2386514

Vivy-App: Informationen lagen ungeschützt im Netz

30.10.2018 | 15:05 Uhr |

In der elektronischen Gesundheitsakte „Vivy“ haben die Experten von Modzero schwerwiegende Sicherheitsmängel entdeckt und diese nun im einem technischen Bericht veröffentlicht.

Wir berichteten bereits von der Veröffentlichung von Vivy und deren Funktionen. Bei Vivy handelt es sich um eine Gesundheits-App, die für über 13 Millionen Versicherten bei 16 Krankenkassen zur Verfügung gestellt wurde. Kurz nach der Veröffentlichung gab es bereits erste Negativstimmen zur App – der Sicherheitsexperte Mike Kuketz hatte sich die App näher angesehen, sie als „Datenschutz Bruchlandung“ bezeichnet und von der Nutzung abgeraten.

Auch der Sicherheitsforscher, Martin Tschirsich von Modzero fand laut eigenen Angaben "innerhalb kürzester Zeit gravierende Sicherheitslücken in der Vivy-App und den dazugehörigen Servern“. Diese Probleme wurden unverzüglich gemeldet. In Abstimmung mit Vivy wurde den Verantwortlichen bis zum 30. Oktober 2018 Zeit eingeräumt, um die Sicherheitslücken zu beheben, bevor Modzero ihren Sicherheitsbericht nun veröffentlicht hat.

Daten lagen ungeschützt, für jeden zugänglich im Netz

Laut den Experten von Modzero waren Informationen ungeschützt und für jeden lesbar im Netz zugänglich: „Versicherte konnten durch die Informations-Lecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden“.

Unbefugte konnten Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln. Modzero fand weiterhin Schwachstellen in der RSA-Verschlüsselung, so konnten über einfach ausnutzbare Fehler in der Server-Anwendung, geheime Schlüssel der Ärzte ausgelesen werden.

Eine ausführliche Beschreibung aller gefundenen Sicherheitsprobleme bietet dieser am Dienstag veröffentlichte technische Bericht (PDF).

Die Zusammenarbeit mit den Vivy-Verantwortlichen verlief jedoch positiv, berichtet Modzero weiter. Den Experten wurde zugesichert, geeignete Lösungen und Gegenmaßnahmen für die gefundenen Schwachstellen entwickeln zu wollen. Ob die Sicherheitsmängel jedoch letztendlich beseitigt wurden, habe man nicht geprüft und es gäbe auch keine Pläne dies zu tun. Anwendern der App wird empfohlen, Updates der Vivy-App zeitnah zu installieren.

Vivy: "Sicherheitskonzept bewährt sich"

Die Vivy-Verantwortlichen äußern sich teilweise aber ganz anders zum Bericht von Modzero in einer Pressemitteilung (PDF): "Bei einer Untersuchung unserer Apps und Systeme hat die modzero GmbH mehrere hypothetische Angriffsvektoren aufgezeigt und Vivy in Form eines Vorberichts am 22. September und eines ausführlichen Berichts am 04. Oktober zur Verfügung gestellt. Vivy hat die dort aufgeführten potentiellen Angriffsvektoren jeweils innerhalb von 24 Stunden gemäß standardisierter Incident- und Change-Prozesse behoben."

Die Vivy-Verantwortlichen scheinen hier wohl um Schadensbegrenzung bemüht: "Die generelle Ende-zu-Ende-Verschlüsselung der Gesundheitsakte wurde zu keinem Zeitpunkt durch die Modzero GmbH ausgehebelt [...] Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich [...] Der Großteil der - mittlerweile beseitigten - Vektoren hat gezeigt, dass sie entweder einen kompromittierten Computer des Arztes oder ein von den Nutzern selbst kompromittiertes Smartphone (umgangssprachlich auch jailbreaked oder rooted genannt) des Nutzers voraussetzen."

Weiter heißt es in der Mitteilung von Vivy: "Selbst im Falle erfolgreicher Angriffe wären lediglich fragmentierte Datensätze einzelner Nutzer, nie jedoch größere Datenbestände einsehbar gewesen. Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt, da im realen Betrieb der App viele Vivy-Sicherheitsmaßnahmen existieren, die nicht getestet wurden. Darüber hinaus nutzte die modzero GmbH ausschließlich für diesen Test angelegte Testnutzer."

Bisherige Vivy-Timeline:

18.09.2018: Vivy: Millionen Versicherte bekommen App
20.09.2018: Krankenkassen-App Vivy ist eine "Datenschutz Bruchlandung"


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2386514