Ärzte Zeitung online, 31.10.2018

Vivy im Visier

Sicherheitslücken bei E-Gesundheitsakte?

Die Diskussionen über die Sicherheit der E-Gesundheitsakte Vivy sind im Netz erneut aufgeflammt. Der Betreiber selbst sagt, das Sicherheitskonzept der Akte habe sich bewährt.

Sicherheitslücken bei E-Gesundheitsakte?

Die Datensicherheit bei e-Gesundheitsakten ist viel diskutiertes Thema. Aktuell trifft die Debatte den Anbieter von "Vivy".

© maxkabakov / iStock / Thinkstock

NEU-ISENBURG. Unterschiedlicher könnte die Interpretation derselben Sache kaum ausfallen: „Vivy Sicherheitskonzept bewährt sich“, meldete der Betreiber der E-Gesundheitsakte, die von Krankenkassen und privaten Krankenversicherungen potenziell 13,5 Millionen Versicherten angeboten wird, am Dienstag. In Meldungen aus der IT-Sicherheitsszene wird dagegen von „schwerwiegenden Sicherheitsmängeln“ in Vivy gesprochen.

Vivy arbeite „fortlaufend an der Verbesserung der Sicherheitsarchitektur“ und lasse die Anwendung „regelmäßig durch externe IT-Sicherheitsexperten überprüfen“, heißt es in einer Pressemitteilung des Aktenbetreibers. Dabei habe die modzero GmbH „mehrere hypothetische Angriffsvektoren aufgezeigt“, die von Vivy „jeweils innerhalb von 24 Stunden behoben“ worden seien. „Zu keinem Zeitpunkt“ sei ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich gewesen. Modzero hatte in einer Testumgebung des Unternehmens mit vielen speziellen spezifischen Annahmen Angriffsmöglichkeiten simuliert.

Die Ende-zu-Ende-Verschlüsselung der Gesundheitsakte sei zu keinem Zeitpunkt durch Modzero ausgehebelt worden, so Vivy weiter. Der Bericht dokumentiere lediglich „eine punktuelle Kompromittierung der Verschlüsselung bei der Übertragung eines einzelnen Dokumentes vom Patienten an den Arzt, ausschließlich wenn mehrere spezifische Umstände gleichzeitig bestehen“. Dies sei „aufgrund unserer Gegenmaßnahmen nun nicht mehr möglich“.

Bei modzero liest sich die Bestandsaufnahme des Sicherheitsstatus der E-Akte ganz anders: Die Sicherheitsforscher, die regelmäßig Massenanwendungen auf Sicherheitslücken testen, hätten Mitte September „zahlreiche sicherheitskritische Fehler in der Anwendung“ entdeckt, heißt es auf der Website des Unternehmens.

Fazit: „Nicht nur Patienten und Ärzte, auch Unbefugte konnten die Gesundheitsdaten lesen – und zum Teil auch manipulieren.“ modzero hat dazu einen Sicherheitsbericht veröffentlicht, nachdem die Lücken dem Aktenbetreiber mitgeteilt und auch besprochen worden seien.

Am 4. Oktober habe Vivy um eine Verlängerung der Frist um zwei Wochen bis zur Veröffentlichung der Sicherheitslücken durch modzero gebeten, da noch nicht alle Lücken geschlossen seien. Die Zusammenarbeit mit Vivy sei allerdings „positiv“ verlaufen.

Bereits kurz nach Veröffentlichung der App Mitte September hatten Untersuchungen ergeben, dass unnötig Trackingdaten über die Nutzung des Programms ins Ausland gesendet werden (wir berichteten). In Medien der IT-Branche wird nach Veröffentlichung weiterer Sicherheitslücken in Zweifel gezogen, ob das Sicherheitsversprechen der App für die Gesundheitsakte tatsächlich gehalten werden kann. „Nutzer sollten nicht von mehr Privatsphäre als im Wartezimmer ausgehen“, kommentiert beispielsweise „netzpolitik.org“.

Vivy betont dagegen, dass die aufgedeckten Lücken geschlossen seien, und ruft IT-Experten weltweit dazu auf, mögliche Angriffsflächen zu suchen und darauf aufmerksam zu machen. Ob die bereits ergriffenen Schutzmaßnahmen seitens Vivy ausreichen, habe modzero allerdings nicht überprüft, heißt es in deren Mitteilung.

Im Bericht stellt modzero zudem fest: Auch weitere Anbieter von Gesundheits-Apps haben „mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen“. (ger)

Weitere Beiträge aus diesem Themenbereich

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Die häufigsten Fehler bei der Opioid-Therapie

Nehmen Patienten Opioide ein, müssen sie einiges beachten. Manches Missverständnis und mancher Einnahmefehler können Ärzte mit zwei Sätzen der Erklärung ausräumen. mehr »

Spahn im Dialog mit den Ärzten

Seit Monaten wird heiß ums Terminservice- und Versorgungsgesetz diskutiert. Heute stellte sich Jens Spahn direkt den Fragen der Ärzteschaft zu TSVG, Sprechstunden und Co. Das Wichtigste der Veranstaltung in 13 Tweets. mehr »

Spahn bleibt bei Sprechstundenzeiten hart

Das Termineservicegesetz wird nachgebessert werden, aber nicht bei den Sprechstundenzeiten. Das stellt Jens Spahn beim Neujahrsempfang des Hausärzteverbands klar. mehr »