Gesundheits-App Vivy fällt bei IT-Sicherheitsforscher durch

Der IT-Sicherheitsforscher Mike Kuketz hat die neue Gesundheits-App Vivy, die in Zusammenarbeit von 14 Krankenkassen und 2 privaten Krankenversicherer entwickelt wurde (wir berichteten), unter die Lupe genommen. Sein Urteil ist vernichtend.

Mehr zum Thema

Infografik

Das erwarten Patienten von der Digitalisierung im Gesundheitssektor

Digitalisierung

Niedergelassene Ärzte halten nichts von Online-Sprechstunden

Kostenfreie App Vivy

GKV- und PKV-Anbieter bringen gemeinsame Gesundheits-App auf den Markt

Infografik

Das erwarten Patienten von der Digitalisierung im Gesundheitssektor

Digitalisierung

Niedergelassene Ärzte halten nichts von Online-Sprechstunden

Kostenfreie App Vivy

GKV- und PKV-Anbieter bringen gemeinsame Gesundheits-App auf den Markt

Die App, mit der etwa 13,5 Millionen Patienten Befunde, Röntgenbilder, Impf-Erinnerungen und mögliche Medikamenten-Wechselwirkungen stets im Blick haben und die sie mit Ärzten teilen können, offenbart Kuketz zufolge massive Sicherheitslücken.

„Schon gleich nach dem Start der App würden unterschiedliche Daten an mehrere Analysefirmen in den USA geschickt“, berichtet Spiegel Online auf Basis von Kuketz’ Beobachtungen. Dazu zählten Informationen über das Gerät, den Installationszeitpunkt der App und auch, ob WLAN verfügbar sei und welcher Mobilfunkanbieter genutzt werde.

Auch beim Anlegen des Kontos mit vollem Namen und Krankenversicherung würden Daten weitergeleitet, heißt es in dem Bericht. Und weiter: „Als der Tester gebeten wurde, seine Handynummer für eine sicherere Zwei-Faktor-Autorisierung einzugeben, wurde er darüber informiert, dass diese Funktion von einem Drittanbieter aus San Francisco bereitgestellt wird.“ Ein solcher Umgang mit Daten sei im Zusammenhang mit hochsensiblen Gesundheitsinformationen „inakzeptabel“, zitiert Spiegel Online aus dem Blogeintrag des IT-Experten.

Sein Fazit: „Eine App, die sensible Gesundheitsdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – bei Vivy kann ich das leider nicht erkennen.“

Vivy-Management verweist auf „ausschließlich technische Informationen“

Die Betreiber weisen die Kritik zurück. „Bei uns steht der Nutzer im Vordergrund“, teilte Vivy gegenüber Spiegel Online mit. „Damit seine Erfahrung so angenehm, reibungslos und vor allem zuverlässig wie möglich ist, benötigen wir bestimmte technische Informationen.“

Zugleich betonen die Betreiber, dass allein der Vivy-Nutzer Zugriff auf seine persönlichen Daten habe. In den Fällen, in denen mit Anbietern von Analysewerkzeugen zusammengearbeitet werde, gehe es „ausschließlich um technische Informationen“, die notwendig seien, um technische Fehler frühzeitig zu erkennen und fortlaufend die Funktionalität und Nutzererfahrung von Vivy zu verbessern, heißt es.