Leipzig – In der „AOK Bonus-App“ ließen sich vermutlich seit Januar 2017 die Passwörter der Nutzer auslesen. Diese Sicherheitslücke entdeckten MDR-Redakteure und ein unabhängiger IT-Experte während Recherchen zur Datensicherheit von Krankenkassen-Apps.
Mit den Passwörtern wird der Zugriff auf persönliche Daten bei der AOK Plus möglich, wie z.B. Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“.
Die AOK Plus reagierte inzwischen auf die MDR-Recherchen und hat eine aktualisierte Version der Bonus-App veröffentlicht. Die Krankenkasse teilte dem MDR mit: „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ‚Schwachstelle‘ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern.“
Datenübermittlung auf Server in den USA
Mit der Krankenkassen-App können Versicherte Punkte sammeln und so Bonuszahlungen erhalten. Die Versicherten müssen dafür eine zweite Fitness-App benutzen, die ihre Gesundheitsdaten verarbeitet. Die MDR-Recherchen zeigen außerdem, dass dabei die Gesundheitsdaten der Versicherten in die USA übertragen werden. Die AOK Plus begründetet das mit mangelnden Alternativen: „Es gibt leider keinen deutschen Schrittzähler, der an Google & Co. Vorbeiführt.“
Die Datenschutzexpertin und Netzaktivistin Katharina Nocun kritisiert den Umgang der Krankenkassen mit Gesundheitsdaten. Die ehemalige Politikerin der Piratenpartei sagte gegenüber dem MDR: „Die einzig richtige Lösung für Krankenkassen kann sein, möglichst wenig Daten zu sammeln und die Daten auf den Geräten der Nutzer zu lassen.“