[datensicherheit.de, 31.12.2018] Nachdem es die letzten Wochen offenbar still um den Hacker-Angriff auf die Gesundheitsakten-App „Vivy“ geworden ist, wurde nach Angaben von Dr. Florian Scheuer, „CTO“ von DRACOON, das Thema auf dem „Chaos Communication Congress“ (35C3) in Leipzig noch einmal intensiv diskutiert. Anlass sei die detaillierte Beschreibung der Schwachstellen im Rahmen seines Vortrags durch ihren Entdecker, Martin Tschirsich, gewesen. Sehr deutlich geworden sei dabei erneut, welche grundlegenden Fehler bei der finanziell durchaus gut aufgestellten Entwicklung der App gemacht worden seien, „die nach eigener Aussage auf der Webseite den Anspruch hat ,Sicherheit auf höchstem Niveau‘ zu bieten“, kommentiert Dr. Scheuer.

Schwache Schutzmaßnahmen für kritische Patientendaten

Besonders problematisch falle auf, dass die lediglich schwachen Schutzmaßnahmen der kritischen Patientendaten durch einfaches Ausprobieren hätten ausgehebelt werden können.
Zudem sei es gelungen, Phishing-Angriffe in die App einzuschleusen und somit Zugangsdaten von Nutzern zu stehlen (ohne dass diese eine Chance hätten, dies festzustellen) sowie einen Weg aufzuzeigen, über den sensible kryptographische Schlüssel von Ärzten gestohlen werden könnten. Dr. Scheuer: „Gerade die letzte Schwachstelle ist bis heute nicht beseitigt.“

Schwache Sicherung der geheimen kryptographischen Schlüssel

Doch nicht nur bei „Vivy“ träten gravierende Sicherheits- und Datenschutzprobleme zutage: Tschirsich habe auch die Alternativen von großen und kleinen Anbietern analysiert und dabei ebenfalls eklatante Schwachstellen gefunden, die teilweise Zugriff auf sämtliche Daten des Systems ermöglichten.
Mit Abstand am besten schlage sich eine noch in der Beta-Phase befindliche App („TK Safe“); diese schütze die Gesundheitsdaten mit Hilfe einer clientseitigen Verschlüsselung. Bei ihr würden die Daten bereits in der App stark verschlüsselt und erst danach zum zentralen Service übertragen bzw. mit einem Empfänger (z.B. dem behandelnden Arzt) ausgetauscht. Dennoch seien auch dort „schwerwiegende Fehler bei der Sicherung der geheimen kryptographischen Schlüssel gemacht“ worden, berichtet Dr. Scheuer.

Clientseitige Verschlüsselung empfohlen

Die Probleme bei den Umsetzungen der digitalen Gesundheits- und Patientenakten zeigten sehr deutlich die Notwendigkeit, Sicherheitsgrundsätze von Anfang an bei der Entwicklung dieser kritischen Systeme zu berücksichtigen und tief in der Software-Architektur zu verankern – das nachträgliche Ergänzen von Sicherheitsmaßnahmen sei „oft sehr schwierig und fehleranfällig“.
Zudem könne einzig eine clientseitige Verschlüsselung wirklich verhindern, dass die gespeicherten Informationen bei einem Datenleck einem Angreifer in die Hände fallen, betont Dr. Scheuer.
Nach seinen Angaben ist DRACOON Anbieter einer Enterprise-Filesharing-Lösung zur Verwaltung sensibler Informationen mit einer Vielzahl an Sicherheitsmechanismen. Bereits heute werde diese Lösung im Healthcare-Bereich durch viele Kliniken „erfolgreich eingesetzt und schützt somit die sensiblen Informationen vieler Patienten in Deutschland“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2018
BSI-Lagebericht belegt weiterhin hohes Gefährdungspotential durch Ransomware

datensicherheit.de, 08.09.2018
Datensicherheit: Filesharing mit Virenschutz

datensicherheit.de, 20.06.2018
Filesharing: Schutz vor ungewolltem Datenzugriff