App für Mio. deutsche Krankenversicherte: Vivy soll große Lücken haben

App, Patientendaten, Gesundheitsapp, Krankenversicherung, Vivy Bildquelle: Vivy
Etwas mehr als einen Monat können rund 13,5 Millionen deutsche Krankenver­sicherte mit Vivy eine App zur Verwaltung ihrer Gesundheits­daten nutzen - Details zur Sicherheit waren die Entwickler zum Launch schuldig geblieben. Genau die scheint aber jetzt zum Problem zu werden: Die App weist offenbar schwerwiegende Sicherheitsmängel auf.

Da scheint es mit der Sicherheit einfach nicht so ganz rund zu laufen

Kunden von 14 gesetzlichen und zwei privaten Krankenversicherungen sollte mit dem Start der Vivy-App eine moderne Möglichkeit gegeben werden, Krankenakte und Co. digital und an einem Ort gebündelt zu verwalten. Diese prinzipiell verständliche Idee scheint aber einen großen Haken mit sich zu bringen, der schon zum Launch kritisiert wurde: Ist die App nicht sicher, stehen hochsensible Daten offen. Wie jetzt eine Untersuchung von Sicherheitsforschern zeigt, haben die Entwickler in dieser Hinsicht offenbar schwerwiegende Fehler gemacht - und dass obwohl man seit Start der Anwendung lautstark mit Sicherheit wirbt.
Gesundheitsapp VivyOffenbar mit Lücken: Die Vivy-App... Gesundheitsapp Vivy...steht in der Kritik
Wie heise in seinem Bericht schreibt, sind sowohl in der Anwendung selbst als auch in der angeschlossenen Server-Infrastruktur grobe Fehler entdeckt worden, die die Sicherheit der Nutzerdaten kompromittieren. Demnach haben Mitarbeiter der Schweizer Sicherheitsfirma Modzero bereits am 21. September - also wenige Tage nach Start der App - eine ganze Reihe von Sicherheitslücken an die Vivy-Entwickler übermittelt. Nachdem die Fehler behoben worden waren, haben die Entdecker diese nun öffentlich gemacht.

Gesundheitsapp VivyGesundheitsapp VivyGesundheitsapp VivyGesundheitsapp Vivy

In ihrem Bericht zeigt sich, dass unter anderem eine Funktion zum schnellen Teilen von Dokumenten mit dem Arzt nur schlechten Schutz vor dem Zugriff Dritter bot. "Darüber hinaus fand Modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden", so die Forscher zu ihren unschönen Entdeckungen, die in einen ausführlichen Report offengelegt wurden.

App-Entwickler widersprechen

In einer eigenen Stellungnahme bemühen sich dann wiederum die Vivy-Entwickler darum, die Darstellung der Sicherheitsprobleme zu relativieren und bezeichnen die aufgezeigten Angriffswege als "hypothetisch". Als Argument bringen die Entwickler vor, dass für eine Ausnutzung der Lücken meist das Handy der Kunden oder der Rechner des Arztes kompromittiert sein müsste. Wie heise schreibt, kann aber gerade dies wohl als keine große Hürde betrachtet werden. Die Aussage der Vivy-Macher, Angreifer könnten nur "maximal fragmentierte Datensätze einzelner Nutzer, nie jedoch größere Datenbestände" einsehen, ist demnach schlicht nicht nachvollziehbar.


App, Patientendaten, Gesundheitsapp, Krankenversicherung, Vivy App, Patientendaten, Gesundheitsapp, Krankenversicherung, Vivy Vivy
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Tipp einsenden