Im September 2018 startete die Gesundheits-App „Vivy“. Als elektronische Gesundheitsakte ermöglicht die App Versicherten von 14 gesetzlichen und zwei privaten Krankenkassen, ihre Medikamentenpläne zu pflegen, Impftermine zu verwalten und Rezepte, Befunde und Laborwerte mit Ärzten auszutauschen. Für diese sensiblen Gesundheitsdaten garantierte der Anbieter eine „Sicherheit auf höchstem Niveau“.
IT-Sicherheitsunternehmen entdeckt mehrere Sicherheitsmängel
Kurz nach der Einführung der App überprüfte das schweizerisch-deutsche IT-Sicherheits-unternehmen Modzero auf eigene Veranlassung hin, ob die elektronische Gesundheitsakte Sicherheitslücken hatte. Nach Angabe des Unternehmens wurden mehrere kritische Punkte gefunden: So lagen Informationen darüber, welcher Patient zu welchem Zeitpunkt und mit welchem Arzt seine Gesundheitsdaten geteilt hatte, ungeschützt und für jeden lesbar im Netz. Eine Identifikation der Patienten war anhand des Namens, der E-Mailadresse, des Geburtsdatums und der Versichertennummer möglich. Zudem konnten Name, Adresse, Fachrichtung und geheimer Schlüssel der kontaktierten Ärzte identifiziert werden. So war es möglich, als Unbefugter über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abzufangen und zu entschlüsseln.
„Wir haben nicht auf die Daten echter Patienten zugegriffen, sondern eigene Accounts registriert und eigene Dokumente eingestellt. Dann sind wir in die Rolle des Angreifers geschlüpft, um diese Daten wieder abzugreifen“, erklärte Thorsten Schröder von Modzero. Man hätte aber auch ohne Probleme die Dokumente anderer Patienten abgreifen können.
Alle potentiellen Angriffsvektoren wurden kurzfristig behoben
Vivy wurde sofort über die Sicherheitsmängel informiert und hat – nach eigenem Bekunden – alle potentiellen Angriffsvektoren innerhalb von 24 Stunden behoben. Die App-Anbieter versicherten dabei, dass ein Zugriff auf die Gesundheitsakten ihrer Nutzer zu keinem Zeitpunkt möglich war. Dem Unternehmen Modzero wäre es lediglich in einer speziellen simulierten Testumgebung mit vielen spezifischen Voraussetzungen gelungen, an ihre selbst erstellten Testdatensätze zu gelangen. So müsse entweder der Computer des simulierten Arztes oder das Smartphone des simulierten Patienten schon im Vorfeld so manipuliert gewesen sein, dass ein Zugriff möglich wurde. Vivy fordert IT-Experten weltweit auf, auch zukünftig über mögliche Angriffsvektoren aufmerksam zu machen.
Den detaillierten Sicherheitsbericht zur Vivy-App stellt das IT-Unternehmen Modzero auf ihrer Homepage zur Verfügung: https://www.modzero.ch/static/vivy-app-security-final.pdf
Auf der Homepage von Vivy sind ein ausführlicher Bericht zu den kritischen Punkten sowie ein „White Paper“ zum Thema Sicherheit nachzulesen https://www.vivy.com.