Gesundheits- und Fitness-Apps, wie sicher sind meine Daten?

Master Studiengang Information Security

Dipl-Ing. Kathrin Hufnagl, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Gesundheits- und Fitness-Apps werden in der aktuellen Zeit immer populärer. Mit diesen Apps kann man den eigenen Gesundheitszustand überwachen und dokumentieren, oder Statistiken über Aktivitäten oder Nahrungsaufnahme erstellen. Die Zahl der Nutzer von Gesundheits-Apps steigt täglich. Bei der Verwendung dieser Apps beachten die Nutzer jedoch nicht die Sicherheit der Daten. Im Vordergrund der Nutzung steht meist eine einfache Benutzbarkeit und die Überwachung der eigenen Werte. Was man dabei nicht beachtet ist, dass man die eigenen Daten über intime Ereignisse, Körpermesswerte oder Krankheitsbilder einfach so aus der Hand gibt.

Ziel

Da Gesundheits- und Fitness-Apps immer populärer werden und Unternehmen immer mehr Daten über den einzelnen Menschen sammeln, stellt sich die Frage, was passiert mit den Daten, die man in den Apps eingibt? Wie sicher sind die eingegebenen Daten wirklich?

Bei dieser Diplomarbeit geht es einerseits um die Analyse und Sicherheit der Apps und andererseits stellt sich die Frage, wie die Unternehmen nun mit der Datenschutz-Grundverordnung umgehen? Wie sicher sind die persönlichen und sensiblen Daten über den eigenen Gesundheitszustand wirklich? Diese Fragen sollen im Zuge dieser Diplomarbeit näher betrachtet und beantwortet werden.

Ergebnis

Um möglichst viele Typen von Gesundheits- und Fitness-Apps zu testen, wurden Kategorien erstellt, die verschiedene Funktionen der Apps abbilden. Anschließend wurde zu jeder Kategorie mindestens eine mobile Applikation ausgewählt und getestet. Diese mobilen Applikationen wurden einerseits auf technische Schwachstellen, andererseits auf Bedenklichkeit des Datenschutzes getestet. Bei der technischen Analyse wurden beispielsweise Certificate Pinning, Jailbreak Detection, Session-Management und unsichere Datenspeicherung überprüft. Im Zuge der Datenschutzanalyse wurde ein Auskunftsbegehren an die jeweiligen Verantwortlichen gestellt und die Datenschutzerklärung analysiert. Anschließend wurden die Antworten auf das Auskunftsbegehren in den Kategorien Bearbeitungszeit, Vollständigkeit der Auskunft und Datensammlung analysiert.

Als Ergebnis der Arbeit werden die technischen Schwachstellen und die Probleme bezüglich der DSGVO zusammengefasst und übersichtlich in zwei Matrizen dargestellt. Darin sind alle der zuvor erwähnten Kategorien enthalten.