Potenziell hätten rund 13,5 Millionen Kunden von dem Leck betroffen sein können. Fünf Tage nach dem Launch seiner Gesundheits-App hat das Berliner Startup Vivy Hinweise vom IT-Sicherheitsberater Modzero erhalten, wonach die App schwerwiegende Schwachstellen in der Datensicherheit habe.
Mitte September ging Vivy an den Start. Versicherte können darüber ihre Patientenakten speichern, Röntgenbilder ablegen oder den Impfausweis aktualisieren. Die Allianz ist mit 70 Prozent Mehrheitseigentümer des Healthtech-Unternehmens. Das Startup gibt an, die Daten und den Austausch mit Ärzten und Krankenkassen mit einer Ende-zu-Ende-Verschlüsselung zu sichern. Die hat direkt nach dem Start allerdings erhebliche Mängel, wie Zeit Online zuerst berichtete.
Die Berliner IT-Firma Modzero habe für den Check Testpersonen angelegt und mögliche Angriffsszenarien ausprobiert. Demnach habe Modzero sowohl die App als auch die Cloud-Plattform und die Browser-Anwendung für Ärzte hacken können. „Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln,“ heißt es in dem 35-seitigen Bericht, den Modzero Anfang Oktober verfasst hat.
Vivy: „keine realistischen Bedingungen“
„Wir haben nicht auf die Daten echter Patienten zugegriffen, sondern eigene Accounts registriert und eigene Dokumente eingestellt. Dann sind wir in die Rolle des Angreifers geschlüpft, um diese Daten wieder abzugreifen“, erklärt der Sicherheitsberater.
Drei Wochen später hat Vivy mit einem eigenen Bericht Stellung genommen. Demnach habe das Healthtech-Startup die Lücken behoben. Die Angriffe empfinden die Gründer Christian Rebernik und Rowanto Rowanto aber nicht als realistisch. „Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich“, so der App-Anbieter. Modzero habe lediglich einzelne Dokumente abfangen können, die zwischen Patient und Arzt ausgetauscht wurden. Obendrein sei dies nur möglich, wenn der Computer des Mediziners oder das Smartphone des Nutzer manipuliert worden sei, so Vivy.