Vivy im Visier
Sicherheitslücken bei E-Gesundheitsakte?
Die Diskussionen über die Sicherheit der E-Gesundheitsakte Vivy sind im Netz erneut aufgeflammt. Der Betreiber selbst sagt, das Sicherheitskonzept der Akte habe sich bewährt.
Veröffentlicht:NEU-ISENBURG. Unterschiedlicher könnte die Interpretation derselben Sache kaum ausfallen: „Vivy Sicherheitskonzept bewährt sich“, meldete der Betreiber der E-Gesundheitsakte, die von Krankenkassen und privaten Krankenversicherungen potenziell 13,5 Millionen Versicherten angeboten wird, am Dienstag. In Meldungen aus der IT-Sicherheitsszene wird dagegen von „schwerwiegenden Sicherheitsmängeln“ in Vivy gesprochen.
Vivy arbeite „fortlaufend an der Verbesserung der Sicherheitsarchitektur“ und lasse die Anwendung „regelmäßig durch externe IT-Sicherheitsexperten überprüfen“, heißt es in einer Pressemitteilung des Aktenbetreibers. Dabei habe die modzero GmbH „mehrere hypothetische Angriffsvektoren aufgezeigt“, die von Vivy „jeweils innerhalb von 24 Stunden behoben“ worden seien. „Zu keinem Zeitpunkt“ sei ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich gewesen. Modzero hatte in einer Testumgebung des Unternehmens mit vielen speziellen spezifischen Annahmen Angriffsmöglichkeiten simuliert.
Die Ende-zu-Ende-Verschlüsselung der Gesundheitsakte sei zu keinem Zeitpunkt durch Modzero ausgehebelt worden, so Vivy weiter. Der Bericht dokumentiere lediglich „eine punktuelle Kompromittierung der Verschlüsselung bei der Übertragung eines einzelnen Dokumentes vom Patienten an den Arzt, ausschließlich wenn mehrere spezifische Umstände gleichzeitig bestehen“. Dies sei „aufgrund unserer Gegenmaßnahmen nun nicht mehr möglich“.
Bei modzero liest sich die Bestandsaufnahme des Sicherheitsstatus der E-Akte ganz anders: Die Sicherheitsforscher, die regelmäßig Massenanwendungen auf Sicherheitslücken testen, hätten Mitte September „zahlreiche sicherheitskritische Fehler in der Anwendung“ entdeckt, heißt es auf der Website des Unternehmens.
Fazit: „Nicht nur Patienten und Ärzte, auch Unbefugte konnten die Gesundheitsdaten lesen – und zum Teil auch manipulieren.“ modzero hat dazu einen Sicherheitsbericht veröffentlicht, nachdem die Lücken dem Aktenbetreiber mitgeteilt und auch besprochen worden seien.
Am 4. Oktober habe Vivy um eine Verlängerung der Frist um zwei Wochen bis zur Veröffentlichung der Sicherheitslücken durch modzero gebeten, da noch nicht alle Lücken geschlossen seien. Die Zusammenarbeit mit Vivy sei allerdings „positiv“ verlaufen.
Bereits kurz nach Veröffentlichung der App Mitte September hatten Untersuchungen ergeben, dass unnötig Trackingdaten über die Nutzung des Programms ins Ausland gesendet werden (wir berichteten). In Medien der IT-Branche wird nach Veröffentlichung weiterer Sicherheitslücken in Zweifel gezogen, ob das Sicherheitsversprechen der App für die Gesundheitsakte tatsächlich gehalten werden kann. „Nutzer sollten nicht von mehr Privatsphäre als im Wartezimmer ausgehen“, kommentiert beispielsweise „netzpolitik.org“.
Vivy betont dagegen, dass die aufgedeckten Lücken geschlossen seien, und ruft IT-Experten weltweit dazu auf, mögliche Angriffsflächen zu suchen und darauf aufmerksam zu machen. Ob die bereits ergriffenen Schutzmaßnahmen seitens Vivy ausreichen, habe modzero allerdings nicht überprüft, heißt es in deren Mitteilung.
Im Bericht stellt modzero zudem fest: Auch weitere Anbieter von Gesundheits-Apps haben „mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen“. (ger)