Gesundheitsdaten sind sensibel. Kurz nach dem Start der neuen App Vivy will eine IT-Sicherheitsfirma bei Tests Probleme entdeckt haben. Die Macher sprechen von "hypothetischen Angriffsmöglichkeiten".
Nach Hinweisen auf Sicherheitsmängel haben die Betreiber der neuen Gesundheits-App Vivy reagiert und diese nach eigenen Angaben beseitigt. Das IT-Sicherheitsunternehmen Modzero hatte Vivy zuvor untersucht und auf Sicherheitslücken der App und der Server-Einrichtung hingewiesen. "Nicht nur Patienten oder Ärzte, auch Unbefugte konnten Gesundheitsdaten lesen", teilte Modzero am Dienstag mit. Vivy wiederum erklärte, es sei zu keinem Zeitpunkt möglich gewesen, auf die elektronische Gesundheitsakte zuzugreifen.
Modzero habe potenzielle Angriffsszenarien getestet, die "nur unter sehr speziellen Voraussetzungen" möglich gewesen seien, hieß es bei Vivy. Gleichzeitig erklärten die Betreiber der App, alle Angriffswege seien binnen 24 Stunden geschlossen worden. Zudem seien sämtliche vorgeschlagenen Verbesserungen umgesetzt worden.
Vivy war im September an den Start gegangen. Über die Plattform können Patienten Befunde, Laborwerte und Röntgenbilder speichern und mit Ärzten teilen. Mehrere private und gesetzliche Krankenkassen bieten die digitale Akte ihren Kunden an - sie haben insgesamt rund 13,5 Millionen Versicherte. Die Allianz Private Krankenversicherung erklärte auf Anfrage, Datenschutz und Datensicherheit für die Kunden seien sehr wichtig. Vivy liefere regelmäßig Reports über diese Themen und werde zudem regelmäßig von externen Experten überprüft. Von der DAK-Gesundheit hieß es, man vertraue darauf, dass Vivy alle möglichen Sicherheitslücken schnell schließe.
Dem Sicherheitsunternehmen Modzero ist es nach eigenen Angaben gelungen, die Verschlüsselung der Plattform auszuhebeln. Bei der Ende-zu-Ende-Verschlüsselung sollen Inhalte nur für Absender und Empfänger im Klartext sichtbar sein. Allerdings habe man die geheimen Schlüssel der Ärzte auslesen können, hieß es bei Modzero. Als zweiten Schritt habe man daraufhin Patientendaten abrufen und diese mit dem Schlüssel entsperren können.
"Wir haben nicht auf die Daten echter Patienten zugegriffen, sondern eigene Accounts registriert und eigene Dokumente eingestellt. Dann sind wir in die Rolle des Angreifers geschlüpft, um diese Daten wieder abzugreifen", erklärt Modzero-Chef Thorsten Schröder. Sie hätten aber auch ohne Probleme die Dokumente anderer Patienten abgreifen können. Auch der Chaos Computer Club sprach von Sicherheitsproblemen.
Vivy wiederum sprach von "hypothetischen Angriffsmöglichkeiten". Der Großteil der beseitigten Angriffsmöglichkeiten habe gezeigt, dass sie entweder einen kompromittierten - also manipulierten - Computer des Arztes oder ein kompromittiertes Smartphone des Nutzers voraussetzen.
Modzero hatte den Test eigenmächtig kurz nach dem Start der App durchgeführt und Vivy daraufhin über Schwachstellen informiert. Vivy habe "sehr positiv" reagiert und zugesichert, Lösungen zu finden. Modzero hätte daraufhin keine neuen Untersuchungen durchgeführt. "Wir verlassen uns auf die Aussagen und haben das Ganze für uns abgeschlossen", sagte Schröder. Das IT-Sicherheitsunternehmen rät Vivy-Nutzern, zeitnah ein Update durchzuführen.
Nach jahrelangem Gezerre um zusätzliche Funktionen der elektronischen Gesundheitskarte wollen Branche und Politik bei der Digitalisierung schneller vorankommen. Die Bundesregierung strebt bis spätestens 2021 die Einführung elektronischer Patientenakten an, die Versicherte freiwillig nutzen können - auch per Smartphone oder Tablet-Computer. Einige andere Krankenkassen haben ebenfalls Projekte gestartet, die auch offen für einen gemeinsamen Standard sein sollen. Basis für das System der Akten soll eine Datenautobahn des Gesundheitswesens sein.