eHealth-Apps schon jetzt ohne Security-Risiken und -Nebenwirkungen

Sicherheits- und Datenschutz-Probleme ade

Derzeit erleben wir einen Boom von eHealth-Apps. Manche Apps begleiten Patienten bei bestimmten Krankheiten, informieren und bieten Unterstützung, andere Apps helfen beim Abnehmen, beim Training oder dienen als Kommunikationsmittel zwischen Krankenkassen und Kunden. Demnächst wird es auch das eRezept und die elektronische Patientenakte geben. Was all diese Apps gemeinsam haben, ist die Notwendigkeit eines Höchstmaßes an Security. Gerade bei der elektronischen Patientenakte wird momentan viel über die Themen Sicherheit und Datenschutz diskutiert. Aber würden diese Faktoren bereits im Entwicklungsprozess angemessen beachtet, müsste man sich darüber keine Gedanken mehr machen. Entsprechende Lösungen, die alle wichtigen Security-Aspekte berücksichtigen, sind auf dem Markt bereits verfügbar.

Kommentar von Dr. Christian Schläger, Geschäftsführer von Build38

Natürlich ist es von höchster Bedeutung, dass Apps – insbesondere eHealth-Apps – ausreichend vor Cyberangriffen geschützt sind. Im Gesundheitswesen und auch in den Apps werden viele sensible und personenbezogene Daten verarbeitet, die äußerst schützenswert sind. So geben zum Beispiel Diabetiker ihre gemessenen Blutzuckerspiegel-Werte ein, oder Personen, die gerade abnehmen wollen, notieren ihr Gewicht und lassen ihren Body-Maß-Index errechnen. Dass diese Daten nicht für jeden gedacht sind, braucht an dieser Stelle wohl nicht erwähnt zu werden. Deshalb können wir verstehen, dass die Themen Sicherheit und Datenschutz solcher Apps bei Usern aktuell stark im Fokus stehen.

Sicherheit kommt bei App-Entwicklung oft zu kurz

Trotzdem wird der Security-Aspekt während der App-Entwicklung aufgrund fehlender Expertise, Zeit und mangelnden Budgets zunächst oft vernachlässigt. Bevor daran gedacht wird, bestimmte Sicherheitsmaßnahmen zu etablieren, haben für viele Unternehmen das Design und der schnellstmögliche Launch-Termin oberste Priorität. Wird eine App dann unter dieser Voraussetzung gelauncht, bietet sie in der Regel keinen ausgefeilten Schutz vor Datenklau, dem Klonen der App oder sonstigen Cyberangriffen.

Dabei ist es schon so einfach, Security von vornherein in Apps einzubinden. Die Zeiten, in denen hohe Geldsummen investiert werden mussten und es überaus lange gedauert hat, eine App 100-prozentig abzusichern, sind vorbei. Inzwischen gibt es moderne und kostengünstigere Alternativen in Form von Frameworks, die sich bereits während der App-Entwicklung in kurzer Zeit integrieren lassen. Durch solche Frameworks lassen sich Angriffe und unbefugte Zugriffe verhindern, sodass sensible Daten niemals in fremde Hände gelangen können.

Damit sollte es möglich sein, alle Bedenken bezüglich Sicherheit und Datenschutz endgültig aus dem Weg zu räumen.

 

Für weitere Informationen hören Sie auch unseren Podcast „Tick Tack – Zeit für Mobile Health Security“.

 

 


Mobile App-Sicherheit durch Security-Framework: Build38 schließt Vertriebspartnerschaft mit TÜV AUSTRIA-Tochter SPP

Erweiterung des Partnernetzwerks in der DACH-Region

München, 23. Februar 2021 – Hinsichtlich der täglich wachsenden Anzahl an mobilen Applikationen spielt das Thema App-Sicherheit weltweit eine wichtige Rolle. Immer wieder kommt es zu Angriffen, bei denen sich Cyberkriminelle über Sicherheitslücken Zugriff auf Apps verschaffen und so an sensible Daten gelangen. Um dieses globale Problem zu lösen und Apps sicher zu machen, hat Build38 ein Software Development Kit (SDK) entwickelt, das eine Sammlung an essenziellen Security-Funktionen beinhaltet. Damit der Lösungsanbieter sein SDK künftig noch mehr Unternehmen zugängig machen kann, verfolgt er den Ausbau seines Partnernetzwerkes. Durch die Kooperation mit dem Reseller SPP, einer hundertprozentigen Tochter der TÜV AUSTRIA Group, geht Build38 einen weiteren wichtigen Schritt in diese Richtung.

Mobile Applikationen auf Smartphones und Tablets sind heutzutage aus dem Alltag nicht mehr wegzudenken. Bei der ständigen Nutzung von Apps ist es wichtig, dass diese rundum sicher sind, damit Hacker keinen Zugriff darauf erhalten und sie manipulieren oder Daten abgreifen können. Folglich sollte jede App schon während der Entwicklung mit den notwendigen Sicherheitsfeatures ausgestattet sein, die das Framework von Build38 umfasst. Damit lassen sich sämtliche Android- und iOS-Apps von Grund auf absichern, so dass sich Entwickler, Betreiber und Nutzer keine Sorgen mehr um mögliche Cyberattacken machen müssen.

Ausbau der Vertriebsaktivitäten

Durch die neu geschlossene Partnerschaft mit dem TÜV AUSTRIA Group-Mitglied SPP erschließt Build38 einen neuen Vertriebskanal in der DACH-Region. „Wir freuen uns darüber, einen weiteren erfahrenen und gut positionierten Partner gewonnen zu haben“, sagt Dr. Christian Schläger, Geschäftsführer bei Build38. „Durch die internationale Ausrichtung und die Vielzahl an Berechtigungen der TÜV AUSTRIA Group erhalten wir die Chance, unsere Mobile App Security-Lösungen ab sofort in weiteren Märkten anbieten zu können. Uns ist es wichtig, weltweit auf die Notwendigkeit von App-Security aufmerksam zu machen, die sich mit unserem SDK einfach und schnell gewährleisten lässt. Dabei können uns SPP und TÜV AUSTRIA hervorragend unterstützen.“

Mobile Security, im Speziellen die sichere Entwicklung von Apps, ist ein zunehmend wichtiges Thema in der heutigen Gesellschaft und Wirtschaft. Schnell kann hier ein großer Schaden – sowohl für den Betreiber als auch für den Nutzer – entstehen, wenn das Thema Sicherheit nicht frühzeitig fokussiert wird“, sagt Andreas Koeberl, General Manager bei SPP. „Wir haben das Security-Framework von Build38 intensiv unter die Lupe genommen und sehen darin ein großes Potenzial für ein ganzheitliches Sicherheitskonzept für Apps.“

 

Andreas Koeberl, General Manager der SPP GmbH
Andreas Koeberl, General Manager

der SPP GmbH


Security of eHealth apps

3, 2, 1 – Starten wir mit Mobile Health Security

3, 2, 1 – Starten wir mit Mobile Health Security

Ein Einstieg in die Sicherheit von Gesundheits-Apps

Nutzen Sie schon eHealth-Apps? Vielleicht haben Sie ja schon einmal Ihre Fitness über das Handy verfolgt oder Ihre Ernährung dokumentiert. Inzwischen gibt es sogar bestimmte geprüfte medizinische Apps, die von Ärzten verschrieben und von Krankenkassen übernommen werden. Bei Krankheiten wie zum Beispiel Diabetes, Tinnitus oder Adipositas informieren sie, bieten Maßnahmen zur Prävention und unterstützen bei Training und Ernährung. Manche Apps messen, speichern und werten medizinische Daten auch aus. Damit sind sie für viele Menschen eine große Hilfe: Sie motivieren, etwas für sich persönlich zu verändern, die Gesundheit im Blick zu behalten oder sogar zu verbessern. Aber wie sieht es bei all den positiven Effekten mit dem Datenschutz in solchen Apps aus? In diesem Blogbeitrag geben wir einen ersten Einblick in das Thema digitale Gesundheit, welche Arten von Apps es gibt und wie es um deren Sicherheit bestellt ist.

Haben Sie schon einmal von Diabetes-Apps gehört? Sie können Betroffenen helfen, den Alltag mit Diabetes leichter zu managen, und bündeln alle wichtigen Therapie-Informationen an einem Ort. So können die App-Nutzer ihre Werte bequem automatisch via Bluetooth in die App übertragen und sie dann mit einem Klick analysieren lassen. Zudem ist solch eine App in der Lage, den Blutzuckerverlauf anzuzeigen oder motivierende Challenges anzubieten. Aus den dabei gewonnenen Daten lassen sich übersichtliche PDF-, Excel- oder CSV-Reports erstellen, die zum Beispiel für den nächsten Arztbesuch verwendet werden können.

Diabetes-Apps sind aber nur ein Beispiel im Bereich eHealth. Es existieren noch viele weitere Apps, bei denen unsere Gesundheit im Fokus steht.

Was ist eHealth?

eHealth ist eine Unterkategorie von Digital Health (Digitale Gesundheit). Sie wurde von der Weltgesundheitsorganisation (WHO) als Oberbegriff für die Nutzung von Informations- und Kommunikationstechnologien für die Gesundheit definiert. Es handelt sich dabei um die Integration von IT-Technologien oder Anwendungen zum Zweck der Gesundheit. Hinsichtlich der digitalen Anwendungen stolpert man schnell auch über den Begriff mHealth (Mobile Health). Mit mHealth wird eine Untergruppe von eHealth-Aktivitäten und -Systemen auf mobilen Endgeräten bezeichnet. eHealth-Apps gibt es inzwischen en masse. Spätestens die Corona-Pandemie dürfte den aufsteigenden Trend weiter fortgesetzt haben.

Viele haben Gesundheits-Apps sicherlich im Alltag schon einmal ausprobiert – von der einfachen Body-Mass-Index-(BMI)-Berechnungs-App bis hin zum persönlichen Gesundheitsassistenten. Einen Großteil dieser Apps macht der Wellness-Bereich aus, also Apps für „Gesundheitsorientierte“; für Menschen, die sich Gedanken um ihre Gesundheit machen und „einfach nur“ gesund leben wollen. Dazu zählen Fitness-Apps, Lifestyle-Apps sowie Apps mit Ernährungsinformationen.

Dann gibt es noch Apps, die im konkreten Krankheitsfall genutzt werden, und solche, die ein Leben mit einer Krankheit erleichtern sollen. In diesen beiden Bereichen dreht es sich dann um die Begleitung bzw. Unterstützung bei einer Erkrankung.

Darüber hinaus wurden weitere Kategorien definiert: CE-kennzeichnungspflichtige Apps und auch die im Jahr 2020 in Deutschland eingeführten digitalen Gesundheitsanwendungen, die DiGA-Apps. Beide gehen einen wichtigen Schritt in Richtung Qualitätssicherung, denn sie werden regulatorisch kontrolliert.

Nicht zu vergessen sind auch Apps, die im Kommunikationsprozess des Gesundheitssystems zunehmend eine wichtige Rolle einnehmen. Dazu zählen zum einen Apps für das Management und die Kommunikation zwischen Krankenkasse und Kunde und zum anderen Apps, die die Effizienz im Gesundheitssystem steigern. Zu Letzteren zählen beispielsweise das eRezept und die elektronische Patientenakte (ePA). Wie für die schon genannten DiGA-Apps wurden auch hierfür mittlerweile die rechtlichen Grundlagen geschaffen.

Sicherheit, wo bist du?

Einheitliche Qualitätskriterien für eHealth-Apps gibt es noch nicht. Dabei sollten vor allem Datenschutz und Sicherheit bei der App-Entwicklung mehr in den Fokus rücken. Schließlich fordert der Patient die Sicherheit seiner Daten, und auch der Gesetzgeber möchte, dass sensitive Daten geschützt werden. Das gilt aber nicht nur für eHealth-Apps. Jede App verarbeitet personenbezogene Daten und kann sich langfristig nur erfolgreich etablieren, wenn das Vertrauen in sie gestärkt wird.

Die allgemeine Sicherheit ist also eine der wichtigsten Anforderungen von Nutzern an eine App. In Meinungsumfragen sagen Nutzer, dass ihnen Sicherheit und Datenschutz bei eHealth-Apps am wichtigsten sind. Dann folgen die Glaubwürdigkeit der App und des Herstellers, die regelmäßige Pflege der App, Integration und Datensammlung und zu guter Letzt auch, wem die Daten gehören. Was das konkret für die Sicherheit von Gesundheits-Apps bedeutet, erfahren Sie in unserem nächsten Blogbeitrag zu dieser Thematik.


In-App Protection integrated fastly and easily

In-App Protection schnell und einfach integriert

In-App Protection schnell und einfach integriert

App-Sicherheit in drei Minuten

Dinge, die man in unter zehn Minuten erledigen kann: einen Kaffee holen, diesen Blogtext lesen, sichere Apps entwickeln … Aber Moment – kostet es nicht eigentlich mehrere Monate Zeit und jede Menge Geld, eine App wirklich sicher zu machen? Wir räumen mit diesem Trugschluss auf und zeigen, wie In-App Protection in unter drei Minuten in die Anwendungsentwicklung einbezogen werden kann.

App-Sicherheit wird in der Entwicklungsphase nach wie vor häufig erst einmal vernachlässigt. Meist fehlt den Entwicklern die Zeit und die Expertise, um den Security-Layer umfassend zu entwickeln und zu integrieren. Denn nach wie vor stehen für viele Unternehmen zunächst das Design und der schnellstmögliche Launch-Termin im Fokus.

An diesem Punkt steht eine „kostengünstige“ und schnelle Markteinführung noch immer im Widerspruch zu einer umfassenden In-App Protection, die gleich von Beginn an in die Entwicklung einbezogen wird. Bislang war dies in gewisser Weise auch verständlich, denn es würde einen Entwicklungsaufwand von ungefähr 400 Monaten bedeuten (wobei hier auch die Serverseite berücksichtigt ist), eine App mit allen Finessen und bis ins kleinste Detail rundum sicher zu entwickeln. Geht man nun davon aus, dass ein Entwicklermonat ungefähr 10.000 Euro kostet, lässt sich leicht ausrechnen, welche Kosten hier auf ein Unternehmen zukommen können.

400 Monate vs. 3 Minuten – geht nicht? Und ob!

Dass es möglich ist, eine App in nur drei Minuten sicher zu machen, haben wir beispielhaft in einem Integrationsvideo unseres Software Development Kit T.A.K dokumentiert:

  • Schritt 1:

T.A.K zu einem Android Studio-Projekt hinzufügen.

  • Schritt 2:

T.A.K als Abhängigkeit zum App-Modul hinzufügen.

  • Schritt 3:

T.A.K initialisieren und im T.A.K-Service registrieren.

  • Schritt 4:

Gerätespezifische Daten wie T.A.K.-ID oder Client-Zertifikat abrufen.

  • Schritt 5:

Secure Storage verwenden, wodurch eine hochsichere Speicherung vertraulicher, sensibler oder persönlicher Daten gewährleistet wird.

  • Schritt 6:

File Protector nutzen, um Ressourcen und Assets bereits während der Entwicklung zu schützen. Die Informationen müssen nur bei Bedarf entschlüsselt werden.

  • Schritt 7:

Durch die Bewertung der Laufzeitumgebung wird gewährleistet, dass die App auf einem sicheren Gerät ausgeführt wird.

  • Schritt 8:

Den sicheren Kanal verwenden, um das Abfangen von Daten sowie Datenlecks zu verhindern und einen hochsicheren Zugriff auf den Server zu bieten.

  • Schritt 9:

T.A.K freigeben.

Diese enorme Zeitersparnis ermöglicht es einem Entwickler, sich um das zu kümmern, worum er sich eigentlich kümmern soll: eine App nach den Anforderungen des Kunden zu entwickeln – hinsichtlich Funktionalität und Design – und dennoch nicht die Sicherheit zu vernachlässigen. Gleichzeitig bietet ihm dies natürlich auch den Spielraum, mehrere Apps in kurzer Zeit zu entwickeln.

Denn worüber sich Unternehmen stets im Klaren sein sollten: Ihre Apps werden durch Enduser genutzt, ohne dass sie als App-Betreiber noch die Kontrolle darüber haben. Daher ist es unerlässlich, Anwendungen bereits ab der Entwicklung vor unbefugten Modifikationen, Datenschutzverletzungen und Malware abzusichern. Wird eine App erst einmal kompromittiert, gelangen Cyberkriminelle an private Daten oder letztlich über dieses Einfallstor in das Unternehmensnetzwerk. Dies kann mit Datenverlust, finanziellen Schäden und Reputationsschäden bereits kurzfristig negative Folgen für den App-Betreiber haben, die sich auch langfristig auf den Unternehmenserfolg auswirken können.