Schwachstelle in App der AOK Plus entdeckt

Die Kasse selbst sieht nur ein theoretisches Risiko, hat aber dennoch reagiert

In der AOK-Bonus-App ließen sich vermutlich seit Januar 2017 Passwörter von Nutzern auslesen. Dies berichtet der MDR am Mittwochabend in der Sendung "Exakt". Ein unabhängiger IT-Experte habe die Sicherheitslücke entdeckt. Mit den Passwörtern sei der Zugriff auf persönliche Daten bei der AOK Plus möglich gewesen, wie zum Beispiel Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung.

Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die Bonus-App. Sie können damit für Fitness-Aktivitäten Punkte sammeln und Bonuszahlungen erhalten. Dafür müssen sie aber eine zweite Fitness-App - etwa Runtastic oder Nike Run Club - benutzen, die ihre Fitnessdaten verarbeitet und die Zielerfüllung an die Bonus-App meldet. Laut MDR würden die Gesundheitsdaten von der zweiten App in die USA übertragen. Die AOK Plus begründet das mit mangelnden Alternativen: Es gebe keinen deutschen Schrittzähler, der an Google & Co. vorbeiführe. "Die AOK-Bonus-App selbst übermittelt oder speichert keine Daten auf Servern in den USA, sondern in Rechenzentren in Deutschland", sagt AOK-Plus-Sprecherin Hannelore Strobel.

Vom Passwort-Problem wiederum sei nur ein kleiner Teil der Nutzer theoretisch betroffen. Strobel: "In dem durch den MDR gestellten Angriffsszenario musste der Anwender eine veraltete Version des Android-Systems einsetzen und zusätzliche Software auf seinem Endgerät installiert haben, der Angreifer sich im selben WLAN befinden wie ein fiktiver Nutzer der Bonus-App und der Anwender die Sicherheitshinweise seines Smartphones ignorieren. Nur unter diesen Voraussetzungen konnte die Kommunikation mitprotokolliert werden." Die dabei verfügbaren Informationen würden aber nicht ausreichen, um auf sensible Gesundheitsdaten zuzugreifen, da diese durch weitere Mechanismen geschützt seien.

Trotzdem hat die AOK reagiert. "Jeder Nutzer wirdab Donnerstag aufgefordert, sich eine entsprechend aktualisierte Version der AOK-Bonus-App über den Google Play Store zu laden", so Strobel. "Die App ist sicher." (rnw/saf)

Bewertung des Artikels: Noch keine Bewertungen abgegeben
0Kommentare
Um zu kommentieren, müssen Sie angemeldet und Inhaber eines Abonnements sein.



    Bitte schalten Sie ihren AdBlocker aus. An alle Adblocker

    Bitte schalten Sie ihren AdBlocker aus.
    Mehr erfahren Sie hier...