https://www.faz.net/-gqz-9i4zb

Krankenkassen-App beim 35C3 : Das Problem mit den Gesundheitsdaten

Guter Ansatz, unzureichende Absicherung: Mit Vivy kann das Röntgenbild unkompliziert mit dem Arzt geteilt werden. Bild: dpa

Mit Brute Force kommt man ziemlich weit: Auf dem Chaos Communication Congress erläutert Martin Tschirsich, wie sicher die im Herbst eingeführte Krankenkassen-App Vivy ist – und wie der Anbieter auf Bedenken reagiert hat.

          4 Min.

          Vivy heißt die App, in der man Röntgenbilder hinterlegen kann, seinen Impfpass führen und Befunde austauschen kann. Am 17. September 2018 startete sie als Plattform für elektronische Gesundheitsakten, bezahlt von privaten und gesetzlichen Krankenversicherungen, das Medienecho war groß. Einen Tag nach dem Release wurden Datenschutzmängel bekannt, denn Vivy wertete das Benutzerverhalten aus und schickte es an Server in den Vereinigten Staaten und Singapur. Im Oktober folgte eine weitere Welle an Berichterstattung über gravierende Sicherheitsmängel. Wie sicher sind also unsere Gesundheitsdaten, und was genau läuft bei Vivy schief?

          Martin Tschirsich ist Experte für Datensicherheit, klopfte Vivy auf Sicherheitslücken ab und hat die Probleme mit der App für einen Vortrag mit dem Titel „All your Gesundheitsakten are belong to us“ auf dem Chaos Communication Congress aufbereitet. Vivy dient hauptsächlich dem Austausch zwischen Patienten und Arzt. Die Dateien werden dabei in eine Cloud geladen, und für die Auffindbarkeit in dieser Cloud sorgt eine fünfstellige sogenannte „Session-ID“. Unter dieser fünfstelligen ID aus Kleinbuchstaben kann die andere Seite dann zum Beispiel Röntgenbilder oder Medikamentenrezepte abrufen. Jetzt ist eine ID aus fünf Kleinbuchstaben nicht eben sicher, mit einem einfachen Skript, das alle Kombinationen durchspielt, kann man sie ziemlich einfach knacken.

          Ist die ID erst einmal entschlüsselt, stößt man zunächst nur auf Metadaten. Aber auch diese geben schon genug Aufschluss über sensible Themen – niemand möchte, dass Unbefugte wissen, ob man einen Schwangerschaftsabbruch hat vornehmen lassen oder wegen eines psychischen Problems Hilfe gesucht hat. Um die Daten selbst abzurufen, braucht man eine vierstellige PIN-Nummer. Auch diese ist schnell zu umgehen. „Ich muss nur schneller sein als der Arzt, dann klappt das“, so Tschirsich.

          Ein „reales Risiko“ sahen die Entwickler nicht

          Vivy hat außerdem ein Phishingproblem. Man muss sich ziemlich häufig neu einloggen, weil die Sessions schnell ablaufen – eigentlich ein Sicherheitsfeature, man kennt das vom Online-Banking. Allerdings wurde nicht ausreichend dafür gesorgt, dass das Passwort nicht eventuell an den Falschen geht. Immerhin hat Vivy eine Zwei-Faktor-Identifizierung, das heißt, es wird eine weitere Pin, die man zum Einloggen braucht, per SMS an eine Telefonnummer verschickt. Aber auch das konnte Tschirsich umgehen, und zwar mit der Brute-Force-Methode, dem durchprobieren aller Lösungen, bis die richtige gefunden war. Mit einem kleinen Skript geht das bei einer vierstelligen PIN wieder recht schnell. Auch die Ende-zu-Ende-Verschlüsselung bei den hinterlegten Daten nutzt nichts, wenn der Schlüssel beim Arzt im Browser hinterlegt wird – Browser-Software ist nicht sie sicherste und kann ziemlich einfach ausgelesen werden.

          Über all die Befunde wurde Vivy am 21. September informiert. Es kam dann zu Treffen mit den Verantwortlichen und Vertretern der Allianz, der Vivy zu 70 Prozent gehört. Nach einer Fristverlängerung wurde Vivy dann am 3. Oktober dieses Jahres veröffentlicht. „Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt“, beruhigte Vivy. Innerhalb von 24 Stunden habe man alle Fehler behoben.

          Weitere Themen

          Topmeldungen

          Präsident Donald Trump am 10. Oktober auf dem Balkon des Weißen Hauses

          Druck auf Impfstoff-Hersteller : Trump im Nacken

          Der amerikanische Impfstoffhersteller Pfizer steht bei der Suche nach einem Corona-Impfstoff an vorderster Front. Konzernchef Bourla spürt viel Druck aus dem Weißen Haus, vor der Wahl gute Nachrichten zu liefern.
          Biden-Unterstützerin bei einer Rally in der Kleinstadt Boca Raton, Florida

          Wählergruppe der Suburban Moms : Was Vorstadtmütter wirklich wollen

          Weiße Frauen der oberen Mittelschicht sind in Amerika eine umkämpfte Wählergruppe. Aber Donald Trumps Vorstellung einer Mutter aus der Vorstadt stammt aus den Fünfzigern – das könnte ihn diese wichtigen Stimmen kosten.

          Zum Tod des Schauspielers : Der höfliche Mister Connery

          Sean Connery wirkte dank seines Körpers rauh und barbarisch, doch er konnte auch zivilisiert auftreten. Um zu überzeugen, musste er stets nur er selbst sein. Mit 90 Jahren ist er nun gestorben.
          Unbedrängt bis vor das Kölner Tor: Münchens Serge Gnabry hat es leicht.

          Fußball-Bundesliga : Der FC Bayern macht, was er will

          Auch ohne Starstürmer Robert Lewandowski ist der FC Bayern derzeit nicht aufzuhalten. In Köln gibt es die nächsten drei Punkte – auch weil dem Gegner teilweise haarsträubende Fehler unterlaufen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.