Vivy & Co.: Gesundheitsapps kranken an der Sicherheit

35C3

Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.

Ein Bericht von veröffentlicht am
Die Sicherheit von Gesundheitsapps ist ein Placebo.
Die Sicherheit von Gesundheitsapps ist ein Placebo. (Bild: HeungSoon/Pixabay)

Der Zugriff auf Patientendaten soll einfacher werden, aber so sicher wie Online-Banking mit PIN und TAN sein. So stellt sich der Gesundheitsminister Jens Spahn die Zukunft vor. Der Sicherheitsforscher Martin Tschirsich hat mehrere Gesundheitsapps untersucht und fand Sicherheitslücken, wo er auch hinschaute.

Inhalt:
  1. Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
  2. Ein Gesundheitskonto voller Lücken
  3. Viele Fehler und ein düsterer Ausblick

Begonnen hatte Tschirsich seine Untersuchung mit der im September 2018 veröffentlichten Gesundheitsapp Vivy. Die App wurde von mehreren Sicherheitsfirmen geprüft, mit TÜV-Siegel versehen und mit der Aussage "Sicherheit auf höchstem Niveau" vermarktet. Dennoch fand Tschirsich gravierende Sicherheitslücken in der App, die der Mitarbeiter von der Sicherheitsfirma Modzero im Oktober veröffentlichte. Diese seien innerhalb von 24 Stunden behoben worden, betont Vivy.

Wieder Lücken in Vivy

Ist Vivy nun sicher? Tschirsich hat sich die App für den 35. Chaos Communication Congress (35C3) in Leipzig nochmals angeschaut und kommt zu dem Schluss: nein, ist sie nicht. Ein Angriff nutzt die Funktion von Vivy, Dateien mit dem Arzt auszutauschen. Wird dem Arzt eine Datei gesendet, die Javascript-Code enthält, wird dieser im Browser des Arztes ausgeführt. Tschirsich konnte auf diese Art die Dokumente der anderen Versicherten, auf die der Arzt Zugriff hat, auslesen und an sich senden lassen. Es lassen sich also auch zwei Monate, nachdem Vivy nachgebessert hat, die von den Patienten an den Arzt übermittelten Dateien kopieren.

Auch die Ende-zu-Ende-Verschlüsselung von Vivy konnte Tschirsich erneut angreifen. Vivy hat hier nachgebessert: Der Schlüssel des Arztes ließ sich nicht mehr einfach auslesen, aber er ließ sich überschreiben. Ein Angreifer kann also einfach seinen Schlüssel bei dem Arzt hinterlegen und abgefangene Nachrichten mit diesem entschlüsseln. Da Vivy keinerlei Authentifizierung der Schlüssel bietet, müssen Nutzer dem Schlüssel vertrauen, den er vom Arzt bekommt. Ob dieser gefälscht wurde, können sie nicht überprüfen.

Vivy wird von 16 gesetzlichen und drei privaten Krankenkassen unterstützt und ist eine Art Testballon für den Zugriff auf Patientendaten via Smartphone und Tablet, wie es sich Gesundheitsminister Spahn wünscht. Doch es gibt auch andere Anbieter für die Verwaltung von Gesundheitsdaten auf dem Markt. Tschirsich wollte wissen, wer es besser macht und hat sich deren Dienste angeschaut. Machen es Neulinge, der Marktführer mit langjähriger Erfahrung oder ein von Ärzten selbst entwickeltes System besser?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ein Gesundheitskonto voller Lücken 
  1. 1
  2. 2
  3. 3
  4.  
Verwandte Artikel
artikel-bild
Vivy
Ausfall der Gesundheits-App betrifft 222 Medikationspläne
artikel-bild
Digitalisierung
Techniker Krankenkasse bietet Fax-Funktion in App
artikel-bild
Sicherheitslücken
Eine Million Patienten von Datenleck betroffen
Meistgelesen
artikel-bild
Deutschland-Start vor 20 Jahren
Das Mysterium von Donnie Darko
artikel-bild
Whistleblower
Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
artikel-bild
Autonome Fahrzeuge und LLMs
Wofür KI im Militär genutzt wird
Kommentarübersicht
Re: TÜV-geprüft?
devman 14. Jan 2019

Die Prüfen ob ein Impressum existiert, ob das Opt-In funktioniert, ob die Menüs sichtbar...

Re: Dezentral bleiben
devman 14. Jan 2019

Dezentral waren die IP-Cams, die Mitglied eines Botnets wurden. Als Betrüger kann die...

Sicherheitslücken auf Grundschulniveau (kt)
Anonymer Nutzer 11. Jan 2019

Ernsthaft. Dazu kann man nichts mehr sagen.

Aktuell auf der Startseite von Golem.de
Augen
Besser sehen bei der Bildschirmarbeit

Arbeitsplatzbrille, Blaulichtfilter, Glaukom: Was ist bei langen Arbeitszeiten am Monitor zu beachten? Eine Augenärztin gibt Tipps.
Von Peter Steinlechner

Augen: Besser sehen bei der Bildschirmarbeit
Artikel
  1. Energieversorgung: Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland
    Energieversorgung
    Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland

    Der Europäische Wärmepumpenverband zeigt sich wegen sinkender Absatzzahlen besorgt, aber hierzulande bleibt das Interesse groß.

  2. Gebrochene Platine: Vorsicht bei schweren Grafikkarten
    Gebrochene Platine
    Vorsicht bei schweren Grafikkarten

    Schon Mittelklasse-GPUs haben häufig große Kühlkörper. Nutzer sollten besonders vor dem Transport sicherstellen, dass die Platine nicht zu stark belastet wird.

  3. Frigate: Intelligente Videoüberwachung ohne Cloudzwang
    Frigate
    Intelligente Videoüberwachung ohne Cloudzwang

    Mit der Open-Source-Software Frigate lässt sich eine moderne Videoüberwachung realisieren - ohne Hersteller-Cloud und unabhängig von der Hardware.
    Von Dominik Haas

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MSI XMAS-Sale • Crucial P5 Plus SSD 500GB 39,99€ • Nur noch kurz: 3 für 2 Games-Aktion (PS5, PS4, Xbox, PC) • Apple Week • AVM Fritz Box 7510 74,99€ • Last-Minute-Angebote bei Amazon • Avatar, AC: Mirage & The Crew Motorfest bis -50% • Xbox Series X 399€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /