Abo
  • Services:

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit

Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.

Artikel von veröffentlicht am
Die Sicherheit von Gesundheitsapps ist ein Placebo.
Die Sicherheit von Gesundheitsapps ist ein Placebo. (Bild: HeungSoon/Pixabay)

Der Zugriff auf Patientendaten soll einfacher werden, aber so sicher wie Online-Banking mit PIN und TAN sein. So stellt sich der Gesundheitsminister Jens Spahn die Zukunft vor. Der Sicherheitsforscher Martin Tschirsich hat mehrere Gesundheitsapps untersucht und fand Sicherheitslücken, wo er auch hinschaute.

Inhalt:
  1. Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
  2. Ein Gesundheitskonto voller Lücken
  3. Viele Fehler und ein düsterer Ausblick

Begonnen hatte Tschirsich seine Untersuchung mit der im September 2018 veröffentlichten Gesundheitsapp Vivy. Die App wurde von mehreren Sicherheitsfirmen geprüft, mit TÜV-Siegel versehen und mit der Aussage "Sicherheit auf höchstem Niveau" vermarktet. Dennoch fand Tschirsich gravierende Sicherheitslücken in der App, die der Mitarbeiter von der Sicherheitsfirma Modzero im Oktober veröffentlichte. Diese seien innerhalb von 24 Stunden behoben worden, betont Vivy.

Wieder Lücken in Vivy

Ist Vivy nun sicher? Tschirsich hat sich die App für den 35. Chaos Communication Congress (35C3) in Leipzig nochmals angeschaut und kommt zu dem Schluss: nein, ist sie nicht. Ein Angriff nutzt die Funktion von Vivy, Dateien mit dem Arzt auszutauschen. Wird dem Arzt eine Datei gesendet, die Javascript-Code enthält, wird dieser im Browser des Arztes ausgeführt. Tschirsich konnte auf diese Art die Dokumente der anderen Versicherten, auf die der Arzt Zugriff hat, auslesen und an sich senden lassen. Es lassen sich also auch zwei Monate, nachdem Vivy nachgebessert hat, die von den Patienten an den Arzt übermittelten Dateien kopieren.

Auch die Ende-zu-Ende-Verschlüsselung von Vivy konnte Tschirsich erneut angreifen. Vivy hat hier nachgebessert: Der Schlüssel des Arztes ließ sich nicht mehr einfach auslesen, aber er ließ sich überschreiben. Ein Angreifer kann also einfach seinen Schlüssel bei dem Arzt hinterlegen und abgefangene Nachrichten mit diesem entschlüsseln. Da Vivy keinerlei Authentifizierung der Schlüssel bietet, müssen Nutzer dem Schlüssel vertrauen, den er vom Arzt bekommt. Ob dieser gefälscht wurde, können sie nicht überprüfen.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Vivy wird von 16 gesetzlichen und drei privaten Krankenkassen unterstützt und ist eine Art Testballon für den Zugriff auf Patientendaten via Smartphone und Tablet, wie es sich Gesundheitsminister Spahn wünscht. Doch es gibt auch andere Anbieter für die Verwaltung von Gesundheitsdaten auf dem Markt. Tschirsich wollte wissen, wer es besser macht und hat sich deren Dienste angeschaut. Machen es Neulinge, der Marktführer mit langjähriger Erfahrung oder ein von Ärzten selbst entwickeltes System besser?

Ein Gesundheitskonto voller Lücken 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a. Skyrim VR, Battlefront 2, GTA 5, Wolfenstein 2)
  2. (-20%) 31,99€
  3. 288,00€

devman 14. Jan 2019 / Themenstart

Die Prüfen ob ein Impressum existiert, ob das Opt-In funktioniert, ob die Menüs sichtbar...

devman 14. Jan 2019 / Themenstart

Dezentral waren die IP-Cams, die Mitglied eines Botnets wurden. Als Betrüger kann die...

RichardEb 11. Jan 2019 / Themenstart

Ernsthaft. Dazu kann man nichts mehr sagen.

Kommentieren


Folgen Sie uns
       


Royole Flexpai - Hands on (CES 2019)

Das Flexpai von Royole ist das erste kommerziell erhältliche Smartphone mit faltbarem Display. Ein erster Kurztest des Gerätes zeigt, dass es noch einige Probleme mit der Software hat.

Royole Flexpai - Hands on (CES 2019) Video aufrufen
Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
Vivy & Co.
Gesundheitsapps kranken an der Sicherheit

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

  1. Krankenkassen Vivy-App gibt Daten preis
  2. Krankenversicherung Der Papierkrieg geht weiter
  3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

    •  /