Reaktionen der Anbieter

Im Vorfeld dieser Berichterstattung zu Sicherheitslücken in E-Health-Anwendungen hat Medical Tribune die entsprechenden Anbieter auf die im Text erwähnten Sicherheitsmängel angesprochen. Gefragt haben wir: Wurde Ihr Unternehmen vor der Veröffentlichung dieser Sicherheitslücken (35C33, Vortrag von Martin Tschirsich vom 27.12.2018) informiert? Und: Bestätigen Sie die Mängel und konnten die Sicherheitslücken in der Zwischenzeit geschlossen werden? Im Folgenden Auszüge aus den Antwortschreiben der Anbieter in der Reihenfolge, wie sie im Text erscheinen:

Vivy, Gesundheits-App

(…) In Bezug auf den von Ihnen angesprochenen 35C3 ist es so, dass alle im Rahmen des Vortrags gezeigten Szenarios zum Zeitpunkt des Vortrags selbst schon seit längerem nicht mehr durchführbar waren. Wir wurden grundsätzlich, wie von uns im Oktober mitgeteilt, im September von Modzero über deren Erkenntnisse informiert. Dazu gab es hier detaillierte Informationen: https://www.vivy.com/modzero-bericht. Daten von Nutzern sind zu keinem Zeitpunkt abgeflossen. Kein Vivy Nutzer ist zu Schaden gekommen. (…)

Generell beziehen wir die User in die Entwicklung der Vivy App stetig mit ein, da wir diese von der Perspektive des Patienten heraus entwickeln. Ähnlich gehen wir auch mit IT-Sicherheitsexperten um: So haben wir beispielsweise ein Bug-Bounty-Programm aufgesetzt, bei dem externe IT-Experten von uns dafür belohnt werden, wenn sie uns Hinweise auf mögliche Angriffsvektoren geben. Zudem haben wir Vivy kürzlich verschiedenen Penetrations-Tests unterzogen und erläutern im Sinne der Transparenz das Sicherheitskonzept von Vivy in einem von uns veröffentlichten White Paper zur Sicherheitsarchitektur. Dies finden Sie auch auf der oben genannten Seite.

Wir sind offen für produktive Kritik und suchen den Dialog. Wir denken, dass man den Menschen in Deutschland die Potenziale der Digitalisierung für ihre persönliche Gesundheit nicht vorenthalten sollte. Unserer Ansicht nach muss es darum gehen, diese an den höchsten Anforderungen ausgerichtet zu ermöglichen. Daran arbeiten wir jeden Tag.

Vitabook, Gesundheitskonto

Nein, wir sind nicht vorab über diese Sicherheitslücken informiert worden.

Nein, wir bestätigen auch keine Sicherheitslücken.

Welche SQL-Injections der Referent genau meint, hat er uns nicht mitgeteilt. Dies ist der einzige Aspekt, der zumindest theoretisch eine Sicherheitslücke sein könnte, wenn der Punkt denn zutreffen würde. Derart pauschal lässt sich darauf aber auch schwer reagieren. Wir überwachen selbstverständlich ständig unser gesamtes System, so dass solche relativ simplen Angriffsstellen überhaupt nicht da sind. Bei Hunderttausenden Zeilen Code hilft eine solche, pauschale Aussage leider nicht weiter. Wenn der Referent also konstruktive Kritik vorbringen möchte, dann möge er uns bitte ganz konkret kontaktieren und ganz konkret mitteilen, was er meint, gefunden zu haben.

Die Vorwürfe, die der Gründer der modzero AG (Herr Tschirsich) bei dem CCC-Vortrag darlegt, sind reichlich unspezifisch und allgemein. (…) Er hält uns eine nicht vorhandene „Ende-zu-Ende-Verschlüsselung“ vor. Da gibt es sehr unterschiedliche Definitionen, was damit gemeint ist. Weiterhin sind allgemein SQL-Injections vorgehalten worden. Hier überprüfen wir noch, was damit genau gemeint war. (…)

Die Kritik, die also in Sachen vitabook gelaufen ist, ist unsachlich, unspezifisch und in der Sache gar kein Aufreger – also ein Sturm im Wasserglas. Es wird immer wieder Kritiker geben, die nicht an die Neuzeit glauben, die Pferdezüchter hatten um 1900 auch sehr massiv gegen die Autoindustrie gewettert. Aufhalten lässt sich der Fortschritt nicht. Das Speichern und Austauschen von medizinischen Daten findet statt und natürlich kann man immer noch besser werden. Das passiert sowieso fortlaufend. Man kann Systeme aber auch so unkomfortabel, kompliziert machen, dass sie gar kein User nutzt – wie den digitalen Personalausweis. Es kommt auf die Ausgewogenheit an. Wir lassen uns hier nicht irre machen und werden auch nicht besonders reagieren. Das dürfen TK, DAK & Co. gerne tun, die tatsächliche Sicherheitslücken hatten.

Meinarztdirekt.de, „Online-Sprechzimmer“

Von der Veröffentlichung haben wir erst am 28.12.2018 durch eine Hinweis auf den Vortrag erfahren. Daraufhin wurde die genannte Sicherheitslücke noch am 29.12.2018 geschlossen und es wurden weitere sicherheitstechnische Code-Änderungen durchgeführt! Inhalte einer echten Arzt-Patienten-Kommunikation waren von diesem Zugang nicht betroffen und sind im Übrigen durch eine zusätzliche Verschlüsselung mit einem persönlichen und einmaligen Zugangscode sehr gut geschützt. Die auf dem 35C3-Kongress gezeigten Daten betrafen lediglich Testrechnungen innerhalb eines Testaccounts.

Teleclinic, Technologiepartner von docdirect, KV Baden-Württemberg

(…) wir stehen mit der Teleclinic in ständigem Kontakt zu diversen Themen. Die Teleclinic hat uns entsprechend informiert, nach ihren Angaben wurde die Lücke innerhalb von wenigen Stunden nach Bekanntwerden geschlossen. Wir werden es nie ausschließen können, dass es irgendwo eine Sicherheitslücke gibt. Die Teleclinic hat uns versichert, dass es zu keinem Zeitpunkt Zugriff auf Patientendaten gegeben hat.

TK-Safe

Mündliche Reaktion, schriftliche Stellungnahme wurde uns zugesichert.

CGM Life, Anwendungsplattform, CompuGroup Medical SE

Wurde Ihr Unternehmen vor der Veröffentlichung dieser Sicherheitslücken (27.12.2018) informiert? Ja, wir wurden im Vorfeld informiert. Wir haben daraufhin die gemeldeten möglichen Sicherheitslücken umgehend untersucht und geschlossen. Die ständige Steigerung von Sicherheit ist ein Grundbestandteil aller unserer Prozesse.

Bestätigen Sie die Mängel und konnten die Sicherheitslücken in der Zwischenzeit geschlossen werden? Ja, es gab Schwachstellen, die jedoch inzwischen alle behoben sind. Da zu "schwache" Passwörter das Ausnutzen der Sicherheitslücken erst ermöglicht haben, wurden zudem auch die Anforderungen an die von den Nutzern verwendeten Passwörter erhöht. Die Sicherheitslücken betrafen zudem nur einen Teil unserer Nutzer. Der nicht betroffene Teil unserer Nutzer arbeitet in den Anwendungen wie „Meine Gesundheit“ mit doppeltem Schutz über die sogenannte Zwei-Faktor-Authentifizierung. Dies wurde in dem Kongressbeitrag auch positiv erwähnt.

Weitere Informationen finden Sie im Beitrag „Berufs-Hacker deckt Sicherheitsmängel in E-Health-Anwendungen auf“.