Digitale Gesundheitsakten
CCC: Eklatante Schwachstellen in digitalen Gesundheitsakten
Schwache Schutzmaßnahmen für kritische Patientendaten
Kommentar von Dr. Florian Scheuer, CTO Dracoon
Nachdem es die letzten Wochen still um den Hack der Gesundheitsakten-App Vivy geworden ist, wurde das Thema auf dem Chaos Communication Congress (35C3) in Leipzig noch einmal intensiv diskutiert. Anlass war die detaillierte Beschreibung der Schwachstellen im Rahmen eines Vortrags durch ihren Entdecker, Martin Tschirsich.
Sehr deutlich wird dabei erneut, welche grundlegenden Fehler bei der finanziell durchaus gut aufgestellten Entwicklung der App gemacht wurden, die nach eigener Aussage auf der Webseite den Anspruch hat „Sicherheit auf höchstem Niveau“ zu bieten. Besonders problematisch fällt auf, dass die lediglich schwachen Schutzmaßnahmen der kritischen Patientendaten durch einfaches Ausprobieren ausgehebelt werden konnten. Zudem ist es gelungen, Phishing-Angriffe in die App einzuschleusen und somit Zugangsdaten von Nutzern zu stehlen (ohne dass diese eine Chance hätten, das festzustellen) sowie einen Weg aufzuzeigen, über den sensible kryptographische Schlüssel von Ärzten gestohlen werden können. Gerade die letzte Schwachstelle ist bis heute nicht beseitigt.
Doch nicht nur bei Vivy treten gravierende Sicherheits- und Datenschutzprobleme zutage; Tschirsich hat auch die Alternativen von großen und kleinen Anbietern analysiert und dabei ebenfalls eklatante Schwachstellen gefunden, die teilweise Zugriff auf sämtliche Daten des Systems ermöglichen. Mit Abstand am besten schlägt sich eine App, die sich noch in der Beta-Phase befindet (TK Safe) und die Gesundheitsdaten mit Hilfe einer clientseitigen Verschlüsselung schützt. Bei ihr werden die Daten bereits in der App stark verschlüsselt und erst danach zum zentralen Service übertragen bzw. mit einem Empfänger (z.B. dem behandelnden Arzt) ausgetauscht. Dennoch wurden auch dort schwerwiegende Fehler bei der Sicherung der geheimen kryptographischen Schlüssel gemacht.
Die Probleme bei den Umsetzungen der digitalen Gesundheits- und Patientenakten zeigen sehr deutlich die Notwendigkeit, Sicherheitsgrundsätze von Anfang an bei der Entwicklung dieser kritischen Systeme zu berücksichtigen und tief in der Software-Architektur zu verankern – das nachträgliche Ergänzen von Sicherheitsmaßnahmen ist oft sehr schwierig und fehleranfällig. Zudem kann einzig eine clientseitige Verschlüsselung wirklich verhindern, dass die gespeicherten Informationen bei einem Datenleck einem Angreifer in die Hände fallen.
Als Anbieter einer Enterprise-Filesharing-Lösung bieten wir bei der Verwaltung von sensiblen Informationen eine Vielzahl an Sicherheitsmechanismen. Dazu gehören eine clientseitige Verschlüsselung mit Notfallkennwörtern bei Verlust der kryptographischen Schlüssel, die Möglichkeit beliebige Multi-Faktor-Authentifizierungssysteme vorzuschalten und ein feingranulares Berechtigungssystem. Begleitet wird die Entwicklung durch regelmäßige Pentests und Sicherheitsaudits externer Firmen.
Bereits heute wird die Lösung im Healthcare-Bereich durch viele Kliniken erfolgreich eingesetzt und schützt somit die sensiblen Informationen vieler Patienten in Deutschland.