Agenturmeldungen

Gesundheits-Akte Vivy reagiert auf angebliche Sicherheitsmängel

30.10.2018

Berlin (dpa) - Nach Hinweisen auf Sicherheitsmängel haben die
Betreiber der neuen Gesundheits-App Vivy reagiert und diese nach
eigenen Angaben beseitigt. Das IT-Sicherheitsunternehmen Modzero
hatte Vivy zuvor untersucht und auf Sicherheitslücken der App und der
Server-Einrichtung hingewiesen. «Nicht nur Patienten oder Ärzte, auch
Unbefugte konnten Gesundheitsdaten lesen», teilte Modzero am Dienstag
mit. Vivy wiederum erklärte, es sei zu keinem Zeitpunkt möglich
gewesen, auf die elektronische Gesundheitsakte zuzugreifen.

Modzero habe potenzielle Angriffsszenarien getestet, die «nur unter
sehr speziellen Voraussetzungen» möglich gewesen seien, hieß es bei
Vivy. Gleichzeitig erklärten die Betreiber der App, alle Angriffswege
seien binnen 24 Stunden geschlossen worden. Zudem seien sämtliche
vorgeschlagenen Verbesserungen umgesetzt worden.

Vivy war im September an den Start gegangen. Über diese Plattform
können Befunde, Laborwerte und Röntgenbilder gespeichert und mit dem
Arzt geteilt werden. Die App, an der sich zahlreiche Krankenkassen
beteiligen, richtet sich als Angebot an bis zu 13,5 Millionen
Versicherte.

Nach Angaben von Modzero ist es dem Sicherheitsunternehmen gelungen,
die Verschlüsselung der Plattform auszuhebeln. Bei der
Ende-zu-Ende-Verschlüsselung sollen Inhalte nur für Absender und
Empfänger im Klartext sichtbar sein. Allerdings habe man die geheimen
Schlüssel der Ärzte auslesen können, hieß es bei Modzero. Als zweiten
Schritt habe man daraufhin Patientendaten abrufen und diese mit dem
Schlüssel entsperren können.

«Wir haben nicht auf die Daten echter Patienten zugegriffen, sondern
eigene Accounts registriert und eigene Dokumente eingestellt. Dann
sind wir in die Rolle des Angreifers geschlüpft, um diese Daten
wieder abzugreifen», erklärt Modzero-Chef Thorsten Schröder. Sie
hätten aber auch ohne Probleme die Dokumente anderer Patienten
abgreifen können. Auch der Chaos Computer Club sprach von
Sicherheitsproblemen.

Vivy wiederum sprach von «hypothetischen Angriffsmöglichkeiten». Der
Großteil der beseitigten Angriffsmöglichkeiten habe gezeigt, dass sie
entweder einen kompromittierten - also manipulierten - Computer des
Arztes oder ein kompromittiertes Smartphone des Nutzers voraussetzen.

Modzero hatte den Test kurz nach dem Start der App durchgeführt und
Vivy daraufhin über die Schwachstellen informiert. Vivy habe «sehr
positiv» reagiert und zugesichert, Lösungen zu finden. Experten raten
Nutzern, zeitnah ein Update durchzuführen.