Vivy-Sicherheitskonzept bewährt sich

Datensicherheit wird bei der Vivy GmbH großgeschrieben. Die komplexe Sicherheitsarchitektur des Unternehmens wurde nun im Rahmen einer externen Überprüfung bestätigt.

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen Daten von Nutzern ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet das Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen. 

Bei einer Untersuchung der Apps und Systeme hat die modzero GmbH mehrere hypothetische Angriffsvektoren aufgezeigt und Vivy in Form eines Vorberichts und eines ausführlichen Berichts zur Verfügung gestellt. Vivy hat die dort aufgeführten potentiellen Angriffsvektoren jeweils innerhalb von 24 Stunden gemäß standardisierter Incident- und Change-Prozesse behoben.

Zugriff auf Gesundheitsakte zu keinem Zeitpunkt möglich

Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich. Modzero hat in einer Testumgebung des Unternehmens mit vielen speziellen spezifischen Annahmen Angriffsmöglichkeiten simuliert. Der Großteil der - mittlerweile beseitigten - Vektoren hat gezeigt, dass sie entweder einen kompromittierten Computer des Arztes oder ein von den Nutzern selbst kompromittiertes Smartphone (umgangssprachlich auch jailbreaked oder rooted genannt) des Nutzers voraussetzen. Die generelle Ende-zu-Ende-Verschlüsselung der Gesundheitsakte wurde zu keinem Zeitpunkt durch die Modzero GmbH ausgehebelt.

Der Bericht dokumentiert lediglich eine punktuelle Kompromittierung der Verschlüsselung bei der Übertragung eines einzelnen Dokumentes vom Patienten an den Arzt, ausschließlich wenn mehrere spezifische Umstände gleichzeitig bestehen. Dies ist aufgrund unserer Gegenmaßnahmen nun nicht mehr möglich. Generell bestehen Vivy-Sicherheitsmaßnahmen, die derartige Brute Force-Attacken auch in der Vergangenheit unterbunden hätten. Diese wurden bei dieser Simulation nicht getestet. Selbst im Falle erfolgreicher Angriffe wären lediglich fragmentierte Datensätze einzelner Nutzer, nie jedoch größere Datenbestände einsehbar gewesen.

Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt, da im realen Betrieb der App viele Vivy-Sicherheitsmaßnahmen existieren, die nicht getestet wurden. Darüber hinaus nutzte die modzero GmbH ausschließlich für diesen Test angelegte Testnutzer. Vivy geht aktiv und transparent mit dem Thema um. Vivy hat auf seiner Homepage ein White Paper zum Thema Sicherheit und einen umfassenden Bericht zu den aufgeworfenen Punkten veröffentlicht. Außerdem fordert das Unternehmen in einem Bug Bounty-Programm IT-Experten weltweit auf, es auf mögliche Angriffsvektoren aufmerksam zu machen.