News vom 10.01.2018

MySugr: Was ist los mit den Gesundheits-Apps?

Ein Artikel von , veröffentlicht am 04.01.2018, bearbeitet am10.01.2018

Eine zertifizierte App für Diabetiker erfasst Gesundheitsdaten und sendet diese zusammen mit Vor- und Nachname des Nutzers an eine Analyse-Firma. Als Reaktion auf unseren Test schlägt die Firma keine Verbesserung vor, sondern schickt ihre Anwälte los.

Update 10.01.2018: MySugr hat inzwischen erfreulicherweise angekündigt, die Erfassung der Nachnamen über Mixpanel zu beenden. Auch die Datenschutzerklärung soll verbessert werden und eine E-Mail-Verifizierung soll eingeführt werden. Wann dies genau umgesetzt wird, ist noch nicht klar.

Bei mobilsicher.de haben wir ja schon einige Überraschungen bei App-Tests erlebt. Aber bei der App MySugr, dessen Hersteller zum Pharmariesen Roche gehört, mussten wir besonders schlucken.

Die App fragt Nutzer und Nutzerinnen nach ihrem Vor- und Nachnamen sowie nach detaillierten Angaben zur Erkrankung, zum Beispiel Diabetes-Typ und Art der Therapie (Spritze oder Pumpe). Diese Daten bleiben nicht etwa auf dem Gerät, sondern werden über das Internet an das US-amerikanische Trackingunternehmen "Mixpanel" versendet.

Auf Nachfrage von mobilsicher.de gab die MySugr GmbH (eine Tochter des Roche-Konzerns) dazu an:

„Mixpanel hilft uns, die App-Nutzung zu optimieren, (sic!) und darf Daten nur nach unseren Vorgaben und Aufträgen verarbeiten.“

Das ist durchaus verständlich. Jeder will schließlich seine Dienstleistung verbessern. Aber wozu benötigt Mixpanel dabei den Vor- und Zunamen seiner Nutzer und Nutzerinnen? Dazu schreibt MySugr:

„Nutzerdaten werden immer transportverschlüsselt übertragen, sensible Gesundheitsdaten (z.B. Diabetes-Typ) darüber hinaus in Form von nicht-identifizierbaren, völlig willkürlichen Buchstaben- und Zahlenkombinationen. Mixpanel kann daraus keinerlei Schlüsse auf bestimmte Nutzer ziehen und solche Daten auch nicht legal dechiffrieren.“

Dieser Satz stimmt nur halb. Tatsächlich waren die Daten in unserem Test TLS-verschlüsselt und darüber hinaus mit einer Base64-Kodierung kodiert. Auch Vor- und Nachname. Base64 ist ein standardisiertes Kodierungs-Verfahren, das ebenso standardmäßig dekodiert werden kann. Anders als bei einem Verschlüsselungsverfahren benötigt man dazu keinen geheimen Schlüssel. Jeder kann aus diesen Buchstabenkombinationen also wieder klar lesbaren Text machen – wir, unser Tester Mike Kuketz und eben auch Mixpanel.

Ob Mixpanel das tut und ob es legal wäre, wollen wir an dieser Stelle weder vermuten noch diskutieren. Denn für die vielen tausend Nutzerinnen und Nutzer der App zählt einzig die Frage: Warum, um alles in der Welt, erhebt die App überhaupt Vor- und Nachnamen? Und versendet diesen dann auch noch – kodiert oder nicht kodiert?

Muss man wirklich riskieren, dass derart sensible Daten von den Servern bei Mixpanel gestohlen oder durch Fehlbedienung aus Versehen veröffentlicht werden, wie es auch dieses Jahr wieder zahlreichen, durchaus seriösen und technisch versierten Firmen passiert ist? Von US-Behördenanfragen ganz abgesehen, vor denen Daten in den USA – auch unter dem Privacy Shield – niemals sicher sind.

Natürlich ist es zur Analyse hilfreich, wenn man einzelne Nutzer auseinanderhalten kann. Aber das ginge auch mit einer einmalig innerhalb der App erzeugten, wirklich zufälligen Kennnummer, in der sich keinerlei personenbezogene Informationen befinden. War dieser einfache Schritt wirklich zu aufwändig? Oder wussten die Verantwortlichen bei MySugr nicht genau, was ihre Entwickler programmiert hatten?

Fehler können natürlich passieren. Aber spätestens am 7. Dezember 2017 wusste MySugr genau, was ihre App tut. Denn an diesem Tag erhielt unser Autor Mike Kuketz Post von den Anwälten der Firma, mit der Forderung, seine Vorabveröffentlichung auf seinem eigenen Blog sofort zu entfernen und zudem eine Unterlassungserklärung zu unterzeichnen, in der sinngemäß in etwa steht, dass er über dieses Thema nie mehr schreiben wird. Frist: 24 Stunden. In dem Blog-Beitrag hatte er den oben geschilderten Sachverhalt – zugegeben mit einigen klaren Meinungsäußerungen garniert – für seine Leserschaft dargestellt. (Diese Meinungsäußerungen wurden inzwischen abgemildert; die Erklärung hat Kuketz nicht unterschrieben).

Kurios: Weder in der Korrespondenz mit Mike Kuketz, noch in einem späteren Schreiben an mobilsicher.de fanden wir einen Hinweis darauf, dass MySugr plant, an der kritisierten Datenerfassung etwas zu ändern. Offenbar bricht der Hersteller lieber einen Rechtsstreit vom Zaun, als seinen Umgang mit Nutzerdaten zu verbessern. Das ist schade, denn die Nachricht „Einwandfreier Diabetes-Begleiter“ hätten wir unseren Leserinnen und Lesern gerne vermeldet.

Zum ganzen Test geht es hier.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

3 Punkte für mehr Datenschutz beim ersten Start des Windows-10-Mobilgerätes

Die Standardeinstellungen für Datenschutz sind bei Windows 10 mobile nicht eben hoch. Wer mehr will, sollte bereits beim ersten Einschalten einige Hinweise beachten. Denn einmal versendete Daten sind nicht mehr rückholbar.

Mehr
Ratgeber 

SMS verschlüsseln

Will man ohne Internetverbindung Textnachrichten verschicken, sind SMS das Mittel der Wahl. Der Dienst ist im Regelfall allerdings nicht verschlüsselt. Wie man trotzdem sicher kommunizieren kann, erklären wir hier.

Mehr
YouTube-Video 

Android: 5 Tipps für mehr Datenschutz

Sie haben schon lange vor, Ihr Android-Handy besser vor den neugierigen Blicken großer Konzerne zu schützen? Mit unseren 5 Tipps schlagen Sie Google & Co. ein Schnippchen - und lernen außerdem tolle Alternativen zu den weit verbreiteten Standard-Apps kennen.

Ansehen
YouTube-Video 

Warum Messenger-Telefonie sicherer ist als Mobilfunk

Ob nun Threema, Telegram oder andere verschlüsselte Messenger-Dienste: Alle bieten sie die Möglichkeit der Internettelefonie. Warum diese sogar sicherer ist als Anrufe über Mobilfunk, erklären wir Ihnen im Video.

Ansehen