Vivy im Visier

Sicherheitslücken bei E-Gesundheitsakte?

Die Diskussionen über die Sicherheit der E-Gesundheitsakte Vivy sind im Netz erneut aufgeflammt. Der Betreiber selbst sagt, das Sicherheitskonzept der Akte habe sich bewährt.

Veröffentlicht:
Die Datensicherheit bei e-Gesundheitsakten ist viel diskutiertes Thema. Aktuell trifft die Debatte den Anbieter von "Vivy".

Die Datensicherheit bei e-Gesundheitsakten ist viel diskutiertes Thema. Aktuell trifft die Debatte den Anbieter von "Vivy".

© maxkabakov / iStock / Thinkstock

NEU-ISENBURG. Unterschiedlicher könnte die Interpretation derselben Sache kaum ausfallen: „Vivy Sicherheitskonzept bewährt sich“, meldete der Betreiber der E-Gesundheitsakte, die von Krankenkassen und privaten Krankenversicherungen potenziell 13,5 Millionen Versicherten angeboten wird, am Dienstag. In Meldungen aus der IT-Sicherheitsszene wird dagegen von „schwerwiegenden Sicherheitsmängeln“ in Vivy gesprochen.

Vivy arbeite „fortlaufend an der Verbesserung der Sicherheitsarchitektur“ und lasse die Anwendung „regelmäßig durch externe IT-Sicherheitsexperten überprüfen“, heißt es in einer Pressemitteilung des Aktenbetreibers. Dabei habe die modzero GmbH „mehrere hypothetische Angriffsvektoren aufgezeigt“, die von Vivy „jeweils innerhalb von 24 Stunden behoben“ worden seien. „Zu keinem Zeitpunkt“ sei ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich gewesen. Modzero hatte in einer Testumgebung des Unternehmens mit vielen speziellen spezifischen Annahmen Angriffsmöglichkeiten simuliert.

Die Ende-zu-Ende-Verschlüsselung der Gesundheitsakte sei zu keinem Zeitpunkt durch Modzero ausgehebelt worden, so Vivy weiter. Der Bericht dokumentiere lediglich „eine punktuelle Kompromittierung der Verschlüsselung bei der Übertragung eines einzelnen Dokumentes vom Patienten an den Arzt, ausschließlich wenn mehrere spezifische Umstände gleichzeitig bestehen“. Dies sei „aufgrund unserer Gegenmaßnahmen nun nicht mehr möglich“.

Bei modzero liest sich die Bestandsaufnahme des Sicherheitsstatus der E-Akte ganz anders: Die Sicherheitsforscher, die regelmäßig Massenanwendungen auf Sicherheitslücken testen, hätten Mitte September „zahlreiche sicherheitskritische Fehler in der Anwendung“ entdeckt, heißt es auf der Website des Unternehmens.

Fazit: „Nicht nur Patienten und Ärzte, auch Unbefugte konnten die Gesundheitsdaten lesen – und zum Teil auch manipulieren.“ modzero hat dazu einen Sicherheitsbericht veröffentlicht, nachdem die Lücken dem Aktenbetreiber mitgeteilt und auch besprochen worden seien.

Am 4. Oktober habe Vivy um eine Verlängerung der Frist um zwei Wochen bis zur Veröffentlichung der Sicherheitslücken durch modzero gebeten, da noch nicht alle Lücken geschlossen seien. Die Zusammenarbeit mit Vivy sei allerdings „positiv“ verlaufen.

Bereits kurz nach Veröffentlichung der App Mitte September hatten Untersuchungen ergeben, dass unnötig Trackingdaten über die Nutzung des Programms ins Ausland gesendet werden (wir berichteten). In Medien der IT-Branche wird nach Veröffentlichung weiterer Sicherheitslücken in Zweifel gezogen, ob das Sicherheitsversprechen der App für die Gesundheitsakte tatsächlich gehalten werden kann. „Nutzer sollten nicht von mehr Privatsphäre als im Wartezimmer ausgehen“, kommentiert beispielsweise „netzpolitik.org“.

Vivy betont dagegen, dass die aufgedeckten Lücken geschlossen seien, und ruft IT-Experten weltweit dazu auf, mögliche Angriffsflächen zu suchen und darauf aufmerksam zu machen. Ob die bereits ergriffenen Schutzmaßnahmen seitens Vivy ausreichen, habe modzero allerdings nicht überprüft, heißt es in deren Mitteilung.

Im Bericht stellt modzero zudem fest: Auch weitere Anbieter von Gesundheits-Apps haben „mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen“. (ger)

Mehr zum Thema
Kommentare
Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Jetzt anmelden »Kostenlos registrieren »

Die Newsletter der Ärzte Zeitung

» kostenlos und direkt in Ihr Postfach

Am Morgen: Ihr individueller Themenmix

Zum Feierabend: das tagesaktuelle Telegramm

Newsletter bestellen »

Top-Meldungen
Der BÄK-Vorstand hat via Abstimmung von den Delegierten den Auftrag erhalten gendersensiblere Bezeichnungen für die berufspolitischen Organisationen (Ärztekammern) und ihre Hauptversammlung (Ärztetag) zu schaffen.

© [M] Sprechblase: kebox / stock.adobe.com | Ärztetag: Rolf Schulten

Beschlossen

Ärztetag wird künftig konsequenter gendern

Das Genom des Affenpockenvirus ist siebenmal größer als SARS-CoV-2. Bei dem DNA-Virus sind weniger Veränderungen als bei einem mRNA-Virus zu erwarten.

© dottedyeti / stock.adobe.com

Rätselhafter Ausbruch

Affenpocken: Maßnahmen konzentrieren sich auf Risikogruppen

Kärtchen zücken: Zur ärztlichen Weiterbildung wurden auf dem 126. Deutschen Ärztetag in Bremen eine ganze Reihe von Beschlüssen gefasst.

© Rolf Schulten

Klimawandel in Curricula

Ärztetag fasst zahlreiche Beschlüsse zur Weiterbildung