Vivy im Visier

Sicherheitslücken bei E-Gesundheitsakte?

Die Diskussionen über die Sicherheit der E-Gesundheitsakte Vivy sind im Netz erneut aufgeflammt. Der Betreiber selbst sagt, das Sicherheitskonzept der Akte habe sich bewährt.

Veröffentlicht:
Die Datensicherheit bei e-Gesundheitsakten ist viel diskutiertes Thema. Aktuell trifft die Debatte den Anbieter von "Vivy".

Die Datensicherheit bei e-Gesundheitsakten ist viel diskutiertes Thema. Aktuell trifft die Debatte den Anbieter von "Vivy".

© maxkabakov / iStock / Thinkstock

NEU-ISENBURG. Unterschiedlicher könnte die Interpretation derselben Sache kaum ausfallen: „Vivy Sicherheitskonzept bewährt sich“, meldete der Betreiber der E-Gesundheitsakte, die von Krankenkassen und privaten Krankenversicherungen potenziell 13,5 Millionen Versicherten angeboten wird, am Dienstag. In Meldungen aus der IT-Sicherheitsszene wird dagegen von „schwerwiegenden Sicherheitsmängeln“ in Vivy gesprochen.

Vivy arbeite „fortlaufend an der Verbesserung der Sicherheitsarchitektur“ und lasse die Anwendung „regelmäßig durch externe IT-Sicherheitsexperten überprüfen“, heißt es in einer Pressemitteilung des Aktenbetreibers. Dabei habe die modzero GmbH „mehrere hypothetische Angriffsvektoren aufgezeigt“, die von Vivy „jeweils innerhalb von 24 Stunden behoben“ worden seien. „Zu keinem Zeitpunkt“ sei ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich gewesen. Modzero hatte in einer Testumgebung des Unternehmens mit vielen speziellen spezifischen Annahmen Angriffsmöglichkeiten simuliert.

Die Ende-zu-Ende-Verschlüsselung der Gesundheitsakte sei zu keinem Zeitpunkt durch Modzero ausgehebelt worden, so Vivy weiter. Der Bericht dokumentiere lediglich „eine punktuelle Kompromittierung der Verschlüsselung bei der Übertragung eines einzelnen Dokumentes vom Patienten an den Arzt, ausschließlich wenn mehrere spezifische Umstände gleichzeitig bestehen“. Dies sei „aufgrund unserer Gegenmaßnahmen nun nicht mehr möglich“.

Bei modzero liest sich die Bestandsaufnahme des Sicherheitsstatus der E-Akte ganz anders: Die Sicherheitsforscher, die regelmäßig Massenanwendungen auf Sicherheitslücken testen, hätten Mitte September „zahlreiche sicherheitskritische Fehler in der Anwendung“ entdeckt, heißt es auf der Website des Unternehmens.

Fazit: „Nicht nur Patienten und Ärzte, auch Unbefugte konnten die Gesundheitsdaten lesen – und zum Teil auch manipulieren.“ modzero hat dazu einen Sicherheitsbericht veröffentlicht, nachdem die Lücken dem Aktenbetreiber mitgeteilt und auch besprochen worden seien.

Am 4. Oktober habe Vivy um eine Verlängerung der Frist um zwei Wochen bis zur Veröffentlichung der Sicherheitslücken durch modzero gebeten, da noch nicht alle Lücken geschlossen seien. Die Zusammenarbeit mit Vivy sei allerdings „positiv“ verlaufen.

Bereits kurz nach Veröffentlichung der App Mitte September hatten Untersuchungen ergeben, dass unnötig Trackingdaten über die Nutzung des Programms ins Ausland gesendet werden (wir berichteten). In Medien der IT-Branche wird nach Veröffentlichung weiterer Sicherheitslücken in Zweifel gezogen, ob das Sicherheitsversprechen der App für die Gesundheitsakte tatsächlich gehalten werden kann. „Nutzer sollten nicht von mehr Privatsphäre als im Wartezimmer ausgehen“, kommentiert beispielsweise „netzpolitik.org“.

Vivy betont dagegen, dass die aufgedeckten Lücken geschlossen seien, und ruft IT-Experten weltweit dazu auf, mögliche Angriffsflächen zu suchen und darauf aufmerksam zu machen. Ob die bereits ergriffenen Schutzmaßnahmen seitens Vivy ausreichen, habe modzero allerdings nicht überprüft, heißt es in deren Mitteilung.

Im Bericht stellt modzero zudem fest: Auch weitere Anbieter von Gesundheits-Apps haben „mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen“. (ger)

Mehr zum Thema
Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Ergänzung herkömmlicher Modelle

Kalziumscore verbessert Vorhersage stenotischer Koronarien

Lesetipps
Der papierene Organspendeausweis soll bald der Vergangenheit angehören. Denn noch im März geht das Online-Organspende-Register an den Start.

© Alexander Raths / Stock.adobe.com

Online-Organspende-Register startet

Wie Kollegen die Organspende-Beratung in den Praxisalltag integrieren