exakt exklusiv | 10.10.2018 Sicherheitslücke in AOK Bonus-App entdeckt

IT-Experten haben eine Sicherheitslücke in der Bonus-App der AOK identifiziert. Nach MDR-Recherchen ließen sich bis vor Kurzem Passwörter von Nutzern auslesen. Damit war auch der Zugriff auf persönliche Daten der Versicherten möglich.

Smartphone-App 7 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK

In der "AOK Bonus-App" ließen sich vermutlich seit Januar 2017 die Passwörter der Nutzer auslesen. Diese Sicherheitslücke entdeckten MDR-Redakteure und ein unabhängiger IT-Experte während Recherchen zur Datensicherheit von Krankenkassen-Apps.

Mit den Passwörtern wird der Zugriff auf persönliche Daten bei der AOK Plus möglich, wie z.B. Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die "AOK Bonus-App".

Die AOK Plus reagierte inzwischen auf die MDR-Recherchen und hat eine aktualisierte Version der Bonus-App veröffentlicht. Die Krankenkasse teilte dem MDR mit: "Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte 'Schwachstelle' in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern."

Datenübermittlung auf Server in den USA

Fitnessarmband und ein Smartphone mit Gesundheitsapp
Jeder dritte Deutsche nutzt inzwischen einen Fitness-Tracker entweder als App oder als Armband. Bildrechte: MITTELDEUTSCHER RUNDFUNK

Mit der Krankenkassen-App können Versicherte Punkte sammeln und so Bonuszahlungen erhalten. Die Versicherten müssen dafür eine zweite Fitness-App benutzen, die ihre Gesundheitsdaten verarbeitet.

Die MDR-Recherchen zeigen außerdem, dass dabei die Gesundheitsdaten der Versicherten in die USA übertragen werden. Die AOK Plus begründetet das mit mangelnden Alternativen: "Es gibt leider keinen deutschen Schrittzähler, der an Google & Co. vorbeiführt."

Datenschutzexpertin und Netzaktivistin Katharina Nocun
Katharina Nocun Bildrechte: MITTELDEUTSCHER RUNDFUNK

Die Datenschutzexpertin und Netzaktivistin Katharina Nocun kritisiert den Umgang der Krankenkassen mit Gesundheitsdaten. Die ehemalige Politikerin der Piratenpartei sagte gegenüber dem MDR: "Die einzig richtige Lösung für Krankenkassen kann sein, möglichst wenig Daten zu sammeln und die Daten auf den Geräten der Nutzer zu lassen."

Korrektur In einer früheren Version dieses Textes fand sich die Formulierung „Eine weitere Schwäche der App – die Gesundheitsdaten werden in die USA übertragen.“ Dieser Satz ist nicht korrekt. Die Gesundheitsdaten werden nicht von der AOK Bonus-App, sondern von der Fitness-App in die USA übertragen.

Mehr zum Thema

Dieses Thema im Programm: MDR FERNSEHEN | exakt | 10. Oktober 2018 | 20:15 Uhr

Zuletzt aktualisiert: 10. Oktober 2018, 21:46 Uhr

Mehr zum Thema

ein screenshot 4 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK