Nächstes Sicherheitsdesaster bei Vivy-Gesundheits-App

Es ist ein Scheitern mit Ansage: Die kürzlich mit 16 Krankenversicherern gestartet Gesundheits-App Vivy weist noch gravierendere Sicherheitslücken als ursprünglich bekannt auf. Hier ein Überblick, was passiert und wie der aktuell Stand bei Vivy in Punkto Sicherheit ist.


Anzeige

Hintergrund zur Vivy-Gesundheits-App

Mitte September 2018 startete Vivy GmbH das Angebot mit der Vivy-Gesundheits-App. Die Gesundheits-App Vivy soll Mitgliedern mehrerer deutscher Krankenkassen die Verwaltung ihrer Gesundheitsdaten über dieses Portal zu ermöglichen.

Gesundheits-App Vivy
(Zum Vergrößern auf das Bild klicken)

Dazu können Mitglieder der teilnehmenden Versicherer (Private Krankenversicherungen und einige Krankenkassen zahlen das) eine App für Android oder iOS herunterladen und sich am Portal anmelden.

Vivy ist eine offene Plattform für Versicherungen. Beim Start nahmen folgende Versicherungen an Vivy Teil: Allianz, Barmenia, DAK-Gesundheit, IKK classic, IKK Nord, IKK Südwest sowie BKK Bertelsmann, BKK Diakonie, BKK Dürkopp Adler, BKK Gildemeister, Heimat Krankenkasse, HMR (Herford, Minden, Ravensberg), BKK Melitta Plus, mhplus, BKK Pronova, BKK Stadt Augsburg.

Der Anbieter warb damit, dass die App Nutzer dabei unterstützt, medizinischen Daten zu bekommen, zu verstehen und zu nutzen. Mit der App hat der Nutzer diese Daten immer dabei – ob beim Umzug, auf Reisen oder beim Arztwechsel. In der App-Beschreibung wirbt der Anbieter mit besonderer Sicherheit:

Vivy wurde mehrfach geprüft (z.B. TÜV) und als absolut sicher ausgezeichnet. Eine Ende-zu-Ende Verschlüsselung sorgt für einen sicheren, anonymen Datenaustausch. Höchste Anforderungen der schon hohen Datenschutzverordnung werden von Vivy erfüllt.

Bei diesem Versprechen klingelten bei mir alle Alarmglocken, so dass ich mit Recherche anfing. Ein Blick in die Datenschutzerklärung bestätigte die Vorbehalte und der Kopf hinter dem Projekt, der Gründer Christian Rebernik, war mir bereits im Zusammenhang mit der N24-Banking-App aufgefallen (dort gab es erinnerungsmäßig Sicherheitsmängel).

Ich hatte seinerzeit den Blog-Beitrag Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy mit vielen Details und noch mehr Fragezeichen veröffentlicht. Unter anderem wies Mike Kuketz, der sich beruflich mit Sicherheitsthemen befasst, nach, dass die Vivy-App bereits ohne größere interne Analysen als 'Datenschutz Bruchlandung' anzusehen sei. Tracker, die Daten zu allen möglichen Anbietern übertragen, obskure Klauseln in der Nutzer- und Datenschutzerklärungen etc. Auch die Verwendung einer so unsicheren Basis wie Android zur Verwaltung persönlicher Gesundheitsdaten erschien mir nicht so geboten. Meine Folgerung war 'Finger weg von diesem Angebot' – was dann u.a. diesen Kommentar hervorbrachte.

Hersteller verspricht Nachbesserung und Zwischenstände

Der Aufschrei nach der Veröffentlichung der App führte dazu, dass die Vivy GmbH Nachbesserungen bei der Sicherheit der App ankündigte. Es sollten Tracker entfernt und Datenschutzbedingungen geändert werden – eigentlich eine positiv zu bewertende Reaktion. heise.de berichtete hier über dieses Vorhaben und Datenschützer kündigten eine Prüfung an.

Interessant fand ich diesen Kommentar, der darauf hinwies, das es nicht geht, dass die Nutzung einer Gesundheits-App die Zustimmung zu den Google-Geschäftsbedingungen erforderlich ist. Zudem wurde dort die Forderung erhoben, dass die App, da von gesetzlich Versicherten finanziert, Public Code werden soll. Weiterhin ging kurz nach Veröffentlichung meines Artikels der Hinweis ein, dass Mike Kuketz sich die App nach der Überarbeitung angesehen habe. In Kurz: Auch die neue App-Version beinhaltet Tracker und kontaktiert entsprechende Dienste (siehe). Das Android als Basis für eine solche App sicherheitstechnisch eine denkbar ungünstige Plattform darstellt, sei hier nur als Fußnote erwähnt.

APK-Teardown – alles drin …

Ärzte liefen aus Datenschutzgründen Sturm gegen die App, da diese bei Herausgabe der Daten ggf. nach DSGVO verantwortlich sind. Zudem hat Kristian Köhntopp Mitte September 2018 auf Google+ diesen Kurzbeitrag gepostet. Er hat sich die Android App (APK-Datei) mit dem Analyse-Tool jadx angeschaut – ich habe mir das erspart. Zitat aus seinem Post (bevor es bei Google+ im Nirvana verschwindet):


Anzeige

Ich bin da nur kurz mit jadx drüber. WhatsApp, parallel dazu:

Es sind Firebase und Crashlytics drin, und Bouncycastle und Spongycastle, Und Steho und Instabug, Da ist alles doppelt und dreifach

Ich habe glaube ich drei unterschiedliche Implementierungen von Wait-Circle-Cursors gefunden.

Die können gar keine Aussagen machen, wo deren App was hin hochlädt oder ob die Daten sicher sind oder nicht, mit dem ganzen Debug Zeug da drin.

Ich habe es leider nicht geschafft, damals zeitnah einen Artikel zu neuen Erkenntnissen zu verfassen. Daher heute hier nachgereicht.

Neue Sicherheitsanalyse: Gravierende Schwachstellen

In den Kommentaren wurde es hier und bei Kristian Köhntopp auf Google+ heute bereits adressiert: Nachdem sich Sicherheitsforscher von modzero (ein 2011 in Zürich gegründetes schweizer-deutsches IT-Sicherheits-Unternehmen) die App mal vorgenommen haben, bleibt kein Stein auf dem anderen (Kurzinformation hier). Martin Tschirsich fand innerhalb kürzester Zeit gravierende Sicherheitslücken in der Vivy-App und den dazugehörigen Servern. Zitat:

Die kritischsten Punkte waren: Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz. Versicherte konnten durch die Informations-Lecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden.

Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln. Darüber hinaus fand modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden.

Nach dieser Analyse meldete modzero die Sicherheitslücken unverzüglich bei Vivy, um einen sogenannten "Coordinated Disclosure"-Prozess einzuleiten. In Abstimmung mit Vivy wurde nach initialem Kontakt am 21. September 2018 bis zum 30. Oktober 2018 Zeit eingeräumt, um die Sicherheitslücken zu beheben. Dann wollte modzero einen Sicherheitsbericht veröffentlichen. Kurz gefasst: Überall klaffen gravierende Sicherheitslücken und konzeptionelle Fehler. Die Sicherheit der App sowie der ganzen Lösung ist unterirdisch schlecht (was nach der obigen Historie zu befürchten war).

Heute (30. Oktober 2018) wurde, wie angekündigt, dieser Sicherheitsbericht (PDF) von modzero mit den Details veröffentlicht. Inzwischen berichten Golem und heise.de über diesen Fall, so dass (neben dem umfangreichen modzero-Sicherheitsbericht) für interessierte Leser genügend Lesestoff zu den Details verfügbar ist.

Der bittere Beigeschmack

Wenn Gesundheitsdaten zentral verarbeitet werden, muss Sicherheit und Datenschutz (zumindest in meinen Augen) eine zentrale Aufgabe sein. Laut der Vivy GmbH hat man die Sicherheit der App von verschiedenen Institutionen prüfen lassen. Zitat von der Vivy-Seite (gelöscht)

Vivy ist ein Medizinprodukt der Klasse 1 und in der öffentlichen Datenbank des Deutschen Instituts für Medizinische Dokumentation und Information (DIMDI) aufgeführt. Vivy erfüllt außerdem die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Sicherheitsmaßnahmen und verfügt Vivy über Zertifizierungen von unabhängigen externen Organisationen, wie z.B. TÜV und ePrivacy.

Vivy wurde von ePrivacy und dem TÜV Rheinland getestet und als sichere Plattform zertifiziert. Der TÜV Rheinland bescheinigt, dass Vivy dessen strenge Anforderungen hinsichtlich Integrität, Authentizität und Vertraulichkeit von sensiblen Daten erfüllt und Daten durch eine verschlüsselte Kommunikation gemäß dem Stand der Technik schützt. Die Wirksamkeit der Schutzmaßnahmen wird durch externe Auditoren regelmäßig überwacht.

Dass der TÜV-Rheinland bei solchen Mängeln ein Zertifikat ausstellt, wirft zumindest etliche Fragen auf. Und auch die anderen 'Zertifizierer' haben augenscheinlich versagt. Das hinterlässt einen sehr bitteren Beigeschmack. Wem kann man denn noch trauen, wenn diese 'Truststellen' mutmaßlich wertlose 'Persilscheine' ausstellen.

Inzwischen hat die Vivy GmbH diese Stellungnahme (PDF, 14 Seiten) veröffentlicht, in dem man auf die Analyse von modzero eingeht. Man will alle 'Schwachstellen' beseitigt haben. Zudem relativiert man die Analyse von modzero:

Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich. Die modzero GmbH hat potentielle Angriffsvektoren getestet, die real nie genutzt wurden. Die oben beschriebenen Vektoren wären nur unter sehr hohen Voraussetzungen (z.B. gleichzeitige Kompromittierung von Arzt-Rechner, Rootkit des Smartphones, Kompromittierte Server) möglich gewesen. All diese Voraussetzungen waren zu keinem Zeitpunkt real erfüllt.

Das Vivy zugrunde liegende Security by Design Konzept ist so strukturiert, dass wenn im laufenden Betrieb Sicherheitsprobleme auftreten, diese unmittelbar abgestellt werden. Schwachstellen wie sie in diesem Fall durch die modzero GmbH gefunden und dankenswerter Weise an Vivy gemeldet wurden, sind in modernen IT Systemen aufgrund verschiedenster, meist menschlicher Ursachen, wie Konfigurations-, oder Programmierfehlern in den verschiedenen Software- und Hardware-Stacks (Infrastruktur, Betriebssystem, Middleware oder Anwendung) niemals komplett auszuschließen. Daher ist es zeitgemäß, dass sie von einem umfassenden Sicherheitskonzept im Umgang mit kritischen Daten berücksichtigt werden. Einzelne Schwachstellen dürfen demnach nicht zu Kompromittierung des Gesamtsystems oder zum Verlust großer Datenmengen führen, sondern sollten wenn möglich umgehend erkannt und möglichst schnell behoben werden können. Das ist bei Vivy der Fall.

Das klingt alles gut, und ist aus Sicht des Unternehmens sogar nachvollziehbar. Dass dies noch im Brustton der Überzeugung vorgetragen wird, hinterlässt bei mir aber einen noch bittereren Nachgeschmack. Den die bisher zusammen getragenen Informationen ergeben ein fatales Bild. Die Sicherheitsüberprüfung hätte vor dem Start des Angebots erfolgen müssen. Für mich zeichnet sich folgendes ab 'jemand hat eine Idee, findet Geldgeber in Form von Versicherungsfunktionären und setzt überforderte Entwickler an die Umsetzung'. Das wäre dann scheitern mit Ansage.

Nun könnte man zur Tagesordnung übergehen, es passiert ja schließlich was – ob der nächste große Sicherheits-Bug bei Vivy in einigen Wochen aufgedeckt wird, man wird sehen. Aber der Fall hat noch eine andere Komponente. Bei netzpolitik.org hat man den Fall aus der Sicht 'was passiert weiter, was hat das für Folgen?' aufbereitet. Die beteiligten Versicherungen haben mindestens 13,5 Millionen Versicherte und die Vivy-App wurde seit dem Start über 100.000 Mal aus dem Google Play Store heruntergeladen. Das ist also schon ein 'großes Rad', was die Funktionäre der beteiligten Versicherer dort drehen. Und es gibt Pläne, dieses Rad noch größer zu machen. Zitat aus dem netzpolitik.org-Beitrag:

Die App soll Vorbild sein. Laut einem Gesetzesentwurf (pdf) von Gesundheitsminister Jens Spahn (CDU) sollen alle Krankenkassen bis 2021 eine elektronische Patientenakte bereitstellen, die im Gegensatz zu bisher auch ohne elektronische Gesundheitskarte genutzt werden kann.

Bei netzpolitik.org schreibt man, dass die Kassenärztliche Bundesvereinigung (die KBV ist eine Vertretung freiberuflicher Ärzte) sich dem Vorschlag aus dem Ministerium kürzlich angeschlossen habe. Die KBV ist andererseits aber auch Partner bei der Vivy-Plattform. Die Pläne zur elektronischen Patientenakte und die Partnerschaft der KBV mit Vivy bedeutet nicht zwangsläufig, dass die Vivy-App jetzt zentral zur Speicherung der elektronischen Patientenakte verwendet wird. Aber das Ganze nimmt Fahrt auf.

Interessant ist auch, was unser Gesundheitsminister Jens Spahn so denkt. Jens Spahn hat seine Vorstellungen als Gesundheitsminister in einem Interview der FAZ kund getan (hier der Pressetext des Interviews). Seine Vorstellung in Bezug auf die Bereitstellung von Gesundheitsdaten in Form einer elektronischen Patientenakte lauten:

Es muss cool werden, dabei zu sein, für Ärzte und Patienten, weil beide die Vorteile in der Versorgung erleben und von der besseren Behandlung profitieren.

Auf die Frage 'Sind Modellversuche einzelner Kassen, die eigene Patientenakten entwickeln, hilfreich oder kontraproduktiv?' der FAZ, positioniert Spahn sich folgendermaßen:

Wichtig ist, dass diese Projekte vom ersten Tag an so konzipiert sind, dass sie ins Gesamtkunstwerk integriert werden können. Solange finde ich das gut. Ich würde mir sogar wünschen, dass wir mehr solcher Angebote haben, mehr Offensive.

Der Begriff Sicherheit kommt in diesem Interview genau zwei Mal vor. Einmal bei der Frage, dass der Ärztetag die Hürden für die telemedizinische Behandlung einreißen will und Spahn dafür ist, 'dass solche Angebote auch bei uns mit deutschen Standards für Sicherheit und Datenschutz entwickelt werden' – was in Ordnung ist. Der zweite Treffer ergibt sich bei der Anerkennung ausländischer Ärzte. In Verbindung mit der elektronischen Patientenakte und dem Schutz der Gesundheitsdaten findet sich der Begriff nicht. Fairerweise muss auch gesagt werden, dass es sich nur um ein Interview mit einem breiten Themenspektrum handelt.

Warum werde ich das Gefühl aber nicht los, dass Sicherheit und Datenschutz keine Rolle spielen oder eher als hinderlich gesehen werden. Ich hätte mich nach meinem ersten Artikel zur Vivy-App ja heute gerne hin gestellt und verkündet 'Sorry Leute, ich habe mich geirrt, die Entwickler haben nachgebessert, alles ist ok'. Leider sind meine Befürchtungen erneut bestätigt worden. Das Ganze nimmt jetzt Fahrt auf, und die Richtung der Entwicklung in Sachen elektronische Patientenakte lässt wenig gutes erahnen. Oder wie seht ihr das so?

Ähnliche Artikel:
Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy
Singapurs größter Gesundheitskonzern gehackt
Gesundheitswesen besonders anfällig für Hacker-Angriffe
Gesundheitsdaten ziehen Kriminelle besonders an
Datenleck: Old-School-'Hack' für Gesundheitskarte
Heartbleed-Lücke zum Klau der Gesundheitsdaten genutzt
Hacker infizieren Medizintechnik (CT, Röngen etc.)
Die Apple Watch 4, die EKG-Funktion und die FDA-Freigabe


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Nächstes Sicherheitsdesaster bei Vivy-Gesundheits-App

  1. Eina sagt:

    aus der Stellungnahme der Vivy GmbH:
    "Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich. Die modzero GmbH hat potentielle Angriffsvektoren getestet, die real nie genutzt wurden".
    – ohne Worte

    "Schwachstellen […] sind in modernen IT Systemen aufgrund verschiedenster, meist menschlicher Ursachen, wie Konfigurations-, oder Programmierfehlern in den verschiedenen Software- und Hardware-Stacks (Infrastruktur, Betriebssystem, Middleware oder Anwendung) niemals komplett auszuschließen*. Daher ist es zeitgemäß, dass sie von einem umfassenden Sicherheitskonzept im Umgang mit kritischen Daten berücksichtigt werden. "
    *s. a. GAU
    Dies!

    "Einzelne Schwachstellen dürfen demnach nicht zu Kompromittierung des Gesamtsystems oder zum Verlust großer Datenmengen führen,[…]

    – klingt nach Risikotechnologie.

  2. Martin Feuerstein sagt:

    Warum kann der Arzt die Daten nicht der (zum Zeitpunkt zuständigen) Krankenkasse zur Verwaltung/Weitergabe oder direkt dem Patienten zur Verfügung stellen (z. B. den aktuellen Stand auf CD brennen oder per Bluetooth auf ein Endgerät des Patienten übertragen)? Wozu dabei eine Wolke gebraucht wird, bleibt wohl ein Rätsel.

  3. RUTZ-AhA sagt:

    Das Vertrauensverhältnis zwischen behandelnden Ärzten und Patienten schließen die Einbindung der Krankenkassen grundsätzlich aus. Das hätten die Krankenkassen gerne, damit sie sich in die Behandlung einmischen können. Aber genau das ist gesetzlich verboten.

    Und auf einem Smartphone haben solch hoch sensible Daten überhaupt nichts zu suchen. Was passiert, wenn es durch Fremde repariert werden muss, unter unglücklichen Umständen verloren geht oder gestohlen wird?

    Jens Spahn soll sich als Löwendompteur beweisen, wenn er etwas falsch macht, ist der Ar… weg.

    • Ralf Lindemann sagt:

      Das Vertrauensverhältnis Arzt / Patient und (daran gebunden) die ärztliche Schweigepflicht sind ein interessanter & wichtiger Aspekt in diesem Zusammenhang. Wie man das (verfassungs)rechtlich lösen will, ist mir nicht klar. Das ist auch ein Punkt, neben technischen Aspekten, an dem die Einführung der Gesundheitskarte meines Wissens bislang gescheitert ist.

      Und was das Smartphone und die Speicherung der Daten betrifft: So wie ich es verstehe, werden die Daten nicht (lokal) auf dem Smartphone oder einem anderen Gerät gespeichert, sondern zentral auf Servern in einem Rechenzentrum (aka Cloud). Zugriff auf die Daten bekommt man dann über das Internet mit der GesundheitsApp, die auf dem Smartphone installiert ist. Wer also glaubt: Smartphone in den Tresor legen und die Daten sind sicher, oder: einmal mit dem Hammer aufs Smartphone hauen und die Daten sind endgültig vernichtet, sieht sich getäuscht: Die Daten sind trotzdem noch da und jederzeit verfügbar, weil sie in der Cloud gespeichert sind. Das ist sozusagen der Kern des Problems: Sind die Gesundheitsdaten einmal in der Cloud gespeichert, hat der Patient faktisch für immer die Kontrolle über die (physische) Speicherung seiner persönlichen Gesundheitsdaten verloren. Das liegt dann in den Händen des Cloudbetreibers. Ich finde, das ist eine erschreckende Entwicklung. Gesundheitsdaten gehören nicht die Cloud.

  4. Andreas B. sagt:

    Also Herr Born, wenn Sie Äußerungen des allround-kompetenten Gesundheitsministers (und Bundeskanzleraspiranten?) zu Sicherheitsfragen suchen, dann sind Sie in seinem engeren Ressort natürlich ganz falsch. Bestimmt gibt es von ihm Äußerungen zu Sicherheitsthemen über Trittleitern in der Küche, über Abschiebeknast und präventiven Sicherheitsgewahrsam für meinungsauffällige Bürger zuhauf.
    Gesundheit ist ein Ressort, das kann seit Jahrzehnten jeder so nebenher. (Außer man erinnert sich noch an AIDS-Plasma, Bundesgesundheitsamts-Skandal, IQWiG-Personalien, Arzneimittelüberwachung, Krankenhausinfektionen, multiresistente Keime und noch paar Kleinigkeiten.)

  5. Ralf Lindemann sagt:

    Heute ist ein interessanter Artikel zur zentralen elektronischen Patientendatei bzw. Patientenakte bei Telepolis erscheinen. Absolut lesenswert. Zwei Zitate:

    „Auch Silke Lüder [stellvertretende Bundesvorsitzende der Freien Ärzteschaft e.V.] verweist auf die "bedrohlichen Hackerangriffe in den vergangenen Jahren in verschiedenen Ländern auf Gesundheitsdaten (z. B. in Großbritannien, Norwegen)" und bezeichnet das Vorhaben der Zentraldatei deshalb als "verantwortungslos.""

    Lüder führt weiter aus:

    „Aus Sicht der Ärzte gefährdet eine Totalvernetzung im Gesundheitswesen die Sicherheit der Patienten und ihrer Daten. Die Ärzte werden die ärztliche Schweigepflicht weiter verteidigen und die Daten ihrer Patienten schützen. Viele Praxisinhaber haben bereits erklärt, sich nicht an die TI [**] anzuschließen und den angedrohten Honorarabzug von 1 Prozent in Kauf zu nehmen, damit ihre Patientendaten nicht in diese Überwachungsstruktur einfließen. Auch die jüngsten Entwicklungen und Ideen von Krankenkassen, IT- und Versicherungskonzernen, den Versicherten Apps für ihre Gesundheitsdaten zur Verfügung zu stellen (z. B. Vivy), lassen vermuten, dass die Versicherten künftig noch stärker gesteuert werden sollen." [*]

    Positiv: 80 Prozent der Ärzte und 90 Prozent der Psychotherapeuten verweigern bislang den Anschluss an die Telematik-Infrastruktur.
    _____________
    * Quelle: https://www.heise.de/tp/features/Wer-braucht-die-zentrale-Patientendatei-4223472.html
    ** TI = Telematik-Infrastruktur zur Vernetzung von Gesundheitsdaten

Schreibe einen Kommentar zu RUTZ-AhA Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.