Vivy & Co.: „Unsere streng vertraulichen Gesundheitsdaten liegen für alle sichtbar im Netz“

22.01.2019
Kommentieren
Merken
Drucken
Anbieter elektronischer Gesundheitsakten in Deutschland
Quelle: Vortrag Martin Tschirsich
Anbieter elektronischer Gesundheitsakten in Deutschland

'All Your Gesundheitsakten Are Belong To Us' titelte der bis auf den letzten Platz besetzte, einstündige Vortrag des IT-Sicherheitsexperten Martin Tschirsich auf dem 35. Chaos Communication Congress (35C3) in Leipzig. Für 'markt intern' war unsere IT- und Media-Expertin Sabine Forschbach-Janßen dabei, als Tschirsich die Ergebnisse der Studie 'Schwachstellen in Gesundheits-App Vivy' vorstellte. Gemeinsam mit anderen Informatikern enthüllte er die mangelhafte Datensicherheit der elektronischen Gesundheitsakte Vivy, aber auch anderer bisher in Deutschland verfügbarer elektronischer Gesundheits- und/oder Patientenakten-Lösungen verschiedener Anbieter.

Die Entwicklung der cloudbasierten, elektronischen Gesundheitsakte Vivy (nicht zu verwechseln mit der elektronischen Patientenakte) wurde von 16 gesetzlichen und privaten Krankenkassen finanziert. Diese machen Vivy ihren Patienten seitdem schmackhaft – zum Start Mitte September 2018 wurde sie bereits deren rund 13,5 Millionen Versicherten angeboten. Die Mitglieder anderer Kassen konnten sich seither auf eine Warteliste setzen lassen – wird so Druck auf die (Noch-)Nicht-Sponsoren erzeugt?

Vivy wird via Smartphone-App oder über den Webbrowser vom Versicherten, aber auch von Ärzten, gepflegt und mit Dokumenten befüllt: Befunde, MRT-Bilder und Rezepte können hinterlegt und dem behandelnden Arzt via Webzugriff und PIN-Code zum Download zur Verfügung gestellt werden. Die Medikationsplan-Funktion erinnert an die Einnahme der Medikamente, weiterhin können Fitness- und Gesundheitsdaten erhoben und ausgewertet werden. Klingt eigentlich ganz bequem und praktisch ...

Doch bereits kurz nach der Veröffentlichung gab es die ersten Meldungen zu eklatanten Datenschutzmängeln, weil Vivy u. a. das Benutzerverhalten auswertete und die Daten an Server in den USA und Singapur weiterleitete. Daraufhin fühlte Martin Tschirsich der Anwendung auf den Zahn und teilte seine Ergebnisse verantwortungsvoll zunächst einzig und allein den Entwicklern von Vivy mit. Er wollte ihnen die Chance geben nachzubessern. Leider behoben diese – anders als erwartet – nur einen geringen Teil der Mängel. Deswegen machte Tschirsich seine Ergebnisse öffentlich:

Er deckte zunächst über 15 Fälle von hoher Kritikalität auf. Die Sicherheitsvorkehrungen vermochte er durch teilweise einfachste Methoden (z. B. Durchprobieren der 4-stelligen PIN-Nummer) zu umgehen und gelangte dann an sämtliche personenbezogenen Gesundheitsdaten, Befunde und Diagnosen der Nutzer. Auch nach einer zwischenzeitlich erfolgten Nachbesserung der Vivy-Entwickler konnte das Team um Tschirsich weiterhin prekäre Schwachstellen aufdecken. Sie waren in der Lage, auch den Arzt anzugreifen. So sammelten sie alle für den Arzt verfügbaren Dokumente der Vivy-Nutzer ein. Des weiteren beschrieb Tschirsich die ebenso massiven Sicherheitslücken der anderen Anbieter von elektronischen Gesundheitsakten in Deutschland – und mit welch simplen Angriffen er diese demaskieren konnte. Diese Anbieter können es also auch nicht besser, allen Datenschutz-Gutachten, Gütesiegeln und TÜV-Zertifikaten zum Trotz.

Alle Schwachstellen und Angriffsszenarien hier zu erläutern, würde den Rahmen dieser Ausgabe sprengen. Die Aufzeichnung des Vortrags von Martin Tschirsich finden Interessierte unter https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us. Der Link zur o. g. Studie lautet: www.modzero.ch/static/vivy-app-security-final.pdf.

Erste elektronische Gesundheitsakten sowie verschiedene Implementierungen dazu gibt es bereits seit 2004. Deren Nutzung war für Versicherte und Ärzte jedoch rein optional. Man könnte vor dem Hintergrund der hier beschriebenen Enthüllungen ketzerisch behaupten, die Daten der Vivy-User werden derzeit dankbar als Testballon und die Nutzer selbst als Beta-Tester für die Zukunftsvision von Bundesge­sundheitsminister Jens Spahn missbraucht:

Einführung der elektronischen Patientenakte ab 2019
Quelle: Vortrag Martin Tschirsich
Einführung der elektronischen Patientenakte ab 2019

Mit Nachdruck und in Eile sorgt er im Rahmen des 'E-Health-Gesetz' dafür, bis spätestens 2021 die elektronische Patientenakte zwingend und flächendeckend einzuführen. Auch diese wird, wie bereits die elektronische Gesundheitsakte, auf der Telematik-Infrastruktur aufsetzen. Zu beachten ist hier das Wortspiel: Für eine elektronische Gesundheitsakte gibt es keine bindenden Standards. Die elektronische Patientenakte hingegen wird derzeit offiziell von der Gematik konzipiert. Das Konzept erschien kurz vor Weihnachten. Gemäß der rosaroten Datenschutz-Brille von Jens Spahn soll all das bequem via Smartphone und Tablet bedient werden können, was derzeit die größte Datensicherheits-Schwachstelle darstellt. Das Konzept für die Anbindung via Smartphone und Tablet soll ebenfalls die Gematik nachschießen.

Spätestens 2021 sollen also Versicherte, Ärzte, Krankenhäuser und Apotheker in der Pflicht stehen, diese Technik einzusetzen Spahns Wunsch „So sicher wie beim Online-Banking“ hat jedoch einen gewaltigen Pferdefuß: Selbst wenn die Sicherheitskriterien für elektronische Gesundheits-/Patientenakten eines Tages denen des Online-Bankings entsprächen, es gibt derzeit einfach keine langfristig sicheren Datenspeicher Bankdaten interessieren in 20 Jahren niemanden mehr, Gesundheitsdaten jedoch schon; entsprechende Szenarien kann sich jeder ausmalen Patientendaten sind für jeden Apotheker ein hohes, schützenswertes Gut – die gehören nicht in die Datenbanken von Start-ups, auch nicht mit einem Persilschein gesetzlicher Krankenkassen!

RA Christoph Bach
Chefredakteur
Schlagwörter:
,
Kontakt
Zur Redaktion
Ausgaben und Beilagen
Neue Ausgaben und Beilagen als PDF oder direkt im Browser lesen:
Alle Ausgaben und Beilagen
Beliebte Schlagwörter miDirekt

miDIREKT Login

Dieser Inhalt ist nur mit einem entsprechenden miAbo zugänglich. Falls Sie über ein miAbo verfügen, können Sie sich hier einloggen.

Abbrechen
Wir haben Ihnen einen Link zur Erstellung eines neuen Passwortes geschickt. Bitte überprüfen Sie Ihren Posteingang.

Sie benötigen Unterstützung? - Hier geht´s zum Hilfebereich.
Wenn Sie sich über unsere Abo-Angebote informieren möchten, klicken Sie hier:
Liebe Leserinnen und Leser,
in unserem monatlichen Newsletter erhalten Sie regelmäßig einen Überblick über die wichtigsten Nachrichten, Standpunkte, Experten-Tipps, Ratgeber sowie aktuelle Verlagsaktionen, die Sie im täglichen Geschäft gewinnsteigernd einsetzen können.
Abonnieren Sie jetzt den kostenlosen markt intern-Newsletter






* Pflichtfelder

Artikel teilen

Bitte wählen Sie eine Plattform, auf der Sie den Artikel teilen möchten:

Merkliste
Sie sind noch nicht angemeldet.
Bitte melden Sie sich als User an, dann können wir Ihre Merkliste erweitern.

Abbrechen

Legende
  • frei zugängliche, gekaufte oder jene Artikel, die in Ihren Abonnements enthalten sind.
  • Artikel, die Sie mit Ihrem erworbenen Pass-Kontingent
    (Tagespass oder 5 Artikel PLUS Pass) freischalten können.
  • gesperrte Artikel, die Sie durch den Kauf eines Passes
    (Tagespass oder 5 Artikel PLUS Pass) oder Abonnements freischalten können.

Bitte beachten Sie, dass der Tagespass nur Artikel beinhaltet, die nicht älter als 7 Tage sind. Details entnehmen Sie bitte unserer Abo-Übersicht. Alle Ihre gekauften Produkte finden Sie nach Login unter MEIN MI rechts oben im Hauptmenü.