Neues von Vivy – Digitale Gesundheitsakte wies nach dem Start erhebliche Sicherheitsmängel auf

Bild: Vivy

Seit Mitte September bieten zahlreiche Krankenkassen ihren Versicherten mit „Vivy“ eine digitale Gesundheitsakte an. Befunde, Röntgenbilder und vieles mehr können in der App gespeichert und auf Wunsch mit einem Arzt geteilt werden. Doch schon kurze Zeit nach dem Start wurden erhebliche Sicherheitsmängel bekannt.

Nach Hinweisen auf Sicherheitsmängel haben die Betreiber der neuen Gesundheits-App Vivy reagiert und diese nach eigenen Angaben beseitigt. Das IT-Sicherheitsunternehmen Modzero hatte Vivy zuvor untersucht und auf Sicherheitslücken der App und der Server-Einrichtung hingewiesen. „Nicht nur Patienten oder Ärzte, auch Unbefugte konnten Gesundheitsdaten lesen“, teilte Modzero mit.

Digitale Gesundheitsakte mit zahlreichen Funktionen

Vivy war im September an den Start gegangen. Über die Plattform können Patienten Befunde, Laborwerte und Röntgenbilder speichern und mit Ärzten teilen. Mehrere private und gesetzliche Krankenkassen bieten die digitale Akte ihren Kunden an – sie haben insgesamt rund 13,5 Millionen Versicherte.

Mehr zur digitalen Gesundheitsakte Vivy finden Sie hier 

Gezielter Angriff auf die Verschlüsselung

Dem Sicherheitsunternehmen Modzero ist es nach eigenen Angaben gelungen, die Verschlüsselung der Plattform auszuhebeln. Bei der Ende-zu-Ende-Verschlüsselung sollen Inhalte nur für Absender und Empfänger im Klartext sichtbar sein. Allerdings habe man die geheimen Schlüssel der Ärzte auslesen können, hieß es bei Modzero. Als zweiten Schritt habe man daraufhin Patientendaten abrufen und diese mit dem Schlüssel entsperren können. 

„Wir haben nicht auf die Daten echter Patienten zugegriffen, sondern eigene Accounts registriert und eigene Dokumente eingestellt. Dann sind wir in die Rolle des Angreifers geschlüpft, um diese Daten wieder abzugreifen“, erklärt Modzero-Chef Thorsten Schröder. Sie hätten aber auch ohne Probleme die Dokumente anderer Patienten abgreifen können.

Angriff laut Vivy rein hypothetisch

Vivy wiederum erklärte, es sei zu keinem Zeitpunkt möglich gewesen, auf die elektronische Gesundheitsakte zuzugreifen. Modzero habe potenzielle Angriffsszenarien getestet, die „nur unter sehr speziellen Voraussetzungen“ möglich gewesen seien, hieß es bei Vivy. Der Großteil der Angriffsmöglichkeiten habe gezeigt, dass sie entweder einen kompromittierten – also manipulierten – Computer des Arztes oder ein kompromittiertes Smartphone des Nutzers voraussetzen. Gleichzeitig erklärten die Betreiber der App, alle Angriffswege seien binnen 24 Stunden geschlossen worden. Zudem seien sämtliche vorgeschlagenen Verbesserungen umgesetzt worden.

Am besten zeitnah ein Update durchführen

Modzero hatte den Test eigenmächtig kurz nach dem Start der App durchgeführt und Vivy daraufhin über Schwachstellen informiert. Vivy habe „sehr positiv“ reagiert und zugesichert, Lösungen zu finden. Modzero hätte daraufhin keine neuen Untersuchungen durchgeführt. „Wir verlassen uns auf die Aussagen und haben das Ganze für uns abgeschlossen“, sagte Schröder. Das IT-Sicherheitsunternehmen rät Vivy-Nutzern, zeitnah ein Update durchzuführen.

Quelle: dpa/sn