https://www.faz.net/-gqz-9i4zb

Krankenkassen-App beim 35C3 : Das Problem mit den Gesundheitsdaten

Guter Ansatz, unzureichende Absicherung: Mit Vivy kann das Röntgenbild unkompliziert mit dem Arzt geteilt werden. Bild: dpa

Mit Brute Force kommt man ziemlich weit: Auf dem Chaos Communication Congress erläutert Martin Tschirsich, wie sicher die im Herbst eingeführte Krankenkassen-App Vivy ist – und wie der Anbieter auf Bedenken reagiert hat.

          Vivy heißt die App, in der man Röntgenbilder hinterlegen kann, seinen Impfpass führen und Befunde austauschen kann. Am 17. September 2018 startete sie als Plattform für elektronische Gesundheitsakten, bezahlt von privaten und gesetzlichen Krankenversicherungen, das Medienecho war groß. Einen Tag nach dem Release wurden Datenschutzmängel bekannt, denn Vivy wertete das Benutzerverhalten aus und schickte es an Server in den Vereinigten Staaten und Singapur. Im Oktober folgte eine weitere Welle an Berichterstattung über gravierende Sicherheitsmängel. Wie sicher sind also unsere Gesundheitsdaten, und was genau läuft bei Vivy schief?

          Martin Tschirsich ist Experte für Datensicherheit, klopfte Vivy auf Sicherheitslücken ab und hat die Probleme mit der App für einen Vortrag mit dem Titel „All your Gesundheitsakten are belong to us“ auf dem Chaos Communication Congress aufbereitet. Vivy dient hauptsächlich dem Austausch zwischen Patienten und Arzt. Die Dateien werden dabei in eine Cloud geladen, und für die Auffindbarkeit in dieser Cloud sorgt eine fünfstellige sogenannte „Session-ID“. Unter dieser fünfstelligen ID aus Kleinbuchstaben kann die andere Seite dann zum Beispiel Röntgenbilder oder Medikamentenrezepte abrufen. Jetzt ist eine ID aus fünf Kleinbuchstaben nicht eben sicher, mit einem einfachen Skript, das alle Kombinationen durchspielt, kann man sie ziemlich einfach knacken.

          Ist die ID erst einmal entschlüsselt, stößt man zunächst nur auf Metadaten. Aber auch diese geben schon genug Aufschluss über sensible Themen – niemand möchte, dass Unbefugte wissen, ob man einen Schwangerschaftsabbruch hat vornehmen lassen oder wegen eines psychischen Problems Hilfe gesucht hat. Um die Daten selbst abzurufen, braucht man eine vierstellige PIN-Nummer. Auch diese ist schnell zu umgehen. „Ich muss nur schneller sein als der Arzt, dann klappt das“, so Tschirsich.

          Ein „reales Risiko“ sahen die Entwickler nicht

          Vivy hat außerdem ein Phishingproblem. Man muss sich ziemlich häufig neu einloggen, weil die Sessions schnell ablaufen – eigentlich ein Sicherheitsfeature, man kennt das vom Online-Banking. Allerdings wurde nicht ausreichend dafür gesorgt, dass das Passwort nicht eventuell an den Falschen geht. Immerhin hat Vivy eine Zwei-Faktor-Identifizierung, das heißt, es wird eine weitere Pin, die man zum Einloggen braucht, per SMS an eine Telefonnummer verschickt. Aber auch das konnte Tschirsich umgehen, und zwar mit der Brute-Force-Methode, dem durchprobieren aller Lösungen, bis die richtige gefunden war. Mit einem kleinen Skript geht das bei einer vierstelligen PIN wieder recht schnell. Auch die Ende-zu-Ende-Verschlüsselung bei den hinterlegten Daten nutzt nichts, wenn der Schlüssel beim Arzt im Browser hinterlegt wird – Browser-Software ist nicht sie sicherste und kann ziemlich einfach ausgelesen werden.

          Über all die Befunde wurde Vivy am 21. September informiert. Es kam dann zu Treffen mit den Verantwortlichen und Vertretern der Allianz, der Vivy zu 70 Prozent gehört. Nach einer Fristverlängerung wurde Vivy dann am 3. Oktober dieses Jahres veröffentlicht. „Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt“, beruhigte Vivy. Innerhalb von 24 Stunden habe man alle Fehler behoben.

          Leider nur lese- und nicht auch schreibgeschützt

          Das sieht Tschirsich anders, und die Hintergründe wurden unter anderem auf netzpolitik.org beschrieben. Vivy bezichtigte daraufhin die berichtenden Redaktionen der Falschaussage und wies Tschirsich und seine Unterstützer, die die App auf Sicherheitsrisiken abklopften, auf „juristische Probleme“ mit Brute-Force-Attacken hin. Dabei ist es doch eigentlich wünschenswert, dass man Sicherheitslücken mit den gleichen Werkzeugen zu knacken versucht, wie sie auch böswilligen Angreifern zur Verfügung stehen.

          Und die App hat noch immer Mängel. Was nämlich, wenn man als Patient dem Arzt keine Röntgenbilder schickt, sondern ein bösartiges Javascript, das alle Daten ausliest, auf die der Mediziner Zugriff hat? Das, so Tschirsisch, ist ein Problem, das man nicht innerhalb von einem Tag beheben kann. Auch ist der Key für die Verschlüsselung der Dokumente nun lesegeschützt – aber leider nicht schreibgeschützt. Man kann ihn also mit einem eigenen Schlüssel überschreiben.

          Versehentlich fast alle Daten des Landes

          Nun hat Vivy noch etliche Konkurrenten, zum Beispiel Vitabook von 2011, das auf der Microsoft Cloud basiert. Die Grundfunktionen sind ähnlich, die Verschlüsselung noch schlechter als bei Vivy. „Meinarztdirekt.de“ ist eine Plattform, das direkt von Ärzten initiiert wurde. Man kann sich dort die Unterlagen zwar nicht anzeigen lassen – aber Ausdrucken, so stellte Tschirsisch fest, kann man sie durchaus. Sicher sieht anders aus. TeleClinic ist eine Plattform für Videosprechstunden in Baden-Württemberg, die auch den Austausch von Dokumenten erlaubt. Es verspricht seinen Nutzern „die höchste Datensicherheit Deutschlands“, aber der Zugriff auf Nutzernamen und Passwort ist nur unzureichend abgesichert. TK-Safe, ein Angebot der Techniker-Krankenkasse, ist tatsächlich sehr sicher. Es hat allerdings den Nachteil, dass der Zugang auf die Akte verloren geht, falls man einmal sein Handy verlieren sollte. Es sei denn, man speichert den Schlüssel als QR-Code – allerdings speichert der sich automatisch in der öffentlichen Bildergalerie, und die ist nun alles andere als sicher.

          Wie wahrscheinlich ist nun wirklich, dass jemand sich an den Daten vergreift? In den Vereinigten Staaten gibt es bereits elektronische Patientenakten, und es gibt Zahlen über Angriffe. Dort wurden zwischen 2014 und 2017 immerhin 363 Datenlecks gemeldet, 130.702.378 Patientenakten waren betroffen, also rund 30 Millionen pro Jahr. In Norwegen wurden allein im Jahr 2018 drei Millionen Patientenakten gehackt. In Dänemark wurden im Jahr 2016 zwei CDs mit fast allen medizinischen Daten des Landes aus Versehen an die chinesische Visa-Stelle geschickt.

          Wer trägt das Risiko?

          Bis 2021 soll die elektronische Patientenaktie, die strengeren Auflagen als die elektronische Gesundheitsakte unterliegt, flächendeckend eingeführt werden, und Versicherte sollen mit dem Smartphone darauf zugreifen können. Vivy ist nun, so Tschirsisch, so etwas wie der Testballon für die Akzeptanz einer solchen Patientenakte. Aber diese Akten sollen ein Leben lang aufbewahrt werden. Das Problem, wie die Sicherheit dieser Daten dauerhaft gewährleistet werden kann, ist noch nicht gelöst.

          Und was, wenn der Patient nicht mitspielt? Drohen ihm dann Sanktionen? „Die Patientenaktie wird kommen, und sie hat viele Vorteile“, resümiert Tschirsich. „Wenn sich nun jemand dafür entscheidet, seinen Kindern keine solche Akte anzulegen, trägt er dann das Risiko dafür, wenn sie eine höhere Sterblichkeit haben, oder eine schlechtere Behandlungsqualität, oder länger warten müssen?“

          Weitere Themen

          Topmeldungen

          Rechtsextreme Netzwerke : Wie stoppt man den Hass?

          Rechtsextreme Netzwerke stiften im Internet immer wieder zu blutigen Taten an. In einer neuen Studie untersuchen Physiker die Dynamiken des Hasses – und entwickeln vier Strategien dagegen.
          Justin Trudeau im September in Truro

          Wahlkampf in Kanada : Der Politik-Star stellt sich den Wählern

          Ende Oktober wird in Kanada gewählt. Premierminister Justin Trudeau, der seiner liberalen Partei vor vier Jahren einen Rekordsieg einbrachte, führt einen Wahlkampf mit Startschwierigkeiten.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.