Kranke Kassen-App Vivy – nun auch noch Sicherheitslücken – Die Elektronische Krankenakte gibt es bei 16 Krankenkassen

Screenshot der Vivy-Internetseite
Screenshot der Vivy-Internetseite
Vivy – das ist die elektronische Krankenakte, die als App auf dem Handy und auf dem Computer der Ärzte für mehr Transparenz sorgen soll. 16 Krankenkassen mit 13,5 Millionen Versicherten sind daran beteiligt. Seit September ist diese Plattform online. Schon kurz nach dem Start gab es Probleme mit dem Datenschutz. Die App musste umprogrammiert werden. Jetzt wurden sogar mehrere Sicherheitslücken bekannt. Für MDR Aktuell habe ich mich einmal genauer umgehört.

35 Seiten lang ist die Analyse von Schwachstellen und Lücken, die bei Vivy entdeckt wurden. Einer der Autoren ist Thorsten Schröder, Geschäftsführer des Internetsicherheitsunternehmens Modzero, welches in der Schweiz und Berlin sitzt. Er sagt, dass die Befunde, Laborwerte und Röntgenbilder der Patienten nicht ausreichend geschützt seien.

In diesem konkreten Fall besteht halt ein sehr hohes Risiko, dass diese Daten in falsche Hände geraten können und missbraucht werden können. Missbrauch kann vielseitig sein, beispielsweise Erpressung oder Mobbing.Thorsten Schröder, modzero

Ganz anders sieht das Christian Rebernik, Erfinder und Geschäftsführer von Vivy.

Wir haben von Anfang an Wert darauf gelegt, dass es sowohl datenschutzrechtlich als auch sicherheitstechnisch am Stand der Technik ist und sogar darüber hinaus mit dieser Ende-zu-Ende-Verschlüsselung, die wir hier anwenden.Christian Rebernik, Vivy

Aber genau in dieser Verschlüsselung liegt das Problem. Thorsten Schröder hat nämlich ein Szenario entdeckt, welches eigentlich nicht möglich sein sollte, nämlich das Eindringen in diese verschlüsselten Krankenakten. Dafür sei nur ein kleiner Eingriff notwendig.

Wir waren in der Lage, in ein Profilbild eines Patienten – man kann da eigene Fotos hochladen – da konnte ein Schadcode eingebettet werden. Dieser Schadcode wurde dann ungeprüft in der Datenbank gespeichert. Thorsten Schröder, modzero

Dieser in der Datei des Fotos versteckte Schadcode werde aktiv, sobald der Arzt das Foto anklicke, beispielsweise, weil er gerade seine Patientendatei durchsucht. Der Code sorge dann für das Ende der Verschlüsselung:

Mit so einer Schwachstelle kann ein Angreifer – und konnten wir halt auch praktisch durchführen – den geheimen Schlüssel eines Arztes stehlen.Thorsten Schröder, modzero

Dieser digitale Schlüssel funktioniert wie ein Schlüssel aus Metall, nur lassen sich damit verschlüsselte Dateien öffnen. So kann dann jede Krankenakte, die dem Arzt vorliegt, von einem Angreifer angeschaut werden: Befunde, Laborwerte und Röntgenbilder sind damit nicht mehr geschützt. Christian Rebernik von Vivy gibt zu:

Unter diesen Voraussetzungen wäre das möglich gewesen. Aber das war auch nur in einem kurzen Zeitfenster möglich.Christian Rebernik, Vivy

Sobald der Patient die Daten mit der App Vivy freigegeben hat, bleiben dem Arzt nur 24 Stunden, um diese anzuschauen. Für das Team von Thorsten Schröder hatte das vollständige gereicht und es reichte sogar dafür, um neben den Krankenakten noch andere Probleme zu entdecken:

Neben diesen verschlüsselten Daten lagen allerdings noch einige Informationen, die nicht verschlüsselt waren. Warum wurden Metainformationen wie Geburtsdatum, Krankenkasse usw. nicht eigentlich auch verschlüsselt? Warum müssen gerade diese Metadaten da im Klartext liegen?Thorsten Schröder, modzero

Christian Rebernik gibt zögerlich zu, dass das wohl möglich gewesen sei.

Hmm. Wenn das dieser Fall ist, dann ist das eine theoretische Frage: Es geht darum, dass es nur die Kunden betrifft, die aktiv gerade ihre Daten geteilt haben.Christian Rebernik, Vivy

Kunden – damit sind wohl die Patienten gemeint. Inzwischen, so sagt Christian Rebernik, seien alle Lücken geschlossen. Allerdings habe man die Patienten, die die App nutzen, nicht über die Sicherheitslücken informiert. Es seien nämlich zu keiner Zeit Daten abgeflossen. In einer Pressemitteilung von Vivy heißt es, die entdeckten Sicherheitsprobleme seien lediglich – so wörtlich – „hypothetischen Angriffsmöglichkeiten“.