Sicherheitslücken in Krankenkassen-App Vivy-Nutzer sollten ihre App aktualisieren

Mit der Gesundheits-App Vivy wollen Krankenkassen Millionen Versicherte erreichen. Sicherheitsforscher berichten nun von Schwachstellen, Patientendaten seien schlecht geschützt gewesen. Der Hersteller reagierte bereits.

Handybildschirm mit der App Vivy
DPA

Handybildschirm mit der App Vivy


Nach Hinweisen auf Sicherheitsmängel haben die Betreiber der neuen Gesundheitsdaten-App Vivy reagiert und diese nach eigenen Angaben beseitigt. Ein deutsch-schweizerisches IT-Sicherheitsunternehmen hatte Vivy zuvor untersucht und auf Sicherheitslücken der App selbst wie auch der Server-Einrichtung hingewiesen. Die hätten dazu geführt, dass Unbefugte unter Umständen Gesundheitsdaten lesen konnten.

Vivy war im September an den Start gegangen. Über die Plattform können Befunde, Laborwerte und Röntgenbilder in einer elektronischen Gesundheitsakte gespeichert und mit dem Arzt geteilt werden. Die App, an der sich zahlreiche Krankenkassen beteiligen, richtet sich als Angebot an bis zu 13,5 Millionen Versicherte.

Nach Angaben der Sicherheitsexperten hätten sich allgemeine Daten und im Extremfall auch Gesundheitsdaten von einzelnen, aber niemals allen Vivy-Nutzern gleichzeitig von Vivys Servern abrufen lassen. Sie seien unzureichend geschützt gewesen. Die webbasierte Vivy-Anwendung für Ärzte sei ebenfalls angreifbar gewesen, was an der veralteten Verschlüsselungstechnik gelegen habe, die zunächst verwendet wurde.

Vivy spricht von "hypothetischen" Angriffsszenarien

Die Betreiber der Vivy-App teilten mit, alle Angriffswege binnen 24 Stunden geschlossen und sämtliche vorgeschlagenen Verbesserungen umgesetzt zu haben. Nutzer sollten also zeitnah ein Update der App durchführen. Es sei aber zu keinem Zeitpunkt möglich gewesen, auf die elektronische Gesundheitsakte zuzugreifen. Die nach Angaben von Vivy "hypothetischen" Angriffsszenarien seien "nur unter sehr speziellen Voraussetzungen" möglich gewesen. Die meisten hätten entweder einen kompromittierten Computer des Arztes oder ein kompromittiertes Smartphone des Nutzers erfordert.

Vivy war bereits kurz nach dem Start in die Kritik geraten. Der Sicherheitsforscher Mike Kuketz hatte festgestellt, dass Vivy mit mehreren Analysediensten im Ausland zusammenarbeite, die schon bei der der Installation der App gewisse Nutzerdaten bekommen.

pbe/dpa



insgesamt 9 Beiträge
Alle Kommentare öffnen
Seite 1
loki_loker 30.10.2018
1.
Vivy, das Flash unter den Gesundheits-Apps. Aber gleich werden einem Durchblicker erklären, dass man nichts zu befürchten hat, weil man ja nix zu verbergen hat ...
CancunMM 30.10.2018
2.
Genau so habe ich es mir vorgestellt. Mein Erfahrungen mit der Telematik bisher in meiner Praxis: Null Mehrwert für Patient und Arzt, muss aber dafür bezahlen. Störanfällig, Stressor !
flaps25 30.10.2018
3. Gute Idee...
... aber eine solche App steht und fällt mit dem Vertrauen der Nutzer in die Datensicherheit. Solange die nicht absolut zweifelsfrei garantiert wird, ist diese App komplett indiskutabel. Blöderweise hat sich der Anbieter mit einem sicherheitstechnischen GAU eingeführt und damit alles falsch gemacht, was man falsch machen kann.
genugistgenug 30.10.2018
4. "hypothetischen" Angriffsszenarien
.... Die nach Angaben von Vivy "hypothetischen" Angriffsszenarien seien "nur unter sehr speziellen Voraussetzungen" möglich gewesen..... Dieser Witz ist doch uralt! Schon zu Beginn der IT hat man festgestellt, dass es zu den besonderen Szenarien gehört, dass der Angreifer einen Computer hat. Natürlich ist alles sicher - bis auf 0,1 bis 100%. Schon zu Zeiten unserer Assembler/Cobol/CICS Programmierung (1982) war es UNMÖGLICH ein Programm 100% abzusichern - einfach weil der Zeitaufwand=Kosten zu hoch waren. Kleiner Tipp: Einfach diese Dummschwätzer auffordern eine Erklärung (an Eides statt) zu unterschrieben in der sie mit ihrem Privatvermögen haften. Hat bisher noch neimand gemacht, aber wir hatten dann wenigstens unsere Ruhe vor dieser verbalen Umweltverschmutzung, bzw. oralen Inkontinenz zu angeblicher Sicherheit. Wette: Als Nächstes werden noch die üblichen "Falltüren/mouse traps" entdeckt die zur Erleichterung der Programmeirung eingebaut wurden, bzw. die Easter eggs :-).
CancunMM 30.10.2018
5.
Zitat von flaps25... aber eine solche App steht und fällt mit dem Vertrauen der Nutzer in die Datensicherheit. Solange die nicht absolut zweifelsfrei garantiert wird, ist diese App komplett indiskutabel. Blöderweise hat sich der Anbieter mit einem sicherheitstechnischen GAU eingeführt und damit alles falsch gemacht, was man falsch machen kann.
Dann fragen Sie mal bei Ihrem Hausarzt nach ob er die Telematik schon eingeführt hat. Der wird Ihnen über ständige Abstürze fast täglich mit Neustart des Systems und Fehlermeldungen berichten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.