Die Akte Vivy: Nicht nur Datenschutz-Bruchlandung sondern auch Sicherheitsdesaster
Der Titel bei Netzpolitik.org lautet: Prestigeprojekt mit Macken: Forscher fanden schwere Sicherheitslücken in Gesundheits-App Vivy. Ich zitiere mal ein paar interessante Passagen.
Zugriff auf Gesundheits- und Patientendaten:
[…]
Für die Datenübertragung zwischen Arzt und Patient öffnet die Plattform eine temporäre Sitzung und generiert eine öffentlich aufrufbare URL mit fünf Kleinbuchstaben am Ende, die sogenannte Sitzungs-ID.
Schon diese Information erlaubt, in weniger als 24 Stunden theoretisch alle Sitzungen über das Internet aufzurufen. Unter der URL können Ärzte Dokumente abrufen und müssen dafür bloß eine vierstellige PIN eingeben. Die Nummer konnten die Forscher leicht durch die Brute-Force-Methode erraten, bei der ein Passwort durch automatisiertes Ausprobieren geknackt wird. Möglich war dies, weil es keine Obergrenze für die Anzahl falscher PIN-Eingaben gab – eigentlich eine der simpelsten Maßnahmen der IT-Sicherheit.
War das Dokument schon abgerufen, konnten sie nach Erraten der PIN Metadaten über Patienten, Ärzte und Dokumente auslesen. Darunter Geburtsdatum, Namen, Adresse, Foto und die Versichertennummer der Patienten und Informationen zur Praxis. Dieser Angriff ließe sich ohne großen Aufwand auf viele Sitzungen gleichzeitig anwenden, um im großen Stil an sensible Informationen zu gelangen.
[…]
Hier der Teil, der ebenfalls auf meine Kurzanalyse von Vivy hinweist:
[…]
Bereits eine Kurzuntersuchung der App vom 18. September ergab, dass unnötig Trackingdaten über die Nutzung des Programms ins Ausland gesendet werden. Gegenüber der Ärztezeitung antwortete Vivy, dass Tracking für Nutzererfahrung und Verbesserung der App notwendig sei. Die Antwort auf einen ähnlichen Artikel bei Spiegel Online war, dass das sensible Gesundheitsdaten nicht betreffe. Sie würden verschlüsselt und auf deutschen Servern gesichert.
Umgehung der Ende-zu-Ende-Verschlüsselung:
[…]
Mit etwas Aufwand umgingen Schröder und Tschirsich allerdings die Ende-zu-Ende-Verschlüsselung. Sie basiert darauf, dass jede Partei ein Paar mit einem privaten und öffentlich Schlüssel besitzt. Nachrichten an andere Personen werden mit deren öffentlichen Schlüsseln verschlüsselt und können nur mit dem privaten Schlüssel wieder lesbar gemacht werden. Wichtig ist daher zu wissen, dass ein öffentlicher Schlüssel auch tatsächlich der Person gehört, mit der man kommuniziert.
Will man einem anderen Nutzer ein Dokument schicken, bekommt man den auf der Vivy-Plattform hinterlegten öffentlichen Schlüssel geschickt. Allerdings kann man als Nutzer nicht feststellen, dass es sich auch tatsächlich um den richtigen Schüssel handelt. Es gibt kein Register, dass festhält, wem welcher öffentlicher Schlüssel gehört. Dadurch könnten Angreifer, die einen Weg auf die Server der Plattform gefunden haben, sich zwischen die Kommunikation schalten, etwa indem sie ihre eigenen öffentlichen Schlüssel einschleusen und die Inhalte mitschneiden.
[…]
Ich kann nur sagen: Vivy ist nicht nur eine Datenschutz-Bruchlandung, sondern ebenfalls ein Sicherheitsdesaster. Auszug aus den Vivy-Marketing-Plattitüden:
Sicherheit auf höchstem Niveau.
Es gibt kaum sensiblere Daten als die zur eigenen Gesundheit. Daher ist es für Vivy von höchster Priorität, medizinischen Daten vor jeglichem Zugriff unberechtigter Dritter zu schützen. Vivy stellt durch den Einsatz modernster Verschlüsselungstechnologie und die Erfüllung strengster Datenschutzbestimmungen sicher, dass nur der Nutzer Zugriff auf seine Daten hat.
Vivy ist ein Medizinprodukt der Klasse 1 und in der öffentlichen Datenbank des Deutschen Instituts für Medizinische Dokumentation und Information (DIMDI) aufgeführt. Vivy erfüllt außerdem die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Sicherheitsmaßnahmen und verfügt Vivy über Zertifizierungen von unabhängigen externen Organisationen, wie z.B. TÜV und ePrivacy.
Die Fragen die wir uns hier stellen sollten:
- TÜV Rheinland: Was war eigentlich die Aufgabe vom TÜV Rheinland? Ich kann jedenfalls nicht erkennen, dass der TÜV Rheinland über die Kompetenz verfügt, eine App bzw. die dahinterliegende IT-Infrastruktur ausreichend auf sicherheitsrelevante Kritieren zu prüfen. Was hier vermutlich gemacht wurde: Anhand einer Checkliste wird »geprüft«, ob die App bestimmte Kritieren auf dem Papier erfüllt – falls ja, wird das Siegel erteilt. Win-Win für beide Seiten.
- ePrivacy: Auch beim Unternehmen ePrivacy stellt sich die Frage, in welcher Art und Weise die Herrschaften hier beratend tätig gewesen sind. Das Ergebnis ihrer Arbeit war jedenfalls ebenfalls ein Siegel mit dem Titel »Trusted Privacy«.
- Medizinprodukt: Sind die Kritierien und Anforderungen für ein Medizinprodukt in Deutschland tatsächlich so »löchrig«, dass am Ende solche Produkte / Dienstleistungen zugelassen werden?
Mit solch einer dilettantischen Herangehensweise aller Verantwortlichen müssen wir uns nicht wundern, wenn die Digitalisierung des Gesundheitswesens mit Bleifuß an die Wand gefahren wird. Es ist einfach nicht zu fassen.
GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2
Gesundheits-App Vivy: Datenschutz-Bruchlandung
Gesundheits-App docdirekt: Weitere Datenschutz-Bruchlandung
Konfigurationsempfehlungen – Android unter Kontrolle Teil5