Gesundheits-App Vivy: Auf Sicherheits- folgt Kommunikationsdebakel

Au­weia! Zwar konnten wir bereits beobachten, wie die digitale Gesundheitsakte Vivy alles andere als elegant in den hiesigen Markt gestartet ist, die Erfahrungen, die der Netzpolitik-Autor Leon Kaiser jetzt zu Papier gebracht hat, lassen die anfänglichen Patzer der Mobil-Applikation jedoch geradezu naiv-unschuldig wirken.

Wir erinnern uns: Nach längerer Vorlaufzeit war Vivy am 17. September als erste digitale Gesundheitsakte für Versicherte von GKV und PKV in Deutschland gestartet. Vivy beschrieb sich zum App Store Debüt als elektronische Gesundheitsakte (eGA) mit persönlicher Assistentin und trat mit einem Kernversprechen an: Die App wollte Gesundheitsdaten bündeln.

@__ths__ you know my spirit. thankful for critics. #nolegalaction #proud on the @vivy_health team who build #solid & #secure base https://t.co/zkueWZyxKC and constantly improve to achieve our vision, which is to help people live a healthier life. https://t.co/HvDUSycLBC …

— Christian Rebernik (@crebernik7791) October 31, 2018

Unseren Artikel zum Launch mussten wir damals bereits einen Tag später um eine Korrektur ergänzen: Entgegen den Behauptungen der Vivy-Macher verfügte die App nämlich nicht über eine Zulassung des Bundesinstitut für Arzneimittel und Medizinprodukte, wie dieses gegenüber ifun.de mitteilte.

Weitere 72 Stunden Tage später rasselte Vivy dann mit Sicherheitsforschern zusammen, die schwere Security-Mängel der Applikation ausmachen konnten – ifun.de berichtete.

Doch damit nicht genug. Wie Leon Kaiser jetzt in zwei umfangreichen Artikeln darlegt, hat das Prestigeprojekt nicht nur weitere Security-Schwachstellen offenbart, die Macher der Gesundheits-App versuchen auch, die kritische Berichterstattung diesbezüglich zu korrigieren.

• Forscher fanden schwere Sicherheitslücken in Gesundheits-App Vivy
• Gesundheits-App Vivy: Macher versuchen, Berichterstattung zu korrigieren

100.000 Versicherte haben eine neue Gesundheits-App heruntergeladen, um mit ihren Ärzten digital und sicher Dokumente auszutauschen. IT-Sicherheitsforscher sahen sich das Prestigeprojekt einiger Krankenkassen und der Allianz-Versicherung genauer an. Sie fanden eine große Anzahl an Lücken und Lecks, die teils auch Laien ausnutzen könnten. Auch die Verschlüsselung konnten sie umgehen.

[…] Die Macher der App waren verständlicherweise nicht begeistert: Berichterstattung über handwerkliche Mängel in einer Software, die sensible Gesundheitsdaten betrifft, kann die Verantwortlichen nicht erfreuen. Sie schrieben schon kurze Zeit nach Erscheinen des Artikels an unsere Redaktion und warfen uns „unwahre Tatsachenbehauptungen und eine einseitige Darstellung“ vor. […]

Im Grunde ist der traurige Fall der Vivy-App ein Musterbeispiel dafür, wie Verantwortliche für Sicherheitslücken nicht mit IT-Vorfällen umgehen sollten. Wenn sich Profis daran machen, Sicherheitsprobleme in einem Produkt den Betroffenen zu melden, dann hätten die App-Macher in erster Linie die Verantwortung – schon gegenüber ihren Kunden – die Probleme abzustellen. Und gleichzeitig ernsthaft zu reflektieren, was man am eigenen Handeln strukturell ändern könnte, um künftig solche IT-Sicherheitsprobleme zu vermeiden. Die Fehler lieber bei den anderen zu suchen und zusätzlich den Berichterstattern unwahre Tatsachenbehauptungen vorzuwerfen, sollte vielleicht nicht die erste Prioritität sein, wenn man selbst für diese Fehler verantwortlich ist.