IT-Experten finden zahlreiche Sicherheitslücken bei Vivy

Vivy wird den Versicherten von Allianz, Barmenia, Gothaer und 15 gesetzlichen Krankenkassen angeboten ( die zm berichteten ). Allein von den Nutzern eines Android-Smartphones wurde die App schon mehr als 100.000-mal heruntergeladen.

Doch das System hat offenbar mit erheblichen Sicherheitslücken zu kämpfen. Die IT-Sicherheitsforscher Martin Tschirsich und Thorsten Schröder von der Schweizer Firma modzero haben sich das System, das bald Millionen von Menschen nutzen sollen, genauer angeschaut. In einem gut 30-seitigen Bericht beschreiben sie nun eine lange Liste an Sicherheitslücken bei Vivy auf allen Ebenen: der App, der Cloud-Plattform und der Browser-Anwendung.

Die Sicherheitsexperten, die die Verantwortlichen bei Vivy mehrere Wochen vor der heutigen Veröffentlichung über ihre Befunde informierten, stellten netzpolitik.org zufolge Angriffe über das Internet nach. Dabei entdeckten sie mehrere kritische und viele kleinere Schwachstellen. Zu den schweren gehören jene in der Plattform.

Für die Datenübertragung zwischen Arzt und Patient öffnet die Plattform eine temporäre Sitzung und generiert eine öffentlich aufrufbare URL mit fünf Kleinbuchstaben am Ende, die sogenannte Sitzungs-ID. Schon diese Information erlaubt, in weniger als 24 Stunden theoretisch alle Sitzungen über das Internet aufzurufen.

Unter der URL können Ärzte Dokumente abrufen und müssen dafür bloß eine vierstellige PIN eingeben. Die Nummer konnten die Forscher leicht durch die Brute-Force-Methode erraten, bei der ein Passwort durch automatisiertes Ausprobieren geknackt wird. Möglich war dies, weil es keine Obergrenze für die Anzahl falscher PIN-Eingaben gab – eigentlich eine der simpelsten Maßnahmen der IT-Sicherheit.

War das Dokument schon abgerufen, konnten sie nach Erraten der PIN Metadaten über Patienten, Ärzte und Dokumente auslesen. Darunter Geburtsdatum, Namen, Adresse, Foto und die Versichertennummer der Patienten und Informationen zur Praxis. Dieser Angriff ließe sich ohne großen Aufwand auf viele Sitzungen gleichzeitig anwenden, um im großen Stil an sensible Informationen zu gelangen.

Martin Tschirsich sagte netzpolitik.org, dass "der Austausch von Gesundheitsdaten anhand der Metadaten in großem Maßstab nachvollzogen werden" konnte. Die Kommunikationspartner ließen sich identifizieren. Metadaten sind nicht trivial: Allein die Aussage darüber, wer zu welchem Zeitpunkt welchen Arzt besucht, und welchen Titel ausgetauschte Dokumente tragen, kann Schlüsse zulassen.

Bei der App steht für die Eigentümer einiges auf dem Spiel, schreibt die Plattform. Sie gelte als Pilotprojekt für die Digitalisierung des Gesundheitswesens. Das Berliner Start-up Vivy gehört neben mehreren gesetzlichen Kassen zu 70 Prozent der größten privaten Versicherung in Deutschland, der Allianz. Für Versicherte ist die App, die ihnen Zugriff auf die Versendeplattform gibt, kostenlos.

Die App-Betreiber versprechen, dass der Datenaustausch ebenso privat ist wie eine ärztliche Behandlung hinter verschlossener Tür. Also so sicher wie die Trennung zwischen Wartezimmer und Behandlungsraum in einer Praxis. Dies jedoch bezweifelt netzpolitik.org angesichts der aufgezeigten Sicherheitslücken. Man könne vielmehr sagen, Nutzer sollten nicht von mehr Privatsphäre als im Wartezimmer oder der Straße von der Praxis ausgehen.

Grund: Bereits eine Kurzuntersuchung der App vom 18. September ergab, dass unnötig Trackingdaten über die Nutzung des Programms ins Ausland gesendet werden. Gegenüber der Ärzte Zeitung hatte Vivy geantwortet, dass Tracking für Nutzererfahrung und Verbesserung der App notwendig sei. Die Antwort in einem ähnlichen Artikel bei Spiegel Online war, dass das sensible Gesundheitsdaten nicht betreffe. Sie würden verschlüsselt und auf deutschen Servern gesichert.

Weitere identifizierte Mängel bei Vivy und die Antworten der App-Betreiber finden Siehierundhier.