100.000 Versicherte haben eine neue Gesundheits-App heruntergeladen, um mit ihren Ärzten digital und sicher Dokumente auszutauschen. IT-Sicherheitsforscher sahen sich das Prestigeprojekt einiger Krankenkassen und der Allianz-Versicherung genauer an. Sie fanden eine große Anzahl an Lücken und Lecks, die teils auch Laien ausnutzen könnten. Auch die Verschlüsselung konnten sie umgehen.

Die App „Vivy“ ist ein Prestigeprojekt der Krankenkassen. 13,5 Millionen Versicherte erhalten durch die Software Zugang zu ihrer elektronischen Gesundheitsakte. Die App ist seit anderthalb Monaten verfügbar. Sie soll Modellfunktion haben: Bis 2021 sollen alle Versicherten digitalen Zugriff auf ihre Akte bekommen, sagt Gesundheitsminister Jens Spahn (CDU). Die Entwickler von „Vivy“ versprechen viel: Patienten können damit alte Röntgenaufnahmen digital an die neue Hausärztin senden, Rezepte speichern und Befunde anfordern. Alles digital, alles sicher.

Doch das System hat offenbar mit erheblichen Sicherheitslücken zu kämpfen. Die IT-Sicherheitsforscher Martin Tschirsich und Thorsten Schröder von der Schweizer Firma modzero haben sich das System, das bald Millionen von Menschen nutzen sollen, genauer angeschaut. Zuletzt deckten sie Schwachstellen in Wahlsoftware und IT-Systemen von Rathäusern auf. In einem gut 30-seitigen Bericht beschreiben sie nun eine lange Liste an Sicherheitslücken bei Vivy auf allen Ebenen: der App, der Cloud-Plattform und der Browser-Anwendung.

Große und kleine Schwachstellen

Die Sicherheitsexperten, die die Verantwortlichen bei Vivy mehrere Wochen vor der heutigen Veröffentlichung über ihre Befunde informierten, stellten Angriffe über das Internet nach. Dabei entdeckten sie mehrere kritische und viele kleinere Schwachstellen. Zu den Schweren gehören jene in der Plattform. Für die Datenübertragung zwischen Arzt und Patient öffnet die Plattform eine temporäre Sitzung und generiert eine öffentlich aufrufbare URL mit fünf Kleinbuchstaben am Ende, die sogenannte Sitzungs-ID.

Schon diese Information erlaubt, in weniger als 24 Stunden theoretisch alle Sitzungen über das Internet aufzurufen. Unter der URL können Ärzte Dokumente abrufen und müssen dafür bloß eine vierstellige PIN eingeben. Die Nummer konnten die Forscher leicht durch die Brute-Force-Methode erraten, bei der ein Passwort durch automatisiertes Ausprobieren geknackt wird. Möglich war dies, weil es keine Obergrenze für die Anzahl falscher PIN-Eingaben gab – eigentlich eine der simpelsten Maßnahmen der IT-Sicherheit.

War das Dokument schon abgerufen, konnten sie nach Erraten der PIN Metadaten über Patienten, Ärzte und Dokumente auslesen. Darunter Geburtsdatum, Namen, Adresse, Foto und die Versichertennummer der Patienten und Informationen zur Praxis. Dieser Angriff ließe sich ohne großen Aufwand auf viele Sitzungen gleichzeitig anwenden, um im großen Stil an sensible Informationen zu gelangen.

Martin Tschirsich sagte netzpolitik.org, dass „der Austausch von Gesundheitsdaten anhand der Metadaten in großem Maßstab nachvollzogen werden“ konnte. Die Kommunikationspartner ließen sich identifizieren. Metadaten sind nicht trivial: Allein die Aussage darüber, wer zu welchem Zeitpunkt welchen Arzt besucht, und welchen Titel ausgetauschte Dokumente tragen, kann Schlüsse zulassen.

Keine Spezialsoftware nötig

Für das massenhafte Auslesen der Metadaten brauchten die Sicherheitsexperten keine Spezialsoftware. Die Brute-Force-Methode gehört zum Standardwerk auch laienhafter Angreifer. Technisch versierte Angreifer hätten mehr als nur Metadaten abgreifen können.

„Gesundheitsdaten selber konnten in einem nachgestellten Angriff ebenfalls abgefangen werden, das Zeitfenster hierfür war allerdings deutlich kürzer“, sagt Tschirsich. Gesundheitsdaten heißt in dem Fall: Die medizinischen Dokumente selbst, etwa gescannte Röntgenbilder, Medikationspläne oder Laborergebnisse.

Sie müssen abgerufen werden, bevor es der Arzt tut. Allerdings werden bei Öffnung der Sitzung die Sitzungs-URLs an mehrere Unternehmen in Kalifornien und Singapur weitergeleitet. So haben die Firmen permanenten Überblick darüber, welche Sitzungen gerade geöffnet sind. Wer diese Informationen besitzt, kann leicht versuchen, die PIN zu erraten. Bei vier Stellen gelang das mit technischer Hilfe zum Teil in wenigen Minuten.

Das betroffene Unternehmen attestiert sich trotzdem „Sicherheit auf höchstem Niveau“. In einer Stellungnahme (pdf) schreibt Vivy, dass die Sicherheitslücken in der Zwischenzeit geschlossen seien. Auch sei „hervorzuheben, dass zu keinem Zeitpunkt ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern stattgefunden“ habe.

Für die Kassen steht viel auf dem Spiel

Bei der App steht für die Eigentümer einiges auf dem Spiel. Sie gilt als Pilotprojekt für die Digitalisierung des Gesundheitswesens. Das Berliner Start-up Vivy gehört neben mehreren gesetzlichen Kassen zu 70 Prozent der größten privaten Versicherung in Deutschland, der Allianz. Für Versicherte ist die App, die ihnen Zugriff auf die Versendeplattform gibt, kostenlos. Die Kassen rechnen sie als Leistung ab.

Zusammen kommen die Partnerkassen von Vivy auf mindestens 13,5 Millionen Versicherte in Deutschland. Allein im Google App-Store wurde die App seit dem Start mehr als 100.000 mal heruntergeladen. Der Chefentwickler Christian Rebernik freute sich zuletzt darüber, dass seine Software es an die Spitze der deutschen Android-App-Charts schaffte.

Die App soll Vorbild sein. Laut einem Gesetzesentwurf (pdf) von Gesundheitsminister Jens Spahn (CDU) sollen alle Krankenkassen bis 2021 eine elektronische Patientenakte bereitstellen, die im Gegensatz zu bisher auch ohne elektronische Gesundheitskarte genutzt werden kann. Die Kassenärztliche Bundesvereinigung, eine Vertretung freiberuflicher Ärzte, hat sich dem Vorschlag aus dem Ministerium kürzlich angeschlossen (pdf). Sie ist auch Partner bei der Vivy-Plattform.

In einem Interview befürwortete Jens Spahn den Trend hin zu auch privat finanzierten elektronischen Akten wie Vivy: „Ich würde mir sogar wünschen, dass wir mehr solcher Angebote haben, mehr Offensive.“ In Bezug auf die Digitalisierung des Gesundheitswesens sagte er:

Es muss cool werden, dabei zu sein, für Ärzte und Patienten, weil beide die Vorteile in der Versorgung erleben und von der besseren Behandlung profitieren. Wenn das eine kritische Größe überschreitet, muss man niemanden zwingen, die digitale Infrastruktur im Gesundheitswesen zu nutzen.

Die Gesundheitsverbände wollen nun Regeln definieren, die auch für Vivy gelten werden. Die Firma gematik, die von Ärzte- und Kassenverbänden als Entwicklerin und Betreiberin der Gesundheitskarteninfrastruktur gegründet wurde, wird die Federführung übernehmen und bis Ende des Jahres Schnittstellen und Standards vorgeben.

Vivy versprach Sicherheit

Auf Schritte der Behörden wollten Entwickler und Krankenkassen nicht warten. Was den Schutz intimer Informationen betrifft, zeigten sich die Verantwortlichen zum Start von Vivy zudem selbstbewusst: Dokumente würden auf dem Smartphone so verschlüsselt, dass nur die Patienten selbst entscheiden können, wer ihre Daten sehen darf.

Die Betreiber sagen, dass Vivy die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegte Sicherheitsvorgaben erfüllt. Auf der Website gibt es Zertifikate vom TÜV Rheinland und der ePrivacy GmbH. In einem Video erklärt der CEO der ePrivacy GmBH, dass sie nicht nur die App, sondern auch die Cloud-Plattform dahinter sowie die Browser-App für den Einsatz in den Arztpraxen untersucht und für sicher befunden haben.

Befundbesprechung im Wartezimmer

Mit anderen Worten: Vivy verspricht, dass der Datenaustausch ebenso privat ist wie eine ärztliche Behandlung hinter verschlossener Tür. Also so sicher wie die Trennung zwischen Wartezimmer und Behandlungsraum in einer Praxis. Das ist aber angesichts der aufgezeigten Sicherheitslücken zweifelhaft. Man könnte vielmehr sagen, Nutzer sollten nicht von mehr Privatsphäre als im Wartezimmer oder der Straße von der Praxis ausgehen.

Bereits eine Kurzuntersuchung der App vom 18. September ergab, dass unnötig Trackingdaten über die Nutzung des Programms ins Ausland gesendet werden. Gegenüber der Ärztezeitung antwortete Vivy, dass Tracking für Nutzererfahrung und Verbesserung der App notwendig sei. Die Antwort auf einen ähnlichen Artikel bei Spiegel Online war, dass das sensible Gesundheitsdaten nicht betreffe. Sie würden verschlüsselt und auf deutschen Servern gesichert.

Ende-zu-Ende-Verschlüsselung ausgehebelt

Beteiligte beteuern die Sicherheit Vivys. Ein Gelöbnis in diese Richtung sprach etwa Daniel Bahr, Gesundheitsminister der FDP von 2011 bis 2013 und nun Vorstandsmitglied der Allianz Ende September bei einem großen Gesundheitskongress in München:

Wir gehen den Weg der Ende-zu-Ende-Verschlüsselung. Das heißt, der Schlüssel liegt auf dem Smartphone, das Smartphone selbst ist der Schlüssel zu den Daten. Die werden auf Servern in Frankfurt gespeichert. Aber selbst wenn jemand diese Server in Frankfurt knackt und dort sich die Daten anschauen will, kann er mit den Daten nichts anfangen, weil sie eben entschlüsselt werden müssen durch das Smartphone.

Mit etwas Aufwand umgingen Schröder und Tschirsich allerdings die Ende-zu-Ende-Verschlüsselung. Sie basiert darauf, dass jede Partei ein Paar mit einem privaten und öffentlich Schlüssel besitzt. Nachrichten an andere Personen werden mit deren öffentlichen Schlüsseln verschlüsselt und können nur mit dem privaten Schlüssel wieder lesbar gemacht werden. Wichtig ist daher zu wissen, dass ein öffentlicher Schlüssel auch tatsächlich der Person gehört, mit der man kommuniziert.

Will man einem anderen Nutzer ein Dokument schicken, bekommt man den auf der Vivy-Plattform hinterlegten öffentlichen Schlüssel geschickt. Allerdings kann man als Nutzer nicht feststellen, dass es sich auch tatsächlich um den richtigen Schüssel handelt. Es gibt kein Register, dass festhält, wem welcher öffentlicher Schlüssel gehört. Dadurch könnten Angreifer, die einen Weg auf die Server der Plattform gefunden haben, sich zwischen die Kommunikation schalten, etwa indem sie ihre eigenen öffentlichen Schlüssel einschleusen und die Inhalte mitschneiden. Martin Tschirsich erläutert:

Vivy ist eine Plattform und für den Austausch von Daten geschaffen. Immer dann, wenn nicht beide Enden der Ende-zu-Ende-Verschlüsselung beim Versicherten liegen, sondern Daten beispielsweise mit einem Arzt ausgetauscht werden, bestand Gefahr.

Auch waren die privaten Schlüssel auf dem Smartphone nicht gut gesichert. Vivy empfiehlt, sie zu exportieren und zu speichern und bietet dafür vier Apps, über die die vertraulichen Schlüssel im Klartext exportiert werden: WhatsApp, Gmail, Threema und Skype. Zu der Lücke antwortet Vivy (pdf), dass es in der Verantwortung der Nutzerinnen läge, den Schlüssel sicher zu exportieren. Gleichzeitig arbeite man jedoch an einer „Lösung, die es erlaubt, den privaten Schlüssel passwortgeschützt aus der App zu exportieren“. Ärzte könnten sich zudem registrieren, um sicherzustellen, dass in Zukunft keine falschen öffentlichen Schlüssel verwendet würden.

Thorsten Schröder kommentiert:

Durch trivial ausnutzbare Sicherheitslücken konnten wir private RSA-Schlüssel von den Endgeräten stehlen. Diese können selbstverständlich zum Entschlüsseln von Daten verwendet werden. Eine Verkettung zahlreicher kleinerer Probleme der Vivy-Plattform führte letztlich dazu, dass der Schutz einer Ende-zu-Ende-Verschlüsselung ausgehebelt werden konnte.

Die oben beschriebenen Mängel sind nur die Spitze des Eisberges. Eine Reihe an kleineren Sicherheitslücken in der App ermöglichten etwa, glaubhafte Phishing-Nachrichten an Patientinnen und Ärztinnen zu schicken. Martin Tschirsich bezeichnete das als eine weitere „Gefahr des großangelegten Diebstahls von Gesundheitsdaten“.

Mit Schadcode infizierte Dokumente, Bilder und Benutzernamen konnten über die Browser-App hochgeladen werden. Die Zwei-Faktor-Authentifizierung der App konnten die Sicherheitsforscher mit Brute-Force-Angriffen umgehen. Diese Lücken habe Vivy in der Zwischenzeit geschlossen, so die Stellungnahme des Unternehmens.

Offensive ohne Verteidigung

Zweifelsohne: Mit Smartphones eröffnen sich Möglichkeiten, die eine Verbesserung für Patienten bedeuten können. Gelungen ist bei der App Benutzeroberfläche und Bequemlichkeit. Ebenso der Versuch, ein breites Konsortium zusammenzubringen und damit Nutzerinnen zu locken. Doch die Erfolge treten zurück hinter die jetzt aufgedeckten Lecks und Lücken. Sie nähren den Zweifel daran, dass – und wenn ja, unter welchen konkreten Umständen – Smartphones als Zugriffsweg auf solch sensiblen Daten geeignet sind.

Die Sicherheitsprobleme im Backend sind auch Ausdruck einer vorherrschenden Mentalität in Punkto Innovation. Von Facebooks „Move fast and break things“ zum „Bedenken Second“ der FDP im letzten Bundestagswahlkampf – der Idealtyp von Marktradikalismus klingt so: Innovation muss alles dürfen sollen und wenig können müssen.

Der Fall zeigt auch, dass es nicht folgenlos ist, IT-Großprojekte unter enormen Zeitdruck und allein mit dem Augenmerk auf schnell wachsende Nutzerzahlen durchzupeitschen. Vivy wurde im Juni angekündigt. Im September ging die Plattform samt Sicherheitszertifikaten online. Der Wunsch, Erster zu sein, ist nun Schadensbegrenzung gewichen. Momentan ist bei Vivy eine Leitungsstelle im Bereich IT-Sicherheit zu besetzen.

Auch andere Krankenkassen wollen eigene elektronische Patientenakten entwickeln. Sie haben einen anderen Weg eingeschlagen. Die eAkte der Techniker Krankenkasse befindet sich seit Monaten in einem gekennzeichneten Testbetrieb. Die Barmer bereitet eine Ausschreibung vor, will aber noch die Vorgaben der gematik abwarten. In dem Spitzenverband werden bis Ende des Jahres die Regeln und technischen Standards ausgehandelt, an die sich bis 2021 alle Kassen anpassen müssen, wenn das Gesetz den Bundestag passiert. Hoffentlich mit dem Ergebnis, dass dort handfestere Sicherheitsanforderungen verlangt werden.