Sicherheitsforscher haben Schwachstellen in der Krankenkassen-App Vivy entdeckt. Patientendaten hätten von Unbefugten gelesen werden können. Der Anbieter hat jedoch sofort reagiert.
Die Vivy GmbH will fortlaufend an der Verbesserung der Sicherheitsarchitektur arbeiten und lässt deshalb die App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch IT-Sicherheitsunternehmen überprüfen. Die beauftragten Expertenentdeckten Sicherheitslücken in der App selbst wie auch in der Server-Einrichtung.
Über die hypothetischen Angriffsvektoren wurde Vivy in Form eines Vorberichts am 22. September und ausführlich am 4. Oktober 2018 informiert. Der Großteil der Angriffsmöglichkeiten zeigte laut Vivy, dass sie entweder den kompromittierten Computer eines Arztes oder ein kompromittiertes Smartphone eines Nutzers voraussetzen. Der Anbieter hat nach eigenen Angaben die aufgeführten, möglichen Angriffsmöglichkeiten jeweils innerhalb von 24 Stunden gemäß standardisierter Incident- und Change-Prozesse behoben.
Kein Auslesen größerer Datenbestände
Vivy betont außerdem, dass selbst im Falle erfolgreicher Angriffe lediglich fragmentierte Datensätze einzelner Nutzer, nie jedoch größere Datenbestände einsehbar gewesen wären. Ein reales Risiko für die Sicherheit der Gesundheitsakten habe „zu keinem Zeitpunkt“ bestanden, da im realen Betrieb der App viele Vivy-Sicherheitsmaßnahmen existieren, die nicht getestet wurden.
Vivy war im September 2018 an den Start gegangen (mednic berichtete). Über die Plattform können Befunde, Laborwerte und Röntgenbilder in einer elektronischen Gesundheitsakte gespeichert und mit dem Arzt geteilt werden. Die App, an der sich zahlreiche Krankenkassen beteiligen, richtet sich als Angebot an bis zu 13,5 Millionen Krankenversicherte. In einem sogenannten „Bug Bounty-Programm“ fordert Vivy IT-Experten weltweit auf, das Unternehmen auf mögliche Angriffsszenarien aufmerksam zu machen.