https://www.faz.net/-gqz-9i4zb

Krankenkassen-App beim 35C3 : Das Problem mit den Gesundheitsdaten

Guter Ansatz, unzureichende Absicherung: Mit Vivy kann das Röntgenbild unkompliziert mit dem Arzt geteilt werden. Bild: dpa

Mit Brute Force kommt man ziemlich weit: Auf dem Chaos Communication Congress erläutert Martin Tschirsich, wie sicher die im Herbst eingeführte Krankenkassen-App Vivy ist – und wie der Anbieter auf Bedenken reagiert hat.

          Vivy heißt die App, in der man Röntgenbilder hinterlegen kann, seinen Impfpass führen und Befunde austauschen kann. Am 17. September 2018 startete sie als Plattform für elektronische Gesundheitsakten, bezahlt von privaten und gesetzlichen Krankenversicherungen, das Medienecho war groß. Einen Tag nach dem Release wurden Datenschutzmängel bekannt, denn Vivy wertete das Benutzerverhalten aus und schickte es an Server in den Vereinigten Staaten und Singapur. Im Oktober folgte eine weitere Welle an Berichterstattung über gravierende Sicherheitsmängel. Wie sicher sind also unsere Gesundheitsdaten, und was genau läuft bei Vivy schief?

          Martin Tschirsich ist Experte für Datensicherheit, klopfte Vivy auf Sicherheitslücken ab und hat die Probleme mit der App für einen Vortrag mit dem Titel „All your Gesundheitsakten are belong to us“ auf dem Chaos Communication Congress aufbereitet. Vivy dient hauptsächlich dem Austausch zwischen Patienten und Arzt. Die Dateien werden dabei in eine Cloud geladen, und für die Auffindbarkeit in dieser Cloud sorgt eine fünfstellige sogenannte „Session-ID“. Unter dieser fünfstelligen ID aus Kleinbuchstaben kann die andere Seite dann zum Beispiel Röntgenbilder oder Medikamentenrezepte abrufen. Jetzt ist eine ID aus fünf Kleinbuchstaben nicht eben sicher, mit einem einfachen Skript, das alle Kombinationen durchspielt, kann man sie ziemlich einfach knacken.

          Ist die ID erst einmal entschlüsselt, stößt man zunächst nur auf Metadaten. Aber auch diese geben schon genug Aufschluss über sensible Themen – niemand möchte, dass Unbefugte wissen, ob man einen Schwangerschaftsabbruch hat vornehmen lassen oder wegen eines psychischen Problems Hilfe gesucht hat. Um die Daten selbst abzurufen, braucht man eine vierstellige PIN-Nummer. Auch diese ist schnell zu umgehen. „Ich muss nur schneller sein als der Arzt, dann klappt das“, so Tschirsich.

          Ein „reales Risiko“ sahen die Entwickler nicht

          Vivy hat außerdem ein Phishingproblem. Man muss sich ziemlich häufig neu einloggen, weil die Sessions schnell ablaufen – eigentlich ein Sicherheitsfeature, man kennt das vom Online-Banking. Allerdings wurde nicht ausreichend dafür gesorgt, dass das Passwort nicht eventuell an den Falschen geht. Immerhin hat Vivy eine Zwei-Faktor-Identifizierung, das heißt, es wird eine weitere Pin, die man zum Einloggen braucht, per SMS an eine Telefonnummer verschickt. Aber auch das konnte Tschirsich umgehen, und zwar mit der Brute-Force-Methode, dem durchprobieren aller Lösungen, bis die richtige gefunden war. Mit einem kleinen Skript geht das bei einer vierstelligen PIN wieder recht schnell. Auch die Ende-zu-Ende-Verschlüsselung bei den hinterlegten Daten nutzt nichts, wenn der Schlüssel beim Arzt im Browser hinterlegt wird – Browser-Software ist nicht sie sicherste und kann ziemlich einfach ausgelesen werden.

          Über all die Befunde wurde Vivy am 21. September informiert. Es kam dann zu Treffen mit den Verantwortlichen und Vertretern der Allianz, der Vivy zu 70 Prozent gehört. Nach einer Fristverlängerung wurde Vivy dann am 3. Oktober dieses Jahres veröffentlicht. „Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt“, beruhigte Vivy. Innerhalb von 24 Stunden habe man alle Fehler behoben.

          Weitere Themen

          Vertrauen gegen Angst

          Kinderonkologiestation : Vertrauen gegen Angst

          In der Nähe übernachten, gemeinsam Basteln, gegenseitige Unterstützung. In der Homburger Kinderonkologie hat sich viel Gutes getan. Das ist nicht überall so.

          „Post von Karlheinz“ als Hörbuch Video-Seite öffnen

          Hörprobe : „Post von Karlheinz“ als Hörbuch

          Die Nachrichten, die die Schauspieler Bjarne Mädel, Cathlen Gawlich und Bernhard Schütz für dieses Hörbuch vorlesen müssen, liegen außerhalb der Vorstellungskraft anständiger Menschen.

          Tarantino stellt neuen Film vor Video-Seite öffnen

          Mit Hollywood-Stars besetzt : Tarantino stellt neuen Film vor

          Kult-Regisseur Quentin Tarantino präsentiert seinen neuen Film "Once Upon a Time in Hollywood" beim Filmfestival in Cannes. In den Hauptrollen sind Brad Pitt, Leonardo DiCaprio und Margot Robbie zu sehen. Im deutschsprachigen Raum läuft der Film ab Mitte August in den Kinos.

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.