Datensicherheit und Datenschutz von eHealth Apps - Analyse von ca. 730 Apps auf Datensicherheit und Datenschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datensicherheit und Datenschutz von eHealth Apps Analyse von ca. 730 Apps auf Datensicherheit und Datenschutz ePrivacy GmbH, ConHIT Berlin, April 2015
ePrivacy
Wir bieten...
... Beratungen und Prüfungen in den Bereichen Datensicherheit, Datenschutz und
Compliance
... Datenschutzrechtliche und technische Gestaltung von digitalen Geschäftsmodellen
... Expertise in digitalen Geschäften wie eHealth, Onlinemarketing, Offline/Online-Daten, Big
Data, etc.
... Zertifikate für Unternehmen und Produkte bei vorbildlichem Datenschutz
... Unabhängigkeit, Spezialisierung auf digitale Geschäfte in Deutschland und Europa
© 2015 ePrivacy 2
Referenzen Leading Companies in digital business in Europe and Germany © 2015 ePrivacy 3
ePrivacy © 2015 ePrivacy 4
Hintergrund der Überprüfung von Datensicherheit
und Datenschutz von Apps
• Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gab Juni 2013 auf Grundlage des
deutschen Datenschutzrechts Hinweise an die Anbieter zur Entwicklung und zum Betrieb von Apps
heraus.
• Die Anforderungen beziehen sich auf die Art der Einbindung der Aufklärung über Datenschutz, auf
Inhalt und Gestaltung der App und auf die Möglichkeit, den App-Anbieter zu kontaktieren.
• Zudem hat das BayLDA Sommer 2014 eine „Orientierungshilfe zu den Datenschutz-Anforderungen
an App-Entwickler und App-Anbieter“ veröffentlicht, die die Anforderungen an Datenschutz und
Datensicherheit bei Apps darstellt.
• ePrivacy hat auf dieser Basis ein Prüfverfahren (ePrivacyApp) entwickelt, mit dem die Sicherheit von
Apps geprüft und verbessert werden kann.
© 2015 ePrivacy 5
Mobile Apps – Aktuelle Fälle Quelle: http://www.stern.de/tv/sterntv/foto-spionage-handy-apps-klauen-private-bilder-2058280.html © 2015 ePrivacy 6
Mobile Apps – Aktuelle Fälle Quelle: http://www.t-online.de/handy/id_66941480/tid_embedded/sid_40002034/si_10/bei-diesen-android-apps-werden-verfuegbare-updates- dringend-empfohlen.html © 2015 ePrivacy 7
Mobile Apps – Aktuelle Fälle © 2015 ePrivacy 8
Studie – Einleitung
• Zertifizierungssystem „ePrivacyApp“ zur Analyse von Datensicherheit und
Datenschutz von Apps
• Untersuchungszeitraum: Oktober 2014 bis Februar 2015
• Ca. 730 Apps verschiedenster Kategorien wurden in Labortests überprüft
• Apps der Betriebssysteme iOS (43%) und Android (57%) wurden überprüft
• Im Detail untersuchte Kategorien: Mobile Banking, Kommunikation, Social
Media und eHealth (Health und Fitness)
© 2015 ePrivacy 9Testablauf
Datensicherheit
" Kommuniziert die App über eine SSL Verbindung?
" Konnten persönliche Informationen über die App ausgelesen/abgefangen werden?
" Besitzt die App einen Schutz vor einem Man-In-The-Middle Angriff?
Datenschutz
" Verfügbarkeit der Datenschutzerklärung über die App
" Verfügbarkeit der Datenschutzerklärung vor und nach einem Login
" Versionierung der Datenschutzerklärung
© 2015 ePrivacy 10Apps ohne Datenschutzerklärung
100%
90%
Apps
without
data
rpivacy
80%
70%
delcara3on
60%
50%
40%
30%
20%
10%
0%
All
Mobile
Banking
Communica=on
Social
Media
E-‐Health
Quelle: ePrivacy, 2015, Studie: Datensicherheit und Datenschutz bei Apps
© 2015 ePrivacy 11Testablauf
Datensicherheit
" Kommuniziert die App über eine SSL Verbindung?
" Konnten persönliche Informationen über die App ausgelesen/abgefangen werden?
" Besitzt die App einen Schutz vor einem Man-In-The-Middle Angriff?
Datenschutz
" Verfügbarkeit der Datenschutzerklärung über die App
" Verfügbarkeit der Datenschutzerklärung vor und nach einem Login
" Versionierung der Datenschutzerklärung
© 2015 ePrivacy 12Frage:
Wozu benötigt meine App einen Schutz vor
einem Man-In-The-Middle Angriff?
© 2015 ePrivacy 13Angriffsszenario
Blutzuckerspiegel Messgeräte
" Es existieren Peripheriegeräte für Smartphones/Tablets, mit welchen der Blutzuckerspiegel des
Nutzers ÜBER EINE APP ermittelt werden kann.
" Durch eine Manipulation des Datenverkehrs können hierbei falsche Messergebnisse angezeigt und im
schlimmsten Fall eine falsche Medikamentendosis intravinös eingenommen werden.
Image: http://bermudasun.bm/Content/LIFESTYLE/Lifestyle/Article/New-device-tests-blood-glucose-via-smartphone/9/230/60626
© 2015 ePrivacy 14Angriffsszenario Anzahl der medizinischen Apps, welche keinen Schutz vor einer Manipulation des Datenverkehrs implementiert haben: © 2015 ePrivacy 15
Angriffsszenario
Anzahl der medizinischen Apps, welche keinen Schutz vor
einer Manipulation des Datenverkehrs implementiert haben:
100%
(Android & iOS)
Quelle: ePrivacy, 2015, Studie: Datensicherheit und Datenschutz bei Apps
© 2015 ePrivacy 16Apps ohne SSL Kommunikation
100%
Apps
without
SSL
communica3on
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
E-‐Health
Business
Travel
Media
und
Video
© 2015 ePrivacy 17Zertifizierung
Gerade im Bereich eHealth werden vertraulichste Informationen
über genutzte Medikamente, Dosierungen, Namen, Ärzte,
uvm. übermittelt und gerade hier sollte Datensicherheit und
Datenschutz groß geschrieben werden.
© 2015 ePrivacy 18Vertrauen in Apps erhöhen
durch...
" Unabhängige Überprüfung durch ePrivacy
" Erlangung eines Gütesiegels durch durch Zertifizierung
" Zertifizierung nach Vorgaben des BayLDA
© 2015 ePrivacy 19ePrivacyApp – Das Konzept © 2015 ePrivacy 20
ePrivacyApp – Zertifizierung 1) Zertifizierungsprozess " Automatisierte und manuelle Prüfungen " über 100 Prüfkriterien, offener Kriterienkatalog 2) Dokumentation " Detaillierte Methodenbeschreibungen " Konkrete Handlungsempfehlungen 3) Gütesiegel „ePrivacyApp“ (optional) " Siegel für TRUSTED PRIVACY " Anforderungen müssen erfüllt sein " Ist dies geschehen, wird das Gütesiegel erteilt © 2015 ePrivacy 21
Ist die Studie einsehbar?
1
2
Studie zum kostenlosen Download auf: www.eprivacy.eu
© 2015 ePrivacy 22Kontakt
Prof. Dr. Christoph Bauer Michael Eckard
Geschäftsführer Head of Research & App-Testing
ePrivacy GmbH
ePrivacy GmbH
Große Bleichen 21
Große Bleichen 21
20354 Hamburg 20354 Hamburg
Tel +49 40 6094518-10 Tel +49 40 6094518-11
Mobil +49 151 2344 9900 Mobil +49 163 5626 506
c.bauer@eprivacy.eu m.eckard@eprivacy.euSie können auch lesen
