{"id":33287,"date":"2026-03-19T11:26:30","date_gmt":"2026-03-19T09:26:30","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33287"},"modified":"2026-03-18T17:49:14","modified_gmt":"2026-03-18T15:49:14","slug":"mental-health-apps-issues-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/mental-health-apps-issues-2026\/33287\/","title":{"rendered":"Nicht ganz dicht: Schwachstellen in Mental-Health-Apps"},"content":{"rendered":"

Im Februar 2026 ver\u00f6ffentlichte die Cybersicherheitsfirma Oversecured einen Bericht, nach dessen Lekt\u00fcre man sein Smartphone am liebsten auf die Werkseinstellungen zur\u00fccksetzen und in eine einsame H\u00fctte im Wald umziehen will. Die Forscher untersuchten<\/a> 10\u00a0beliebte Android-Apps f\u00fcr psychische Gesundheit (Stimmungstracker, KI-Therapeuten, Tools zur Behandlung von Depressionen und Angstzust\u00e4nden) und entdeckten 1.575\u00a0Schwachstellen! 54 davon wurden als kritisch eingestuft. Angesichts der Download-Statistiken bei Google Play k\u00f6nnten bis zu 15 Millionen Personen betroffen sein. Der Knackpunkt ist aber: Sechs der zehn getesteten Apps versprechen den Nutzern explizit, dass ihre Daten \u201evollst\u00e4ndig verschl\u00fcsselt und zuverl\u00e4ssig gesch\u00fctzt werden\u201c.<\/p>\n

Wir gehen diesen skandal\u00f6sen Sicherheitsl\u00fccken auf den Grund: Welche Daten k\u00f6nnten durchsickern, was steckt hinter der Geschichte, und warum ist \u201eAnonymit\u00e4t\u201c bei solchen Apps nur ein Marketing-Mythos?<\/p>\n

Was in den Apps gefunden wurde<\/h2>\n

Oversecured ist eine Sicherheitsfirma f\u00fcr mobile Apps, die einen speziellen Scanner verwendet, um APK-Dateien in Dutzenden von Kategorien auf bekannte Schwachstellen zu durchleuchten. Im Januar\u00a02026 lie\u00dfen die Forscher zehn Mental-Health-Apps aus Google Play durch den Scanner laufen\u00a0\u2013 und die Ergebnisse waren wirklich \u201esensationell\u201c.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
App-Typ<\/td>\nInstallationen<\/td>\nSicherheitsschwachstellen<\/td>\n<\/tr>\n
Hoch<\/td>\nMittel<\/td>\nNiedrig<\/td>\nTotal<\/td>\n<\/tr>\n
Stimmungs- und Gewohnheitstracker<\/td>\n\u00dcber 10 Mio.<\/td>\n1<\/td>\n147<\/td>\n189<\/td>\n337<\/td>\n<\/tr>\n
KI-Therapie-Chatbot<\/td>\n\u00fcber 1\u00a0Mio.<\/td>\n23<\/td>\n63<\/td>\n169<\/td>\n255<\/td>\n<\/tr>\n
KI-Plattform f\u00fcr emotionale Gesundheit<\/td>\n\u00fcber 1\u00a0Mio.<\/td>\n13<\/td>\n124<\/td>\n78<\/td>\n215<\/td>\n<\/tr>\n
Gesundheits- und Symptom-Tracker<\/td>\n\u00fcber 500.000<\/td>\n7<\/td>\n31<\/td>\n173<\/td>\n211<\/td>\n<\/tr>\n
Tool zur Bew\u00e4ltigung von Depressionen<\/td>\n\u00fcber 100.000<\/td>\n0<\/td>\n66<\/td>\n91<\/td>\n157<\/td>\n<\/tr>\n
CBT-basierte App gegen Angstzust\u00e4nde<\/td>\n\u00fcber 500.000<\/td>\n3<\/td>\n45<\/td>\n62<\/td>\n110<\/td>\n<\/tr>\n
Online-Community f\u00fcr Therapie und Unterst\u00fctzung<\/td>\n\u00fcber 1\u00a0Mio.<\/td>\n7<\/td>\n20<\/td>\n71<\/td>\n98<\/td>\n<\/tr>\n
Selbsthilfe bei \u00c4ngsten und Phobien<\/td>\n\u00fcber 50.000<\/td>\n0<\/td>\n15<\/td>\n54<\/td>\n69<\/td>\n<\/tr>\n
Stressbew\u00e4ltigung beim Milit\u00e4r<\/td>\n\u00fcber 50.000<\/td>\n0<\/td>\n12<\/td>\n50<\/td>\n62<\/td>\n<\/tr>\n
AI CBT Chatbot<\/td>\n\u00fcber 500.000<\/td>\n0<\/td>\n15<\/td>\n46<\/td>\n61<\/td>\n<\/tr>\n
Total<\/strong><\/td>\n\u00fcber 14,7 Mio.<\/strong><\/td>\n54<\/strong><\/td>\n538<\/strong><\/td>\n983<\/strong><\/td>\n1.575<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n
\n
\n

Schwachstellen, die in den 10\u00a0getesteten Mental-Health-Apps gefunden wurden. Quelle<\/a><\/p>\n<\/div>\n<\/div>\n

\n
\n

Die Anatomie der Schwachstellen<\/h2>\n<\/div>\n
\n

Die entdeckten Schwachstellen sind vielf\u00e4ltig, laufen aber alle auf eines hinaus: Sie erm\u00f6glichen Angreifern Zugriff auf Daten, die absolut geheim sein sollten.<\/p>\n

Beginnen wir mit einer Schwachstelle, \u00fcber die Angreifer auf alle internen Aktivit\u00e4ten der App zugreifen k\u00f6nnen\u00a0\u2013 auch auf solche, die ganz und gar nicht f\u00fcr fremde Augen bestimmt sind. Dadurch k\u00f6nnten Authentifizierungs-Token und Sitzungsdaten des Nutzers gestohlen werden. Mit diesen k\u00f6nnte der Angreifer direkt auf die Therapieberichte eines Nutzers zugreifen.<\/p>\n

Ein weiteres Problem ist die unsichere lokale Speicherung von Daten, wobei einer anderen App auf dem Ger\u00e4t Leseberechtigungen gew\u00e4hrt werden. Mit anderen Worten: Irgendeine Taschenlampen-App oder ein Taschenrechner auf dem Smartphone k\u00f6nnte die Protokolle der kognitiven Verhaltenstherapie (KVT), pers\u00f6nliche Notizen und Stimmungsbewertungen lesen.<\/p>\n

Die Forscher fanden auch unverschl\u00fcsselte Konfigurationsdaten, die direkt in APK-Installationsdateien enthalten waren. Dazu geh\u00f6rten Back-End-API-Endpunkte und hartcodierte URLs f\u00fcr Firebase-Datenbanken.<\/p>\n

Dar\u00fcber hinaus wurden mehrere Apps erwischt, die die kryptografisch schwache Klasse java.util.Random<\/em> verwendeten, um Sitzungstoken und Chiffrierschl\u00fcssel zu generieren.<\/p>\n

Schlie\u00dflich fehlte den meisten der getesteten Apps ein Schutz vor Jailbreaking und Root-Zugriff. Auf einem gerooteten Ger\u00e4t kann jede Drittanbieter-App mit Administratorrechten vollst\u00e4ndigen Zugriff auf alle lokal gespeicherten medizinischen Daten erhalten.<\/p>\n

Erschreckenderweise wurden im Februar\u00a02026 nur vier der zehn getesteten Apps aktualisiert. Die restlichen erhielten seit November\u00a02025 keine Updates, und eine App wurde sogar seit September\u00a02024 nicht mehr ver\u00e4ndert. 18\u00a0Monate ohne Sicherheits-Update sind in dieser Branche wie eine Ewigkeit\u00a0\u2013 insbesondere f\u00fcr Apps, die Stimmungstageb\u00fccher, Therapieprotokolle und Medikamentenpl\u00e4ne speichern.<\/p>\n

Hier eine kurze Erinnerung daran, wie gef\u00e4hrlich der Missbrauch solcher Art von Daten sein kann. 2024 wurde die Technologiewelt von einem ausgekl\u00fcgelten Angriff auf XZ\u00a0Utils<\/a> ersch\u00fcttert, eine wichtige Komponente, die praktisch in jedem Linux-basierten Betriebssystem vorkommt. Hackern gelang es, Berechtigungen zum \u00c4ndern des Codes zu erhalten, nachdem der Entwickler \u00f6ffentlich erkl\u00e4rt hatte, das Projekt wegen Burnout und mangelnder Motivation aufzugeben. W\u00e4re der Angriff erfolgreich gewesen, h\u00e4tte sich ein unglaublich gro\u00dfer Schaden ergeben, da weltweit etwa 80\u00a0% der Server unter Linux laufen.<\/p>\n

Welche Daten k\u00f6nnten abflie\u00dfen?<\/h2>\n

Was sammeln und speichern diese Apps? Es ist die Art von Informationen, die du wahrscheinlich nur einem vertrauensw\u00fcrdigen Arzt mitteilen w\u00fcrdest: Protokolle von Therapiesitzungen, Stimmungsberichte, Medikationspl\u00e4ne, Symptome f\u00fcr Selbstverletzung, KVT-Notizen und verschiedene klinische Bewertungen.<\/p>\n

Bereits 2021 wurden komplette Krankenakten f\u00fcr 1.000 US-Dollar das St\u00fcck im Darknet verkauft<\/a>. Zum Vergleich: Eine gestohlene Kreditkartennummer kostet zwischen 5\u00a0und 30\u00a0US-Dollar. Krankenakten enthalten eine vollst\u00e4ndige Identit\u00e4t: Name, Adresse, Versicherungsdaten und Diagnoseverlauf. Im Gegensatz zu einer Kreditkarte l\u00e4sst sich eine Patientengeschichte nicht \u201eneu ausstellen\u201c. Dar\u00fcber hinaus ist medizinischer Betrug schwer zu erkennen. W\u00e4hrend Banken verd\u00e4chtige Transaktionen innerhalb von Stunden identifizieren k\u00f6nnen, kann ein betr\u00fcgerischer Versicherungsanspruch f\u00fcr eine Scheinbehandlung jahrelang unbemerkt bleiben.<\/p>\n

Das kommt uns irgendwie bekannt vor<\/h2>\n

Die Studie ist kein Einzelfall.<\/p>\n

Im Jahr 2020 hackte Julius Kivim\u00e4ki die Datenbank der finnischen Psychotherapieklinik Vastaamo<\/a> und erbeutete die Aufzeichnungen von 33.000 Patienten. Nachdem sich die Klinik geweigert hatte, ein L\u00f6segeld in H\u00f6he von 400.000 Euro zu zahlen, begann Kivim\u00e4ki, die Patienten direkt zu erpressen: \u201eZahlen Sie innerhalb von 24 Stunden 200\u00a0\u20ac in Bitcoin, sonst werden Ihre Unterlagen ver\u00f6ffentlicht.\u201c Letztendlich verbreitete er die gesamte Datenbank trotzdem im Darknet. Mindestens zwei Menschen starben durch Selbstmord. Die Klinik ging bankrott. Der Kriminelle wurde zu sechs Jahren und drei Monaten Haft verurteilt. In Finnland hatte es bis dahin kein anderes Verbrechen gegeben, bei dem so viele Opfer betroffen waren.<\/p>\n

2023 verh\u00e4ngte die amerikanische Federal Trade Commission (FTC) eine Geldbu\u00dfe in H\u00f6he von 7,8 Millionen US-Dollar gegen das riesige Online-Therapieunternehmen BetterHelp<\/a>. Zwar gab das Unternehmen auf der Registrierungsseite an, dass alle Daten streng vertraulich behandelt w\u00fcrden. Trotzdem zeigte sich, dass Benutzerinformationen f\u00fcr gezielte Werbung an Facebook, Snapchat, Criteo und Pinterest weitergeleitet wurden. Unter anderem Antworten aus Frageb\u00f6gen zur psychischen Gesundheit, E-Mail-Adressen und IP-Adressen. Nachdem sich der Staub einigerma\u00dfen gelegt hatte, erhielten 800.000\u00a0betroffene Nutzer\u00a0\u2026 jeweils 10\u00a0US-Dollar Entsch\u00e4digung.<\/p>\n

2024 nahm die FTC das Telemedizinunternehmen Cerebral<\/a> ins Visier und belegte es mit einer Geldstrafe von 7\u00a0Millionen US-Dollar. Cerebral hatte \u00fcber Tracking-Pixel<\/a> die Daten von 3,2\u00a0Millionen Nutzern an LinkedIn, Snapchat und TikTok weitergegeben. Die Beute umfasste Namen, Krankengeschichten, Rezepte, Termindaten und Versicherungsinformationen. Und das Sahneh\u00e4ubchen: Das Unternehmen verschickte an 6.000\u00a0Patienten Werbepostkarten (ohne Umschlag), aus denen eindeutig hervorging, dass sich die Empf\u00e4nger in psychiatrischer Behandlung befanden.<\/p>\n

Im September\u00a02024 stie\u00df der Sicherheitsforscher Jeremiah Fowler auf eine \u00f6ffentlich zug\u00e4ngliche Datenbank von Confidant Health<\/a>, einem Anbieter von Diensten f\u00fcr Entw\u00f6hnung und psychische Gesundheit. Die Datenbank enthielt Audio- und Videoaufzeichnungen von Therapiesitzungen, Transkripte, Aufzeichnungen von Psychiatern, Ergebnisse von Drogentests und sogar F\u00fchrerscheinkopien. Insgesamt 5,3\u00a0Terabyte an Daten, 126.000\u00a0Dateien oder 1,7\u00a0Millionen Datens\u00e4tze. Alles unverschl\u00fcsselt.<\/p>\n

Warum Anonymit\u00e4t eine Illusion ist<\/h2>\n

Entwickler versprechen gerne: \u201eWir geben Ihre pers\u00f6nlichen Daten niemals an Dritte weiter.\u201c Dies mag technisch gesehen sogar stimmen, aber sie teilen \u201eanonymisierte Profile\u201c. Das Problem: Die Deanonymisierung dieser Daten ist inzwischen ein Kinderspiel. Aktuelle Studien<\/a> zeigen, dass die Deanonymisierung mithilfe von LLMs inzwischen fast eine Routineaufgabe ist.<\/p>\n

Aber auch bei der \u201eAnonymisierung\u201c liegt vieles im Argen. Eine Studie der Duke University<\/a> ergab, dass Datenmakler die Daten zur mentalen Gesundheit von Amerikanern offen verkaufen. Von 37\u00a0befragten Brokern erkl\u00e4rten sich 11\u00a0bereit, Daten zu verkaufen, die sich auf bestimmte Diagnosen (wie Depression, Angst und bipolare St\u00f6rung), demografische Parameter und in einigen F\u00e4llen sogar auf Namen und Privatadressen beziehen. Die Preise begannen bei 275\u00a0US-Dollar f\u00fcr 5.000\u00a0aufbereitete Datens\u00e4tze.<\/p>\n

Nach Angaben der Mozilla Foundation<\/a> erf\u00fcllten bis 2023 59\u00a0% der popul\u00e4ren Apps f\u00fcr psychische Gesundheit nicht einmal die grundlegenden Datenschutzstandards und 40\u00a0% waren sogar unsicherer als im Jahr zuvor. Diese Apps erm\u00f6glichten die Erstellung von Konten \u00fcber Dienste von Drittanbietern (wie Google, Apple und Facebook) und verf\u00fcgten \u00fcber verd\u00e4chtig kurze Datenschutzrichtlinien, in denen Details zur Datenerfassung unerw\u00e4hnt blieben. Zudem nutzten sie eine clevere L\u00fccke: Einige Datenschutzrichtlinien galten ausschlie\u00dflich f\u00fcr die Website des Unternehmens, nicht aber f\u00fcr die App. Kurz gesagt: Die Klicks auf der Website waren \u201egesch\u00fctzt\u201c, die Aktionen innerhalb der App jedoch nicht.<\/p>\n

Empfohlene Schutzma\u00dfnahmen<\/h2>\n

Vollst\u00e4ndig auf diese Apps verzichten, w\u00e4re nat\u00fcrlich die sicherste Option, ist aber nicht besonders realistisch. Au\u00dferdem ist keineswegs garantiert, dass du die bereits gesammelten Daten tats\u00e4chlich l\u00f6schen kannst. Selbst, wenn du dein Konto l\u00f6schst. Wir haben bereits beschrieben, wie m\u00fchsam es ist, Daten aus den Sammlungen von Datenbrokern zu entfernen<\/a>. Dies ist zwar m\u00f6glich, aber ziemlich aufwendig. Was kannst du f\u00fcr deine Sicherheit tun?<\/p>\n