Krankenkassen-App beim 35C3 : Das Problem mit den Gesundheitsdaten
- -Aktualisiert am
Guter Ansatz, unzureichende Absicherung: Mit Vivy kann das Röntgenbild unkompliziert mit dem Arzt geteilt werden. Bild: dpa
Mit Brute Force kommt man ziemlich weit: Auf dem Chaos Communication Congress erläutert Martin Tschirsich, wie sicher die im Herbst eingeführte Krankenkassen-App Vivy ist – und wie der Anbieter auf Bedenken reagiert hat.
Vivy heißt die App, in der man Röntgenbilder hinterlegen kann, seinen Impfpass führen und Befunde austauschen kann. Am 17. September 2018 startete sie als Plattform für elektronische Gesundheitsakten, bezahlt von privaten und gesetzlichen Krankenversicherungen, das Medienecho war groß. Einen Tag nach dem Release wurden Datenschutzmängel bekannt, denn Vivy wertete das Benutzerverhalten aus und schickte es an Server in den Vereinigten Staaten und Singapur. Im Oktober folgte eine weitere Welle an Berichterstattung über gravierende Sicherheitsmängel. Wie sicher sind also unsere Gesundheitsdaten, und was genau läuft bei Vivy schief?
Martin Tschirsich ist Experte für Datensicherheit, klopfte Vivy auf Sicherheitslücken ab und hat die Probleme mit der App für einen Vortrag mit dem Titel „All your Gesundheitsakten are belong to us“ auf dem Chaos Communication Congress aufbereitet. Vivy dient hauptsächlich dem Austausch zwischen Patienten und Arzt. Die Dateien werden dabei in eine Cloud geladen, und für die Auffindbarkeit in dieser Cloud sorgt eine fünfstellige sogenannte „Session-ID“. Unter dieser fünfstelligen ID aus Kleinbuchstaben kann die andere Seite dann zum Beispiel Röntgenbilder oder Medikamentenrezepte abrufen. Jetzt ist eine ID aus fünf Kleinbuchstaben nicht eben sicher, mit einem einfachen Skript, das alle Kombinationen durchspielt, kann man sie ziemlich einfach knacken.
Ist die ID erst einmal entschlüsselt, stößt man zunächst nur auf Metadaten. Aber auch diese geben schon genug Aufschluss über sensible Themen – niemand möchte, dass Unbefugte wissen, ob man einen Schwangerschaftsabbruch hat vornehmen lassen oder wegen eines psychischen Problems Hilfe gesucht hat. Um die Daten selbst abzurufen, braucht man eine vierstellige PIN-Nummer. Auch diese ist schnell zu umgehen. „Ich muss nur schneller sein als der Arzt, dann klappt das“, so Tschirsich.
Ein „reales Risiko“ sahen die Entwickler nicht
Vivy hat außerdem ein Phishingproblem. Man muss sich ziemlich häufig neu einloggen, weil die Sessions schnell ablaufen – eigentlich ein Sicherheitsfeature, man kennt das vom Online-Banking. Allerdings wurde nicht ausreichend dafür gesorgt, dass das Passwort nicht eventuell an den Falschen geht. Immerhin hat Vivy eine Zwei-Faktor-Identifizierung, das heißt, es wird eine weitere Pin, die man zum Einloggen braucht, per SMS an eine Telefonnummer verschickt. Aber auch das konnte Tschirsich umgehen, und zwar mit der Brute-Force-Methode, dem durchprobieren aller Lösungen, bis die richtige gefunden war. Mit einem kleinen Skript geht das bei einer vierstelligen PIN wieder recht schnell. Auch die Ende-zu-Ende-Verschlüsselung bei den hinterlegten Daten nutzt nichts, wenn der Schlüssel beim Arzt im Browser hinterlegt wird – Browser-Software ist nicht sie sicherste und kann ziemlich einfach ausgelesen werden.
Über all die Befunde wurde Vivy am 21. September informiert. Es kam dann zu Treffen mit den Verantwortlichen und Vertretern der Allianz, der Vivy zu 70 Prozent gehört. Nach einer Fristverlängerung wurde Vivy dann am 3. Oktober dieses Jahres veröffentlicht. „Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt“, beruhigte Vivy. Innerhalb von 24 Stunden habe man alle Fehler behoben.
