![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Es ist ein Scheitern mit Ansage: Die k\u00fcrzlich mit 16 Krankenversicherern gestartet Gesundheits-App Vivy weist noch gravierendere Sicherheitsl\u00fccken als urspr\u00fcnglich bekannt auf. Hier ein \u00dcberblick, was passiert und wie der aktuell Stand bei Vivy in Punkto Sicherheit ist. <\/p>\n
<\/p>\n
Dazu k\u00f6nnen Mitglieder der teilnehmenden Versicherer (Private Krankenversicherungen und einige Krankenkassen zahlen das) eine App f\u00fcr Android oder iOS herunterladen und sich am Portal anmelden. <\/p>\n Vivy ist eine offene Plattform f\u00fcr Versicherungen. Beim Start nahmen folgende Versicherungen an Vivy Teil: Allianz, Barmenia, DAK-Gesundheit, IKK classic, IKK Nord, IKK S\u00fcdwest sowie BKK Bertelsmann, BKK Diakonie, BKK D\u00fcrkopp Adler, BKK Gildemeister, Heimat Krankenkasse, HMR (Herford, Minden, Ravensberg), BKK Melitta Plus, mhplus, BKK Pronova, BKK Stadt Augsburg.<\/p>\n<\/blockquote>\n Bei diesem Versprechen klingelten bei mir alle Alarmglocken, so dass ich mit Recherche anfing. Ein Blick in die Datenschutzerkl\u00e4rung best\u00e4tigte die Vorbehalte und der Kopf hinter dem Projekt, der Gr\u00fcnder Christian Rebernik, war mir bereits im Zusammenhang mit der N24-Banking-App aufgefallen (dort gab es erinnerungsm\u00e4\u00dfig Sicherheitsm\u00e4ngel). <\/p>\n Ich hatte seinerzeit den Blog-Beitrag Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy<\/a> mit vielen Details und noch mehr Fragezeichen ver\u00f6ffentlicht. Unter anderem wies Mike Kuketz, der sich beruflich mit Sicherheitsthemen befasst, nach, dass die Vivy-App bereits ohne gr\u00f6\u00dfere interne Analysen als 'Datenschutz Bruchlandung' anzusehen sei. Tracker, die Daten zu allen m\u00f6glichen Anbietern \u00fcbertragen, obskure Klauseln in der Nutzer- und Datenschutzerkl\u00e4rungen etc. Auch die Verwendung einer so unsicheren Basis wie Android zur Verwaltung pers\u00f6nlicher Gesundheitsdaten erschien mir nicht so geboten. Meine Folgerung war 'Finger weg von diesem Angebot' \u2013 was dann u.a. diesen Kommentar<\/a> hervorbrachte.<\/p>\n Der Aufschrei nach der Ver\u00f6ffentlichung der App f\u00fchrte dazu, dass die Vivy GmbH Nachbesserungen bei der Sicherheit der App ank\u00fcndigte. Es sollten Tracker entfernt und Datenschutzbedingungen ge\u00e4ndert werden \u2013 eigentlich eine positiv zu bewertende Reaktion. heise.de berichtete hier<\/a> \u00fcber dieses Vorhaben und Datensch\u00fctzer k\u00fcndigten eine Pr\u00fcfung an. <\/p>\n Interessant fand ich diesen Kommentar<\/a>, der darauf hinwies, das es nicht geht, dass die Nutzung einer Gesundheits-App die Zustimmung zu den Google-Gesch\u00e4ftsbedingungen erforderlich ist. Zudem wurde dort die Forderung erhoben, dass die App, da von gesetzlich Versicherten finanziert, Public Code werden soll. Weiterhin ging kurz nach Ver\u00f6ffentlichung meines Artikels der Hinweis<\/a> ein, dass Mike Kuketz sich die App nach der \u00dcberarbeitung angesehen habe. In Kurz: Auch die neue App-Version beinhaltet Tracker und kontaktiert entsprechende Dienste (siehe<\/a>). Das Android als Basis f\u00fcr eine solche App sicherheitstechnisch eine denkbar ung\u00fcnstige Plattform darstellt, sei hier nur als Fu\u00dfnote erw\u00e4hnt. <\/p>\n \u00c4rzte liefen aus Datenschutzgr\u00fcnden Sturm gegen die App, da diese bei Herausgabe der Daten ggf. nach DSGVO verantwortlich sind. Zudem hat Kristian K\u00f6hntopp Mitte September 2018 auf Google+ diesen Kurzbeitrag<\/a> gepostet. Er hat sich die Android App (APK-Datei) mit dem Analyse-Tool jadx angeschaut \u2013 ich habe mir das erspart. Zitat aus seinem Post (bevor es bei Google+ im Nirvana verschwindet):<\/p>\n Ich bin da nur kurz mit jadx dr\u00fcber. WhatsApp, parallel dazu: <\/p>\n Es sind Firebase und Crashlytics drin, und Bouncycastle und Spongycastle, Und Steho und Instabug, Da ist alles doppelt und dreifach<\/p>\n Ich habe glaube ich drei unterschiedliche Implementierungen von Wait-Circle-Cursors gefunden.<\/p>\n Die k\u00f6nnen gar keine Aussagen machen, wo deren App was hin hochl\u00e4dt oder ob die Daten sicher sind oder nicht, mit dem ganzen Debug Zeug da drin.<\/p>\n<\/blockquote>\n Ich habe es leider nicht geschafft, damals zeitnah einen Artikel zu neuen Erkenntnissen zu verfassen. Daher heute hier nachgereicht. <\/p>\n In den Kommentaren wurde es hier<\/a> und bei Kristian K\u00f6hntopp auf Google+<\/a> heute bereits adressiert: Nachdem sich Sicherheitsforscher von modzero (ein 2011 in Z\u00fcrich gegr\u00fcndetes schweizer-deutsches IT-Sicherheits-Unternehmen) die App mal vorgenommen haben, bleibt kein Stein auf dem anderen (Kurzinformation hier<\/a>). Martin Tschirsich fand innerhalb k\u00fcrzester Zeit gravierende Sicherheitsl\u00fccken in der Vivy-App und den dazugeh\u00f6rigen Servern. Zitat:<\/p>\n Die kritischsten Punkte waren: Informationen dar\u00fcber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungesch\u00fctzt f\u00fcr jeden lesbar im Netz. Versicherte konnten durch die Informations-Lecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden. <\/p>\n Unbefugte konnten \u00fcber das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschl\u00fcsseln. Dar\u00fcber hinaus fand modzero zahlreiche konzeptionelle Schw\u00e4chen im Rahmen der Nutzung der RSA-Verschl\u00fcsselung und des Schl\u00fcssel-Managements. So konnten beispielsweise \u00fcber trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schl\u00fcssel der \u00c4rzte ausgelesen werden.<\/p>\n<\/blockquote>\n Nach dieser Analyse meldete modzero die Sicherheitsl\u00fccken unverz\u00fcglich bei Vivy, um einen sogenannten \"Coordinated Disclosure\"-Prozess einzuleiten. In Abstimmung mit Vivy wurde nach initialem Kontakt am 21. September 2018 bis zum 30. Oktober 2018 Zeit einger\u00e4umt, um die Sicherheitsl\u00fccken zu beheben. Dann wollte modzero einen Sicherheitsbericht ver\u00f6ffentlichen. Kurz gefasst: \u00dcberall klaffen gravierende Sicherheitsl\u00fccken und konzeptionelle Fehler. Die Sicherheit der App sowie der ganzen L\u00f6sung ist unterirdisch schlecht (was nach der obigen Historie zu bef\u00fcrchten war). <\/p>\n Heute (30. Oktober 2018) wurde, wie angek\u00fcndigt, dieser Sicherheitsbericht<\/a> (PDF) von modzero mit den Details ver\u00f6ffentlicht. Inzwischen berichten Golem<\/a> und heise.de<\/a> \u00fcber diesen Fall, so dass (neben dem umfangreichen modzero-Sicherheitsbericht) f\u00fcr interessierte Leser gen\u00fcgend Lesestoff zu den Details verf\u00fcgbar ist. <\/p>\n Wenn Gesundheitsdaten zentral verarbeitet werden, muss Sicherheit und Datenschutz (zumindest in meinen Augen) eine zentrale Aufgabe sein. Laut der Vivy GmbH hat man die Sicherheit der App von verschiedenen Institutionen pr\u00fcfen lassen. Zitat von der Vivy-Seite (gel\u00f6scht)<\/p>\n Vivy ist ein Medizinprodukt der Klasse 1 und in der \u00f6ffentlichen Datenbank des Deutschen Instituts f\u00fcr Medizinische Dokumentation und Information (DIMDI) aufgef\u00fchrt. Vivy erf\u00fcllt au\u00dferdem die vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) ver\u00f6ffentlichten Sicherheitsma\u00dfnahmen und verf\u00fcgt Vivy \u00fcber Zertifizierungen von unabh\u00e4ngigen externen Organisationen, wie z.B. T\u00dcV und ePrivacy.<\/p>\n Vivy wurde von ePrivacy und dem T\u00dcV Rheinland getestet und als sichere Plattform zertifiziert. Der T\u00dcV Rheinland bescheinigt, dass Vivy dessen strenge Anforderungen hinsichtlich Integrit\u00e4t, Authentizit\u00e4t und Vertraulichkeit von sensiblen Daten erf\u00fcllt und Daten durch eine verschl\u00fcsselte Kommunikation gem\u00e4\u00df dem Stand der Technik sch\u00fctzt. Die Wirksamkeit der Schutzma\u00dfnahmen wird durch externe Auditoren regelm\u00e4\u00dfig \u00fcberwacht.<\/p>\n<\/blockquote>\n Dass der T\u00dcV-Rheinland bei solchen M\u00e4ngeln ein Zertifikat ausstellt, wirft zumindest etliche Fragen auf. Und auch die anderen 'Zertifizierer' haben augenscheinlich versagt. Das hinterl\u00e4sst einen sehr bitteren Beigeschmack. Wem kann man denn noch trauen, wenn diese 'Truststellen' mutma\u00dflich wertlose 'Persilscheine' ausstellen. <\/p>\n Inzwischen hat die Vivy GmbH diese Stellungnahme<\/a> (PDF, 14 Seiten) ver\u00f6ffentlicht, in dem man auf die Analyse von modzero eingeht. Man will alle 'Schwachstellen' beseitigt haben. Zudem relativiert man die Analyse von modzero:<\/p>\n Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern m\u00f6glich. Die modzero GmbH hat potentielle Angriffsvektoren getestet, die real nie genutzt wurden. Die oben beschriebenen Vektoren w\u00e4ren nur unter sehr hohen Voraussetzungen (z.B. gleichzeitige Kompromittierung von Arzt-Rechner, Rootkit des Smartphones, Kompromittierte Server) m\u00f6glich gewesen. All diese Voraussetzungen waren zu keinem Zeitpunkt real erf\u00fcllt.<\/p>\n Das Vivy zugrunde liegende Security by Design Konzept ist so strukturiert, dass wenn im laufenden Betrieb Sicherheitsprobleme auftreten, diese unmittelbar abgestellt werden. Schwachstellen wie sie in diesem Fall durch die modzero GmbH gefunden und dankenswerter Weise an Vivy gemeldet wurden, sind in modernen IT Systemen aufgrund verschiedenster, meist menschlicher Ursachen, wie Konfigurations-, oder Programmierfehlern in den verschiedenen Software- und Hardware-Stacks (Infrastruktur, Betriebssystem, Middleware oder Anwendung) niemals komplett auszuschlie\u00dfen. Daher ist es zeitgem\u00e4\u00df, dass sie von einem umfassenden Sicherheitskonzept im Umgang mit kritischen Daten ber\u00fccksichtigt werden. Einzelne Schwachstellen d\u00fcrfen demnach nicht zu Kompromittierung des Gesamtsystems oder zum Verlust gro\u00dfer Datenmengen f\u00fchren, sondern sollten wenn m\u00f6glich umgehend erkannt und m\u00f6glichst schnell behoben werden k\u00f6nnen. Das ist bei Vivy der Fall.<\/p>\n<\/blockquote>\n Das klingt alles gut, und ist aus Sicht des Unternehmens sogar nachvollziehbar. Dass dies noch im Brustton der \u00dcberzeugung vorgetragen wird, hinterl\u00e4sst bei mir aber einen noch bittereren Nachgeschmack. Den die bisher zusammen getragenen Informationen ergeben ein fatales Bild. Die Sicherheits\u00fcberpr\u00fcfung h\u00e4tte vor dem Start des Angebots erfolgen m\u00fcssen. F\u00fcr mich zeichnet sich folgendes ab 'jemand hat eine Idee, findet Geldgeber in Form von Versicherungsfunktion\u00e4ren und setzt \u00fcberforderte Entwickler an die Umsetzung'. Das w\u00e4re dann scheitern mit Ansage. <\/p>\n Nun k\u00f6nnte man zur Tagesordnung \u00fcbergehen, es passiert ja schlie\u00dflich was \u2013 ob der n\u00e4chste gro\u00dfe Sicherheits-Bug bei Vivy in einigen Wochen aufgedeckt wird, man wird sehen. Aber der Fall hat noch eine andere Komponente. Bei netzpolitik.org<\/a> hat man den Fall aus der Sicht 'was passiert weiter, was hat das f\u00fcr Folgen?' aufbereitet. Die beteiligten Versicherungen haben mindestens 13,5 Millionen Versicherte und die Vivy-App wurde seit dem Start \u00fcber 100.000 Mal aus dem Google Play Store heruntergeladen. Das ist also schon ein 'gro\u00dfes Rad', was die Funktion\u00e4re der beteiligten Versicherer dort drehen. Und es gibt Pl\u00e4ne, dieses Rad noch gr\u00f6\u00dfer zu machen. Zitat aus dem netzpolitik.org-Beitrag:<\/p>\n Die App soll Vorbild sein. Laut einem Gesetzesentwurf (pdf<\/a>) von Gesundheitsminister Jens Spahn (CDU) sollen alle Krankenkassen bis 2021 eine elektronische Patientenakte<\/a> bereitstellen, die im Gegensatz zu bisher auch ohne elektronische Gesundheitskarte genutzt werden kann. <\/p>\n<\/blockquote>\n Bei netzpolitik.org schreibt man, dass die Kassen\u00e4rztliche Bundesvereinigung (die KBV ist eine Vertretung freiberuflicher \u00c4rzte) sich dem Vorschlag aus dem Ministerium k\u00fcrzlich angeschlossen habe<\/a>. Die KBV ist andererseits aber auch Partner bei der Vivy-Plattform. Die Pl\u00e4ne zur elektronischen Patientenakte und die Partnerschaft der KBV mit Vivy bedeutet nicht zwangsl\u00e4ufig, dass die Vivy-App jetzt zentral zur Speicherung der elektronischen Patientenakte verwendet wird. Aber das Ganze nimmt Fahrt auf. <\/p>\n Interessant ist auch, was unser Gesundheitsminister Jens Spahn so denkt. Jens Spahn hat seine Vorstellungen als Gesundheitsminister in einem Interview der FAZ kund getan (hier der Pressetext des Interviews). Seine Vorstellung in Bezug auf die Bereitstellung von Gesundheitsdaten in Form einer elektronischen Patientenakte lauten:<\/p>\n Es muss cool werden, dabei zu sein, f\u00fcr \u00c4rzte und Patienten, weil beide die Vorteile in der Versorgung erleben und von der besseren Behandlung profitieren.<\/p>\n<\/blockquote>\n Auf die Frage 'Sind Modellversuche einzelner Kassen, die eigene Patientenakten entwickeln, hilfreich oder kontraproduktiv<\/em>?' der FAZ, positioniert Spahn sich folgenderma\u00dfen:<\/p>\n Wichtig ist, dass diese Projekte vom ersten Tag an so konzipiert sind, dass sie ins Gesamtkunstwerk integriert werden k\u00f6nnen. Solange finde ich das gut. Ich w\u00fcrde mir sogar w\u00fcnschen, dass wir mehr solcher Angebote haben, mehr Offensive.<\/p>\n<\/blockquote>\n Der Begriff Sicherheit kommt in diesem Interview genau zwei Mal vor. Einmal bei der Frage, dass der \u00c4rztetag die H\u00fcrden f\u00fcr die telemedizinische Behandlung einrei\u00dfen will und Spahn daf\u00fcr ist, 'dass solche Angebote auch bei uns mit deutschen Standards f\u00fcr Sicherheit und Datenschutz entwickelt werden' \u2013 was in Ordnung ist. Der zweite Treffer ergibt sich bei der Anerkennung ausl\u00e4ndischer \u00c4rzte. In Verbindung mit der elektronischen Patientenakte und dem Schutz der Gesundheitsdaten findet sich der Begriff nicht. Fairerweise muss auch gesagt werden, dass es sich nur um ein Interview mit einem breiten Themenspektrum handelt. <\/p>\n Warum werde ich das Gef\u00fchl aber nicht los, dass Sicherheit und Datenschutz keine Rolle spielen oder eher als hinderlich gesehen werden. Ich h\u00e4tte mich nach meinem ersten Artikel zur Vivy-App ja heute gerne hin gestellt und verk\u00fcndet 'Sorry Leute, ich habe mich geirrt, die Entwickler haben nachgebessert, alles ist ok'. Leider sind meine Bef\u00fcrchtungen erneut best\u00e4tigt worden. Das Ganze nimmt jetzt Fahrt auf, und die Richtung der Entwicklung in Sachen elektronische Patientenakte l\u00e4sst wenig gutes erahnen. Oder wie seht ihr das so?<\/p>\n \u00c4hnliche Artikel:<\/strong> Es ist ein Scheitern mit Ansage: Die k\u00fcrzlich mit 16 Krankenversicherern gestartet Gesundheits-App Vivy weist noch gravierendere Sicherheitsl\u00fccken als urspr\u00fcnglich bekannt auf. Hier ein \u00dcberblick, was passiert und wie der aktuell Stand bei Vivy in Punkto Sicherheit ist.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,4328],"class_list":["post-211180","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211180"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211180\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Mitte September 2018 startete Vivy GmbH das Angebot mit der Vivy-Gesundheits-App. Die Gesundheits-App Vivy soll Mitgliedern mehrerer deutscher Krankenkassen die Verwaltung ihrer Gesundheitsdaten \u00fcber dieses Portal<\/a> zu erm\u00f6glichen.<\/p>\n
![\"Gesundheits-App](\"https:\/\/i.imgur.com\/XFIQFIm.jpg\" "\\"Gesundheits-App")
<\/a>
(Zum Vergr\u00f6\u00dfern auf das Bild klicken) <\/p>\n\n
Der Anbieter warb damit, dass die App Nutzer dabei unterst\u00fctzt, medizinischen Daten zu bekommen, zu verstehen und zu nutzen. Mit der App hat der Nutzer diese Daten immer dabei \u2013 ob beim Umzug, auf Reisen oder beim Arztwechsel. In der App-Beschreibung wirbt der Anbieter mit besonderer Sicherheit: <\/h4>\n
\n
Vivy wurde mehrfach gepr\u00fcft (z.B. T\u00dcV) und als absolut sicher ausgezeichnet. Eine Ende-zu-Ende Verschl\u00fcsselung sorgt f\u00fcr einen sicheren, anonymen Datenaustausch. H\u00f6chste Anforderungen der schon hohen Datenschutzverordnung werden von Vivy erf\u00fcllt.<\/em><\/h4>\n<\/blockquote>\n
Hersteller verspricht Nachbesserung und Zwischenst\u00e4nde<\/h2>\n
APK-Teardown \u2013 alles drin \u2026<\/h2>\n
\n
Neue Sicherheitsanalyse: Gravierende Schwachstellen<\/h2>\n
\n
Der bittere Beigeschmack<\/h2>\n<\/p>\n
\n
\n
\n
\n
\n
Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy<\/a>
Singapurs gr\u00f6\u00dfter Gesundheitskonzern gehackt<\/a>
Gesundheitswesen besonders anf\u00e4llig f\u00fcr Hacker-Angriffe<\/a>
Gesundheitsdaten ziehen Kriminelle besonders an<\/a>
Datenleck: Old-School-'Hack' f\u00fcr Gesundheitskarte<\/a>
Heartbleed-L\u00fccke zum Klau der Gesundheitsdaten genutzt<\/a>
Hacker infizieren Medizintechnik (CT, R\u00f6ngen etc.)<\/a>
Die Apple Watch 4, die EKG-Funktion und die FDA-Freigabe<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"