IT-Experte rät von Nutzung ab
Gesundheits-App Vivy: Auf Sicherheits- folgt Kommunikationsdebakel
Auweia! Zwar konnten wir bereits beobachten, wie die digitale Gesundheitsakte Vivy alles andere als elegant in den hiesigen Markt gestartet ist, die Erfahrungen, die der Netzpolitik-Autor Leon Kaiser jetzt zu Papier gebracht hat, lassen die anfänglichen Patzer der Mobil-Applikation jedoch geradezu naiv-unschuldig wirken.
Wir erinnern uns: Nach längerer Vorlaufzeit war Vivy am 17. September als erste digitale Gesundheitsakte für Versicherte von GKV und PKV in Deutschland gestartet. Vivy beschrieb sich zum App Store Debüt als elektronische Gesundheitsakte (eGA) mit persönlicher Assistentin und trat mit einem Kernversprechen an: Die App wollte Gesundheitsdaten bündeln.
@__ths__ you know my spirit. thankful for critics. #nolegalaction #proud on the @vivy_health team who build #solid & #secure base https://t.co/zkueWZyxKC and constantly improve to achieve our vision, which is to help people live a healthier life. https://t.co/HvDUSycLBC …
— Christian Rebernik (@crebernik7791) October 31, 2018
Unseren Artikel zum Launch mussten wir damals bereits einen Tag später um eine Korrektur ergänzen: Entgegen den Behauptungen der Vivy-Macher verfügte die App nämlich nicht über eine Zulassung des Bundesinstitut für Arzneimittel und Medizinprodukte, wie dieses gegenüber ifun.de mitteilte.
Weitere 72 Stunden Tage später rasselte Vivy dann mit Sicherheitsforschern zusammen, die schwere Security-Mängel der Applikation ausmachen konnten – ifun.de berichtete.
Doch damit nicht genug. Wie Leon Kaiser jetzt in zwei umfangreichen Artikeln darlegt, hat das Prestigeprojekt nicht nur weitere Security-Schwachstellen offenbart, die Macher der Gesundheits-App versuchen auch, die kritische Berichterstattung diesbezüglich zu korrigieren.
- Forscher fanden schwere Sicherheitslücken in Gesundheits-App Vivy
- Gesundheits-App Vivy: Macher versuchen, Berichterstattung zu korrigieren
100.000 Versicherte haben eine neue Gesundheits-App heruntergeladen, um mit ihren Ärzten digital und sicher Dokumente auszutauschen. IT-Sicherheitsforscher sahen sich das Prestigeprojekt einiger Krankenkassen und der Allianz-Versicherung genauer an. Sie fanden eine große Anzahl an Lücken und Lecks, die teils auch Laien ausnutzen könnten. Auch die Verschlüsselung konnten sie umgehen.
[…] Die Macher der App waren verständlicherweise nicht begeistert: Berichterstattung über handwerkliche Mängel in einer Software, die sensible Gesundheitsdaten betrifft, kann die Verantwortlichen nicht erfreuen. Sie schrieben schon kurze Zeit nach Erscheinen des Artikels an unsere Redaktion und warfen uns „unwahre Tatsachenbehauptungen und eine einseitige Darstellung“ vor. […]
Im Grunde ist der traurige Fall der Vivy-App ein Musterbeispiel dafür, wie Verantwortliche für Sicherheitslücken nicht mit IT-Vorfällen umgehen sollten. Wenn sich Profis daran machen, Sicherheitsprobleme in einem Produkt den Betroffenen zu melden, dann hätten die App-Macher in erster Linie die Verantwortung – schon gegenüber ihren Kunden – die Probleme abzustellen. Und gleichzeitig ernsthaft zu reflektieren, was man am eigenen Handeln strukturell ändern könnte, um künftig solche IT-Sicherheitsprobleme zu vermeiden. Die Fehler lieber bei den anderen zu suchen und zusätzlich den Berichterstattern unwahre Tatsachenbehauptungen vorzuwerfen, sollte vielleicht nicht die erste Prioritität sein, wenn man selbst für diese Fehler verantwortlich ist.
Viel peinlicher kann’s wohl kaum werden. Damit hat man wohl auch genug Futter für nen unterhaltsamen Vortrag auf dem 35C3
+1
+ 1!
Kuketz-Blog geht auch darauf ein: https://www.kuketz-blog.de/sicherheitsdebakel-reaktionen-von-vivy-und-dem-tuev-rheinland/
Und App gelöscht. Dieser Negativbericht war, nach einigen vorangegangenen, einer zuviel.
Danke für Eure, auch an richtiger Stelle kritischen Artikel.
Same here… ^^
immerhin war zur Löschung meines accounts die telefonische Bestätigung meines Geburtstages von Nöten ‼️
Diese App erst gar nicht installiert. Meine Daten gehören: mir – AUSSCHLIESSLICH.
Das ist schon unglaublich, wie man es schafft, so ein teures Teil so hart gegen die Wand zu fahren und uneinsichtiger als ein Kleinkind zu sein.
Das war ja so klar, wer auch immer behauptet bei ihm sei alles sicher wird gleich als erstes gehackt.
+ 1
Ich erinnere mich an Zeiten, als elektronische Gesundheitskarte und der Bundespersonalausweis für ziemlich viel Wirbel sorgten und die Vorratsdatenspeicherung die Piraten als relevante Partei hervorgingen lassen. Heute sehe ich, dass nicht nur in diesem Fall private Unternehmen genauso schlampig arbeiten und es nicht besser machen, auf Kosten der Nutzer. Dass man das aber bei Zertifizierungsstelle nicht merkt, sofern diese überhaupt einen Blick drauf geworfen haben, ist der Hammer.
Man sollte sich endlich deutlich machen, dass TÜV Gutachten nicht das erfüllen was sich der Kunde von Ihnen verspricht, etwa geprüfte Sicherheit. Ich selbst bin bei einem solchen TÜV Siegel besonders vorsichtig.
Für den Kunden sollen sie eine Leitlinie sein, was the, wo du absolut recht hast, natürlich nicht sind. Wenn der Kunde sich aber darauf verlässt, macht er keinen Fehler. Das Problem liegt primär in den Kontrollinstanzen, immerhin lässt sich auch mit Zertifizierungen richtig viel Geld verdienen.
Und genau so fährt man ein neues Unternehmen gegen die Wand :D Unglaublich….ich bin ja echt nen Freund und Befürworter der elektronischen Patientenakte und wünsche mir das schon seit Jahren. Das sollte dann aber auch Hand und Fuß haben. Ein negativer Bericht über sowas kann da schon das aus bedeuten….Nach dem was die sich aber alles geleistet haben, bin ich hier aber raus. Selbst wenn das morgen sie sicherste App wäre, würde ich das nicht mehr verwenden. Es wäre vermutlich wirklich am besten, wenn die ePA von staatlicher Seite kommt….Wenn sich alle Krankenkasse mal gemeinsam daran setzten und ein Kassen und Ärtzteübergreifendes System anbieten wäre das schon ne super Sache…
derzoelli, nun merkste vielleicht, WAS Du (mit der elektronischen Patientenakte) eigentlich befürwortest (befürwortet hast). Oder meinst Du vielleicht, daß die elektronische Weitergabe Deiner Gesundheitsdaten per se Deine Daten vor anderen wirklich schützt?: in diesem Fall würdest Du wohl auch versuchen wollen, ein Feuer mit Benzin zu löschen …
Tim und Linus vom Logbuch Netzpolitik Podcast (LNP) haben auch bereits darüber berichtet und vergleichen den Fall mit dem Wahl-PC-Hack vom letzten Jahr :) Sehr interessant!
Die Techniker Krankenkasse testet in ihrer App ebenfalls eine eGA in Zusammenarbeit mit IBM. Das Ganze sieht deutlich professioneller aus.
In diesem Sinne könnte man auch versuchen zu klären
die vielen downloads vielleicht auch gekauft worden sind für 0.05 US$ pro Installation, damit man damit werben kann. Fake it until you make it und move fast und break things scheinen zu Vivy‘s Wertesystem zu gehören. (https://appmasters.com/worth-buy-app-downloads-fiverr/)