Nutzern der App eine passende Datenschutzerklärung anzubieten.

eRixa App im Datenschutz-Test

Obwohl sich die e-Rezepte App offiziell noch in der Pilotprojekt-Phase befindet, gibt es im Appstore und innerhalb der App keinen Hinweis darauf, dass es sich um eine Demo-Version handelt. mediaTest digital rät NutzerInnen dazu, die App mit Vorsicht zu genießen. Aufgrund der sensiblen Daten, die die App verarbeitet, wäre ein deutscher oder europäischer Clouddienst für die Speicherung der Daten sowie eine Ende-Zu-Ende-Verschlüsselung wichtig. Darüberhinaus empfiehlt mediaTest digital, die Android-Version der App auf keinen Fall auf Geräten zu installieren, die eine ältere Betriebssystemversion als 7.0 nutzen.

Das könnte Sie auch interessieren:

Apple kündigt verbesserten Datenschutz an

Apple kündigt verbesserten Datenschutz an

Wie Apple kürzlich ankündigte, wird es im kommenden Jahr einen wichtigen Schritt zur Verbesserung der Privatsphäre seiner Nutzer unternehmen und eine App zur Kontrolle von Trackingdiensten für sein iOS-Betriebssystem zur Verfügung stellen (t3n Link:...

Contact