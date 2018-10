Nach Hinweisen auf Sicherheitsmängel haben die Betreiber der neuen Gesundheitsdaten-App Vivy reagiert und diese nach eigenen Angaben beseitigt. Ein deutsch-schweizerisches IT-Sicherheitsunternehmen hatte Vivy zuvor untersucht und auf Sicherheitslücken der App selbst wie auch der Server-Einrichtung hingewiesen. Die hätten dazu geführt, dass Unbefugte unter Umständen Gesundheitsdaten lesen konnten.

Vivy war im September an den Start gegangen. Über die Plattform können Befunde, Laborwerte und Röntgenbilder in einer elektronischen Gesundheitsakte gespeichert und mit dem Arzt geteilt werden. Die App, an der sich zahlreiche Krankenkassen beteiligen, richtet sich als Angebot an bis zu 13,5 Millionen Versicherte.

Nach Angaben der Sicherheitsexperten hätten sich allgemeine Daten und im Extremfall auch Gesundheitsdaten von einzelnen, aber niemals allen Vivy-Nutzern gleichzeitig von Vivys Servern abrufen lassen. Sie seien unzureichend geschützt gewesen. Die webbasierte Vivy-Anwendung für Ärzte sei ebenfalls angreifbar gewesen, was an der veralteten Verschlüsselungstechnik gelegen habe, die zunächst verwendet wurde.

Vivy spricht von "hypothetischen" Angriffsszenarien

Die Betreiber der Vivy-App teilten mit, alle Angriffswege binnen 24 Stunden geschlossen und sämtliche vorgeschlagenen Verbesserungen umgesetzt zu haben. Nutzer sollten also zeitnah ein Update der App durchführen. Es sei aber zu keinem Zeitpunkt möglich gewesen, auf die elektronische Gesundheitsakte zuzugreifen. Die nach Angaben von Vivy "hypothetischen" Angriffsszenarien seien "nur unter sehr speziellen Voraussetzungen" möglich gewesen. Die meisten hätten entweder einen kompromittierten Computer des Arztes oder ein kompromittiertes Smartphone des Nutzers erfordert.

Vivy war bereits kurz nach dem Start in die Kritik geraten. Der Sicherheitsforscher Mike Kuketz hatte festgestellt, dass Vivy mit mehreren Analysediensten im Ausland zusammenarbeite, die schon bei der der Installation der App gewisse Nutzerdaten bekommen.