Privatsphäre
Im Februar 2026 veröffentlichte die Cybersicherheitsfirma Oversecured einen Bericht, nach dessen Lektüre man sein Smartphone am liebsten auf die Werkseinstellungen zurücksetzen und in eine einsame Hütte im Wald umziehen will. Die Forscher untersuchten 10 beliebte Android-Apps für psychische Gesundheit (Stimmungstracker, KI-Therapeuten, Tools zur Behandlung von Depressionen und Angstzuständen) und entdeckten 1.575 Schwachstellen! 54 davon wurden als kritisch eingestuft. Angesichts der Download-Statistiken bei Google Play könnten bis zu 15 Millionen Personen betroffen sein. Der Knackpunkt ist aber: Sechs der zehn getesteten Apps versprechen den Nutzern explizit, dass ihre Daten „vollständig verschlüsselt und zuverlässig geschützt werden“.
Wir gehen diesen skandalösen Sicherheitslücken auf den Grund: Welche Daten könnten durchsickern, was steckt hinter der Geschichte, und warum ist „Anonymität“ bei solchen Apps nur ein Marketing-Mythos?
Was in den Apps gefunden wurde
Oversecured ist eine Sicherheitsfirma für mobile Apps, die einen speziellen Scanner verwendet, um APK-Dateien in Dutzenden von Kategorien auf bekannte Schwachstellen zu durchleuchten. Im Januar 2026 ließen die Forscher zehn Mental-Health-Apps aus Google Play durch den Scanner laufen – und die Ergebnisse waren wirklich „sensationell“.
| App-Typ | Installationen | Sicherheitsschwachstellen | |||
| Hoch | Mittel | Niedrig | Total | ||
| Stimmungs- und Gewohnheitstracker | Über 10 Mio. | 1 | 147 | 189 | 337 |
| KI-Therapie-Chatbot | über 1 Mio. | 23 | 63 | 169 | 255 |
| KI-Plattform für emotionale Gesundheit | über 1 Mio. | 13 | 124 | 78 | 215 |
| Gesundheits- und Symptom-Tracker | über 500.000 | 7 | 31 | 173 | 211 |
| Tool zur Bewältigung von Depressionen | über 100.000 | 0 | 66 | 91 | 157 |
| CBT-basierte App gegen Angstzustände | über 500.000 | 3 | 45 | 62 | 110 |
| Online-Community für Therapie und Unterstützung | über 1 Mio. | 7 | 20 | 71 | 98 |
| Selbsthilfe bei Ängsten und Phobien | über 50.000 | 0 | 15 | 54 | 69 |
| Stressbewältigung beim Militär | über 50.000 | 0 | 12 | 50 | 62 |
| AI CBT Chatbot | über 500.000 | 0 | 15 | 46 | 61 |
| Total | über 14,7 Mio. | 54 | 538 | 983 | 1.575 |
Schwachstellen, die in den 10 getesteten Mental-Health-Apps gefunden wurden. Quelle
Die Anatomie der Schwachstellen
Die entdeckten Schwachstellen sind vielfältig, laufen aber alle auf eines hinaus: Sie ermöglichen Angreifern Zugriff auf Daten, die absolut geheim sein sollten.
Beginnen wir mit einer Schwachstelle, über die Angreifer auf alle internen Aktivitäten der App zugreifen können – auch auf solche, die ganz und gar nicht für fremde Augen bestimmt sind. Dadurch könnten Authentifizierungs-Token und Sitzungsdaten des Nutzers gestohlen werden. Mit diesen könnte der Angreifer direkt auf die Therapieberichte eines Nutzers zugreifen.
Ein weiteres Problem ist die unsichere lokale Speicherung von Daten, wobei einer anderen App auf dem Gerät Leseberechtigungen gewährt werden. Mit anderen Worten: Irgendeine Taschenlampen-App oder ein Taschenrechner auf dem Smartphone könnte die Protokolle der kognitiven Verhaltenstherapie (KVT), persönliche Notizen und Stimmungsbewertungen lesen.
Die Forscher fanden auch unverschlüsselte Konfigurationsdaten, die direkt in APK-Installationsdateien enthalten waren. Dazu gehörten Back-End-API-Endpunkte und hartcodierte URLs für Firebase-Datenbanken.
Darüber hinaus wurden mehrere Apps erwischt, die die kryptografisch schwache Klasse java.util.Random verwendeten, um Sitzungstoken und Chiffrierschlüssel zu generieren.
Schließlich fehlte den meisten der getesteten Apps ein Schutz vor Jailbreaking und Root-Zugriff. Auf einem gerooteten Gerät kann jede Drittanbieter-App mit Administratorrechten vollständigen Zugriff auf alle lokal gespeicherten medizinischen Daten erhalten.
Erschreckenderweise wurden im Februar 2026 nur vier der zehn getesteten Apps aktualisiert. Die restlichen erhielten seit November 2025 keine Updates, und eine App wurde sogar seit September 2024 nicht mehr verändert. 18 Monate ohne Sicherheits-Update sind in dieser Branche wie eine Ewigkeit – insbesondere für Apps, die Stimmungstagebücher, Therapieprotokolle und Medikamentenpläne speichern.
Hier eine kurze Erinnerung daran, wie gefährlich der Missbrauch solcher Art von Daten sein kann. 2024 wurde die Technologiewelt von einem ausgeklügelten Angriff auf XZ Utils erschüttert, eine wichtige Komponente, die praktisch in jedem Linux-basierten Betriebssystem vorkommt. Hackern gelang es, Berechtigungen zum Ändern des Codes zu erhalten, nachdem der Entwickler öffentlich erklärt hatte, das Projekt wegen Burnout und mangelnder Motivation aufzugeben. Wäre der Angriff erfolgreich gewesen, hätte sich ein unglaublich großer Schaden ergeben, da weltweit etwa 80 % der Server unter Linux laufen.
Welche Daten könnten abfließen?
Was sammeln und speichern diese Apps? Es ist die Art von Informationen, die du wahrscheinlich nur einem vertrauenswürdigen Arzt mitteilen würdest: Protokolle von Therapiesitzungen, Stimmungsberichte, Medikationspläne, Symptome für Selbstverletzung, KVT-Notizen und verschiedene klinische Bewertungen.
Bereits 2021 wurden komplette Krankenakten für 1.000 US-Dollar das Stück im Darknet verkauft. Zum Vergleich: Eine gestohlene Kreditkartennummer kostet zwischen 5 und 30 US-Dollar. Krankenakten enthalten eine vollständige Identität: Name, Adresse, Versicherungsdaten und Diagnoseverlauf. Im Gegensatz zu einer Kreditkarte lässt sich eine Patientengeschichte nicht „neu ausstellen“. Darüber hinaus ist medizinischer Betrug schwer zu erkennen. Während Banken verdächtige Transaktionen innerhalb von Stunden identifizieren können, kann ein betrügerischer Versicherungsanspruch für eine Scheinbehandlung jahrelang unbemerkt bleiben.
Das kommt uns irgendwie bekannt vor
Die Studie ist kein Einzelfall.
Im Jahr 2020 hackte Julius Kivimäki die Datenbank der finnischen Psychotherapieklinik Vastaamo und erbeutete die Aufzeichnungen von 33.000 Patienten. Nachdem sich die Klinik geweigert hatte, ein Lösegeld in Höhe von 400.000 Euro zu zahlen, begann Kivimäki, die Patienten direkt zu erpressen: „Zahlen Sie innerhalb von 24 Stunden 200 € in Bitcoin, sonst werden Ihre Unterlagen veröffentlicht.“ Letztendlich verbreitete er die gesamte Datenbank trotzdem im Darknet. Mindestens zwei Menschen starben durch Selbstmord. Die Klinik ging bankrott. Der Kriminelle wurde zu sechs Jahren und drei Monaten Haft verurteilt. In Finnland hatte es bis dahin kein anderes Verbrechen gegeben, bei dem so viele Opfer betroffen waren.
2023 verhängte die amerikanische Federal Trade Commission (FTC) eine Geldbuße in Höhe von 7,8 Millionen US-Dollar gegen das riesige Online-Therapieunternehmen BetterHelp. Zwar gab das Unternehmen auf der Registrierungsseite an, dass alle Daten streng vertraulich behandelt würden. Trotzdem zeigte sich, dass Benutzerinformationen für gezielte Werbung an Facebook, Snapchat, Criteo und Pinterest weitergeleitet wurden. Unter anderem Antworten aus Fragebögen zur psychischen Gesundheit, E-Mail-Adressen und IP-Adressen. Nachdem sich der Staub einigermaßen gelegt hatte, erhielten 800.000 betroffene Nutzer … jeweils 10 US-Dollar Entschädigung.
2024 nahm die FTC das Telemedizinunternehmen Cerebral ins Visier und belegte es mit einer Geldstrafe von 7 Millionen US-Dollar. Cerebral hatte über Tracking-Pixel die Daten von 3,2 Millionen Nutzern an LinkedIn, Snapchat und TikTok weitergegeben. Die Beute umfasste Namen, Krankengeschichten, Rezepte, Termindaten und Versicherungsinformationen. Und das Sahnehäubchen: Das Unternehmen verschickte an 6.000 Patienten Werbepostkarten (ohne Umschlag), aus denen eindeutig hervorging, dass sich die Empfänger in psychiatrischer Behandlung befanden.
Im September 2024 stieß der Sicherheitsforscher Jeremiah Fowler auf eine öffentlich zugängliche Datenbank von Confidant Health, einem Anbieter von Diensten für Entwöhnung und psychische Gesundheit. Die Datenbank enthielt Audio- und Videoaufzeichnungen von Therapiesitzungen, Transkripte, Aufzeichnungen von Psychiatern, Ergebnisse von Drogentests und sogar Führerscheinkopien. Insgesamt 5,3 Terabyte an Daten, 126.000 Dateien oder 1,7 Millionen Datensätze. Alles unverschlüsselt.
Warum Anonymität eine Illusion ist
Entwickler versprechen gerne: „Wir geben Ihre persönlichen Daten niemals an Dritte weiter.“ Dies mag technisch gesehen sogar stimmen, aber sie teilen „anonymisierte Profile“. Das Problem: Die Deanonymisierung dieser Daten ist inzwischen ein Kinderspiel. Aktuelle Studien zeigen, dass die Deanonymisierung mithilfe von LLMs inzwischen fast eine Routineaufgabe ist.
Aber auch bei der „Anonymisierung“ liegt vieles im Argen. Eine Studie der Duke University ergab, dass Datenmakler die Daten zur mentalen Gesundheit von Amerikanern offen verkaufen. Von 37 befragten Brokern erklärten sich 11 bereit, Daten zu verkaufen, die sich auf bestimmte Diagnosen (wie Depression, Angst und bipolare Störung), demografische Parameter und in einigen Fällen sogar auf Namen und Privatadressen beziehen. Die Preise begannen bei 275 US-Dollar für 5.000 aufbereitete Datensätze.
Nach Angaben der Mozilla Foundation erfüllten bis 2023 59 % der populären Apps für psychische Gesundheit nicht einmal die grundlegenden Datenschutzstandards und 40 % waren sogar unsicherer als im Jahr zuvor. Diese Apps ermöglichten die Erstellung von Konten über Dienste von Drittanbietern (wie Google, Apple und Facebook) und verfügten über verdächtig kurze Datenschutzrichtlinien, in denen Details zur Datenerfassung unerwähnt blieben. Zudem nutzten sie eine clevere Lücke: Einige Datenschutzrichtlinien galten ausschließlich für die Website des Unternehmens, nicht aber für die App. Kurz gesagt: Die Klicks auf der Website waren „geschützt“, die Aktionen innerhalb der App jedoch nicht.
Empfohlene Schutzmaßnahmen
Vollständig auf diese Apps verzichten, wäre natürlich die sicherste Option, ist aber nicht besonders realistisch. Außerdem ist keineswegs garantiert, dass du die bereits gesammelten Daten tatsächlich löschen kannst. Selbst, wenn du dein Konto löschst. Wir haben bereits beschrieben, wie mühsam es ist, Daten aus den Sammlungen von Datenbrokern zu entfernen. Dies ist zwar möglich, aber ziemlich aufwendig. Was kannst du für deine Sicherheit tun?
- Berechtigungen überprüfen, bevor du auf „Installieren“ klickst. Gehe bei Google Play in der App-Beschreibung zu Über diese App → Berechtigungen. Ein Mood-Tracker sollte nicht nach Zugriff auf die Kamera, das Mikrofon, deine Kontakte oder den genauen GPS-Standort fragen. Andernfalls kümmert sich die App nicht um dein Wohlbefinden, sondern baggert Daten ab.
- Datenschutzrichtlinie lesen. Natürlich wissen wir, dass fast niemand diese ellenlangen Manifeste liest. Aber wenn ein Dienst deine intimsten Gedanken erfahren könnte, solltest du die Richtlinie wenigstens überfliegen. Achte auf Warnsignale: Gibt das Unternehmen Daten an Dritte weiter? Kannst du deine Daten manuell löschen? Gilt die Richtlinie ausdrücklich für die App selbst oder nur für die Website? Du kannst den Richtlinientext in eine KI eingeben und danach fragen, ob sie gegen den Datenschutz verstößt.
- Datum der letzten Aktualisierung überprüfen. Wenn eine App seit über sechs Monaten nicht mehr aktualisiert wurde, sieht es wahrscheinlich auch bei Sicherheitslücken traurig aus. Zur Erinnerung: Sechs der zehn von Oversecured getesteten Apps wurden seit Monaten nicht mehr angerührt.
- In den Privatsphäre-Einstellungen deines Telefons alles deaktivieren, was nicht unbedingt erforderlich ist. Falls du gefragt wirst, wähle immer die „Do Not Track“-Anforderung. Wenn eine App darum bittet, eine bestimmte Art des Trackings zum Zweck der „internen Optimierung“ zu aktivieren, geht es fast immer um einen Marketingtrick und nicht um eine funktionale Notwendigkeit. Wenn die App ohne eine bestimmte Berechtigung wirklich nicht funktioniert, kannst sie immer noch später aktivieren.
- „Anmelden mit …“-Dienste nicht verwenden. Bei der Authentifizierung über Facebook, Apple, Google oder Microsoft werden zusätzliche IDs erstellt und Unternehmen erhalten die einmalige Gelegenheit, deine Daten plattformübergreifend zu verknüpfen.
- Alles, was du eingibst, wie einen öffentlichen Social-Media-Beitrag behandeln. Wenn du nicht möchtest, dass deine privaten Daten von einem Unbekannten im Internet gelesen werden, solltest du sie nicht in eine App mit über 150 Schwachstellen eingeben, die seit über einem Jahr nicht mehr aktualisiert wurde.
Was du noch über Privatsphäre-Einstellungen und die Kontrolle deiner persönlichen Daten im Internet wissen solltest:
Tipps